JWT 認証による Go API の保護
それでは、少し本題に移りましょう。セキュリティは重要な問題であり、API を構築している場合、誰かが勝手に侵入してデータをいじり始めることはできません。そこで窮地を救うためにJWT (JSON Web Tokens) が登場します。現在、JWT ベースの認証を追加して Go API をレベルアップしています。
簡単な注意事項 ?
古い github.com/dgrijalva/jwt-go パッケージを使用している場合は、アップグレードの時期が来ました。新しい標準は github.com/golang-jwt/jwt/v4 です。
なぜ切り替えたのですか?
- 元の作成者が主導権を引き継ぎ、新しいメンテナは改良とセキュリティ問題の修正に忙しく取り組んでいます。
- バージョン 4.0.0 から、Go モジュールのサポートが追加され、トークン検証が改善されました。
- 古いパッケージをまだ使用している場合は、MIGRATION_GUIDE.md を確認してください。
さあ、素晴らしい新しい JWT ライブラリを始めましょう!
もう一度 JWT とは何ですか? ?
JWT を初めて使用する方へ:
- これは、API にアクセスするための署名済みの許可票のようなものです。
- API はトークンを生成して署名し、クライアント (ユーザー、アプリなど) はそのトークンをすべてのリクエストに含めます。
- サーバーはトークンをチェックし、「はい、あなたは正当です。」
理解できたので、コードを詳しく見ていきましょう!
プロジェクトのセットアップ
前回の投稿で中断したところから続けていきます。 Go モジュールを更新し、必要なパッケージをインストールしましょう:
- JWT パッケージと多重ルーターを追加します。
go get github.com/golang-jwt/jwt/v4 go get github.com/gorilla/mux
- main.go ファイルを開いてコーディングを始めましょう!
ステップ 1: JWT トークンを生成する
まず、ユーザーのログイン時に JWT トークンを生成する関数を作成します。このトークンにはユーザー名が含まれ、秘密鍵を使用して署名されます。
var jwtKey = []byte("my_secret_key")
type Credentials struct {
Username string `json:"username"`
Password string `json:"password"`
}
type Claims struct {
Username string `json:"username"`
jwt.RegisteredClaims
}
func generateToken(username string) (string, error) {
expirationTime := time.Now().Add(5 * time.Minute)
claims := &Claims{
Username: username,
RegisteredClaims: jwt.RegisteredClaims{
ExpiresAt: jwt.NewNumericDate(expirationTime),
},
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
tokenString, err := token.SignedString(jwtKey)
return tokenString, err
}
この関数は、HS256 アルゴリズムを使用して署名された、5 分後に期限切れになるトークンを生成します。
ステップ 2: ログインエンドポイントを作成する
次に、ユーザーが認証情報を送信するログイン エンドポイントを構築します。ログイン情報がチェックアウトされたら、JWT を生成し、Cookie で送り返します。
func login(w http.ResponseWriter, r *http.Request) {
var creds Credentials
err := json.NewDecoder(r.Body).Decode(&creds)
if err != nil {
w.WriteHeader(http.StatusBadRequest)
return
}
if creds.Username != "admin" || creds.Password != "password" {
w.WriteHeader(http.StatusUnauthorized)
return
}
token, err := generateToken(creds.Username)
if err != nil {
w.WriteHeader(http.StatusInternalServerError)
return
}
http.SetCookie(w, &http.Cookie{
Name: "token",
Value: token,
Expires: time.Now().Add(5 * time.Minute),
})
}
ステップ 3: JWT 検証用のミドルウェア
ここで、保護されたルートへのアクセスを許可する前に JWT トークンを検証するミドルウェア関数が必要です。
func authenticate(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
c, err := r.Cookie("token")
if err != nil {
if err == http.ErrNoCookie {
w.WriteHeader(http.StatusUnauthorized)
return
}
w.WriteHeader(http.StatusBadRequest)
return
}
tokenStr := c.Value
claims := &Claims{}
tkn, err := jwt.ParseWithClaims(tokenStr, claims, func(token *jwt.Token) (interface{}, error) {
return jwtKey, nil
})
if err != nil || !tkn.Valid {
w.WriteHeader(http.StatusUnauthorized)
return
}
next.ServeHTTP(w, r)
})
}
このミドルウェアは、リクエストに有効な JWT トークンがあるかどうかを確認します。そうでない場合は、不正な応答が返されます。
ステップ 4: ルートの保護
次に、認証ミドルウェアを適用して /books ルートを保護しましょう:
func main() {
r := mux.NewRouter()
r.HandleFunc("/login", login).Methods("POST")
r.Handle("/books", authenticate(http.HandlerFunc(getBooks))).Methods("GET")
fmt.Println("Server started on port :8000")
log.Fatal(http.ListenAndServe(":8000", r))
}
API のテスト
- ログインしてトークンを生成します:
curl -X POST http://localhost:8000/login -d '{"username":"admin", "password":"password"}' -H "Content-Type: application/json"
- 保護された /books エンドポイントにアクセスします:
curl --cookie "token=<your_token>" http://localhost:8000/books
トークンが有効であれば、アクセスできます。そうでない場合は、「401 Unauthorized」が表示されます。
次は何ですか?
次回は、API をデータベースに接続して、ユーザーの資格情報を管理し、データを保存します。続報をお楽しみに!
以上がJWT 認証による Go API の保護の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1664
14
1423
52
1321
25
1269
29
1249
24
Golang vs. Python:パフォーマンスとスケーラビリティ
Apr 19, 2025 am 12:18 AM
Golangは、パフォーマンスとスケーラビリティの点でPythonよりも優れています。 1)Golangのコンピレーションタイプの特性と効率的な並行性モデルにより、高い並行性シナリオでうまく機能します。 2)Pythonは解釈された言語として、ゆっくりと実行されますが、Cythonなどのツールを介してパフォーマンスを最適化できます。
Golang and C:Concurrency vs. Raw Speed
Apr 21, 2025 am 12:16 AM
Golangは並行性がCよりも優れていますが、Cは生の速度ではGolangよりも優れています。 1)Golangは、GoroutineとChannelを通じて効率的な並行性を達成します。これは、多数の同時タスクの処理に適しています。 2)Cコンパイラの最適化と標準ライブラリを介して、極端な最適化を必要とするアプリケーションに適したハードウェアに近い高性能を提供します。
Golangの影響:速度、効率、シンプルさ
Apr 14, 2025 am 12:11 AM
speed、効率、およびシンプル性をspeedsped.1)speed:gocompilesquilesquicklyandrunseffictient、理想的なlargeprojects.2)効率:等系dribribraryreducesexexternaldedenciess、開発効果を高める3)シンプルさ:
ゴーを始めましょう:初心者のガイド
Apr 26, 2025 am 12:21 AM
goisidealforforbeginnersandsutable forcloudnetworkservicesduetoitssimplicity、andconcurrencyfeatures.1)installgofromtheofficialwebsiteandverify with'goversion'.2)
Golang vs. C:パフォーマンスと速度の比較
Apr 21, 2025 am 12:13 AM
Golangは迅速な発展と同時シナリオに適しており、Cは極端なパフォーマンスと低レベルの制御が必要なシナリオに適しています。 1)Golangは、ごみ収集と並行機関のメカニズムを通じてパフォーマンスを向上させ、高配列Webサービス開発に適しています。 2)Cは、手動のメモリ管理とコンパイラの最適化を通じて究極のパフォーマンスを実現し、埋め込みシステム開発に適しています。
Golang vs. Python:重要な違いと類似点
Apr 17, 2025 am 12:15 AM
GolangとPythonにはそれぞれ独自の利点があります。Golangは高性能と同時プログラミングに適していますが、PythonはデータサイエンスとWeb開発に適しています。 Golangは同時性モデルと効率的なパフォーマンスで知られていますが、Pythonは簡潔な構文とリッチライブラリエコシステムで知られています。
GolangとC:パフォーマンスのトレードオフ
Apr 17, 2025 am 12:18 AM
GolangとCのパフォーマンスの違いは、主にメモリ管理、コンピレーションの最適化、ランタイム効率に反映されています。 1)Golangのゴミ収集メカニズムは便利ですが、パフォーマンスに影響を与える可能性があります。
CとGolang:パフォーマンスが重要な場合
Apr 13, 2025 am 12:11 AM
Cは、ハードウェアリソースと高性能の最適化が必要なシナリオにより適していますが、Golangは迅速な開発と高い並行性処理が必要なシナリオにより適しています。 1.Cの利点は、ハードウェア特性と高い最適化機能に近いものにあります。これは、ゲーム開発などの高性能ニーズに適しています。 2.Golangの利点は、その簡潔な構文と自然な並行性サポートにあり、これは高い並行性サービス開発に適しています。
