Go(Golang)에서 JWT를 구축하는 방법

레인 와그너 - 트위터



Go는 백엔드 웹 개발에서 매우 인기를 얻고 있으며 JWT는 API 요청에 대한 인증을 처리하는 가장 인기 있는 방법 중 하나입니다. 이 기사에서는 JWT의 기본 사항과 Go에서 보안 인증 전략을 구현하는 방법을 살펴보겠습니다.

JWT란 무엇입니까?



JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

https://jwt.io/



간단히 말해서 JWT는 서버에서 서명한 인코딩된JSON 개체로 진위를 확인합니다.

예를 들어 사용자가 JWT를 통해 보호되는 웹사이트에 로그인하면 흐름은 다음과 같아야 합니다.
  • 사용자가 서버에 사용자 이름과 암호를 보냅니다
  • .
  • 서버가 사용자 이름과 암호가 올바른지 확인합니다
  • .
  • 서버는 다음과 같은 JSON 객체(일명 클레임)를 생성합니다.
  • {"사용자 이름":"wagslane"}

  • JWT를 생성하는 서버encodessigns JSON 객체:
  • eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6IndhZ3NsYW5lIn0.ov6d8XtwQoKUwsYahk9UwH333NICElFSs6ag6pINyPQ

  • 나중에 사용할 수 있도록 사용자의 웹 클라이언트가 JWT를 저장합니다
  • .
  • 사용자가 보호된 끝점에 요청하면 JWT가 HTTP 헤더로 전달됨
  • 서버가 JWT의 서명을 확인하여 JWT가 원래 동일한 서버에서 생성되었는지 확인합니다
  • .
  • 서버가 클레임을 읽고 "wagslane"으로 작동하도록 요청에 대한 권한을 부여합니다
  • .

    JWT 만들기



    우리는 Go에서 JSON 웹 토큰jwt-go을 처리하기 위해 인기 있는 라이브러리를 사용할 것입니다. 코드가 로컬로 복제되었는지 확인하십시오.

    go get github.com/dgrijalva/jwt-go
    


    단순화를 위해 대칭 암호화 체계를 구축하고 있습니다. 즉, JWT를 생성하는 서버가 JWT를 확인하는 유일한 서버라고 가정합니다.

    먼저 사용자를 식별하기 위해 클레임을 나타내는 데 사용할 구조체를 정의합니다.

    type customClaims struct {
        Username string `json:"username"`
        jwt.StandardClaims
    }
    


    jwt.StandardClaims 구조체에는 만료 및 발급자 이름과 같은 유용한 필드가 포함되어 있습니다. 이제 방금 로그인한 사용자에 대한 몇 가지 실제 클레임을 생성합니다.

    claims := customClaims{
        Username: username,
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: 15000,
            Issuer: "nameOfWebsiteHere",
        },
    }
    


    클레임에서 서명되지 않은 토큰을 만듭니다.

    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    


    안전한 개인 키를 사용하여 토큰에 서명하십시오. 프로덕션 환경에서는 길이가 256비트 이상인 실제 개인 키를 사용해야 합니다.

    signedToken, err := token.SignedString([]byte("secureSecretText"))
    


    이제 서명된 토큰을 클라이언트로 다시 보낼 수 있습니다.

    JWT 검증





    클라이언트가 보호된 끝점에 요청하면 다음 단계를 사용하여 JWT가 인증되었는지 확인할 수 있습니다.

    *참고: Authorization HTTP 헤더를 사용하는 것은 관용적입니다.

    Authorization: Bearer {jwt}
    


    JWT를 수신한 후 클레임의 유효성을 검사하고 동일한 개인 키를 사용하여 서명을 확인합니다.

    token, err := jwt.ParseWithClaims(
        jwtFromHeader,
        &customClaims{},
        func(token *jwt.Token) (interface{}, error) {
            return []byte("secureSecretText"), nil 
        },
    )
    


    클레임이 변조된 경우 err 변수는 nil이 아닙니다.

    토큰에서 클레임을 구문 분석합니다.

    claims, ok := token.Claims.(*customClaims)
    if !ok {
        return errors.New("Couldn't parse claims")
    }
    


    토큰이 만료되었는지 확인합니다.

    if claims.ExpiresAt < time.Now().UTC().Unix() {
        return errors.New("JWT is expired")
    }
    


    이제 인증된 사용자의 사용자 이름을 알고 있습니다!

    username := claims.Username
    


    전체 예제를 보려면 패키지의 tests 을 살펴보십시오.

    읽어 주셔서 감사합니다!



    레인 트위터:

    Dev.to의 레인:

    Qvault 다운로드: https://qvault.io

    게시물 How To Build JWT’s in Go (Golang)Qvault에 처음 나타났습니다.

    좋은 웹페이지 즐겨찾기