如何在Golang中实现JWT认证_生成和验证用户令牌
Go中实现JWT认证需用github.com/golang-jwt/jwt/v5,安全生成(强密钥HS256签名、合理设置claims)、严格验证(校验签名、exp/iss/aud等)、通过中间件解析并注入context,禁用localStorage存储,推荐httpOnly Cookie与短时效+刷新机制。
在 Go 中实现 JWT 认证,核心是使用 github.com/golang-jwt/jwt/v5(推荐 v5,v4 已归档)安全生成和验证令牌。关键在于:正确签名、合理设置声明(claims)、严格校验签发者/过期时间/受众,并将 token 安全传入(通常通过 Authorization: Bearer xxx 头)。
生成 JWT 令牌(登录成功后)
你需要定义自定义 claims 结构体(嵌入 jwt.RegisteredClaims),填充用户 ID、角色、过期时间等,并用密钥签名。
- 使用强密钥(如 32 字节随机 key)做 HS256 签名,避免硬编码;生产环境建议用环境变量或 secret manager 加载
-
ExpiresAt必须设为未来时间(如time.Now().Add(24 * time.Hour)),否则 token 立即失效 - 推荐添加
IssuedAt和Issuer(如"myapp"),便于后续校验来源和时效性
验证 JWT 令牌(中间件拦截请求)
从 HTTP 请求头提取 token,解析并校验签名和声明。失败时直接返回 401。
- 必须调用
token.Valid或token.VerifySignature,仅解析不校验等于裸奔 - 校验时传入同一密钥,并指定算法(
jwt.SigningMethodHS256);若用 RSA,需用公钥验签 - 自动检查
exp、nbf、iat,但需手动确认Issuer和Audience是否匹配预期值
在 HTTP Handler 中使用 token 数据
验证通过后,把解析出的 claims(如用户 ID)注入 context.Context,下游 handler 可安全获取。
立即学习“go语言免费学习笔记(深入)”;
- 不要在每次 handler 中重复解析 token —— 中
间件一次解析,存入 context 即可 - 用
ctx.Value()传递用户信息(例如ctx = context.WithValue(r.Context(), "userID", claims.Subject)) - 敏感操作前仍应查库确认用户状态(如是否被禁用),JWT 不代表实时权限
间件一次解析,存入 context 即可安全注意事项
JWT 是无状态的,但不是万能的。很多漏洞源于误用而非库本身。
- 永远不在前端 localStorage 存 token —— 改用 httpOnly + Secure Cookie(配合 SameSite=Strict)更防 XSS
- 短期 token(如 15–30 分钟)+ 刷新机制(refresh token 独立存储、限制次数、绑定设备/IP)更稳妥
- 注销时无法“主动作废” JWT(服务端无状态),只能依赖短有效期,或引入 Redis 黑名单(牺牲部分无状态性)
