在项目中到底应不应该用 jwt？

2024-08-06
上海
本文字数：1927 字
阅读完需：约 6 分钟

这几年互联网上各大公司都在用 JWT，那，它到底是什么？我们必须要在自己的项目中用到吗？

JWT 是什么

JSON Web Tokens（JWT）是一个开放标准（RFC 7519），它定义了一种用于在网络上表示声明信息的安全令牌格式。

通常用于身份验证和授权场景，通过 JWT 可以安全地传输用户信息，如用户名和用户角色等。一旦用户登录成功，服务器会生成一个包含用户信息的 JWT 并将其返回给客户端。客户端在后续的请求中携带这个令牌，服务器可以验证令牌的有效性以确定请求的来源身份是否合法。这样无需在每个请求中都验证用户凭证。这种认证机制可以提高系统的安全性和效率。

JWT 的优点

无状态和可扩展性：服务端不需要保存会话信息，使得应用易于扩展。
跨域认证：JWT 可以跨越不同的域进行认证，因为它是一个自包含的令牌。
安全性：JWT 可以被签名以确保信息在传输过程中未被篡改。

JWT 的缺点

令牌大小：由于 JWT 包含了用户信息，可能会影响性能。
令牌续期：续期机制比较复杂，需要额外的逻辑处理。
存储安全：需要安全地存储 JWT，防止令牌被盗用。
撤销困难：JWT 不支持撤销机制，一旦签发，除非令牌过期，否则无法撤销。

至于在项目中该不该用 JWT？其实这个问题就是仁者见仁，智者见智了，主要还是得看自己项目的实际情况，但是既然这几年大多数公司都在用，如果你没有十足的理由说服自己不去使用，那么我建议你还是使用。

下面给出一个在 Go 语言中使用 JWT 的示例，供各位参考。

Go 语言实现 JWT

在 Go 语言中，我们可以使用jwt-go库来实现 JWT 的生成、解析和验证。以下是一个结合您提供的代码的优化示例：

package jwt
import (  "errors"  "github.com/gin-gonic/gin"  "github.com/golang-jwt/jwt"  "time")
// 密钥和配置相关const secretKey = "your_secret_key" // 密钥，实际应用中应从配置文件中读取
// JWTCustomClaims 自定义载荷type JWTCustomClaims struct {  UserID string `json:"user_id"`  jwt.StandardClaims}
// NewJWT 实例化JWTfunc NewJWT() *JWT {  return &JWT{    Key: []byte(secretKey),  }}
// JWT 结构体type JWT struct {  Key []byte}
// GenerateToken 生成Tokenfunc (j *JWT) GenerateToken(userID string) (string, error) {  atClaims := &JWTCustomClaims{    UserID: userID,    StandardClaims: jwt.StandardClaims{      ExpiresAt: time.Now().Add(1 * time.Hour).Unix(),      Issuer:    "YourApp",    },  }  token := jwt.NewWithClaims(jwt.SigningMethodHS256, atClaims)  return token.SignedString(j.Key)}
// ParseToken 解析Tokenfunc (j *JWT) ParseToken(tokenString string) (*JWTCustomClaims, error) {  token, err := jwt.ParseWithClaims(tokenString, &JWTCustomClaims{}, func(token *jwt.Token) (interface{}, error) {    return j.Key, nil  })  if err != nil {    return nil, err  }  if claims, ok := token.Claims.(*JWTCustomClaims); ok && token.Valid {    return claims, nil  }  return nil, errors.New("invalid token")}
// GetTokenFromContext 从Gin上下文获取Tokenfunc GetTokenFromContext(c *gin.Context) (string, error) {  token := c.Request.Header.Get("Authorization")  if token == "" {    return "", errors.New("token not found")  }  return token, nil}

复制代码

使用示例

router := gin.Default()
jwtMiddleware := func(j *JWT) gin.HandlerFunc {  return func(c *gin.Context) {    tokenString, err := GetTokenFromContext(c)    if err != nil {      c.JSON(200, gin.H{"error": "Unauthorized"})      c.Abort()      return    }    claims, err := j.ParseToken(tokenString)    if err != nil {      c.JSON(200, gin.H{"error": "Invalid token"})      c.Abort()      return    }    c.Set("claims", claims)    c.Next()  }}
router.Use(jwtMiddleware(NewJWT()))
router.GET("/secure", func(c *gin.Context) {  claims := c.MustGet("claims").(*JWTCustomClaims)  c.JSON(200, gin.H{"message": "Secure data for user", "user_id": claims.UserID})})
router.Run(":8080")

复制代码

更完整的示例，建议还是参考 https://github.com/pudongping/gin-biz-web-api/tree/main/pkg/jwt 已经封装好了包，可直接拿到自己项目中使用。

这个示例展示了如何在 Go 语言的 Gin 框架中使用 JWT 进行身份验证。通过中间件jwtMiddleware，我们可以验证每个请求的 Token，并将其载荷（Claims）存储在 Gin 的上下文中，以便后续的处理函数使用。

希望这篇文章和代码示例能够帮助你更好地理解 JWT，并在实际项目中应用它。

发布于: 刚刚阅读数: 2

原文链接:【http://xie.infoq.cn/article/1c5ebc60c3472375982b9bc77】。文章转载请联系作者。

左诗右码

关注

全网同名，欢迎关注交流。 2018-11-22 加入

三观比五官更正，思想比套路更深。常用技术栈PHP、Go、Python，享受编程，平时爱好写点文章。V公主号：「左诗右码」，欢迎关注交流。

发布

暂无评论

创作场景