推荐使用 github.com/golang-jwt/jwt/v5 库实现 JWT 认证,涵盖签发(含 user_id、exp 等 claims 并用 HS256/RS256 签名)、验证(中间件解析 Bearer token 并校验签名与有效期)、安全实践(密钥保密、合理过期、避免敏感信息明文存储)。
在 Go 中实现 JWT 认证,推荐使用成熟、轻量且维护活跃的第三方库 github.com/golang-jwt/jwt/v5(原 github.com/dgrijalva/jwt-go 的官方继任者),它安全、标准兼容(RFC 7519),并支持常见签名算法(HS256、RS256 等)。
安装与基础结构
先安装官方 JWT 库:
go get github.com/golang-jwt/jwt/v5JWT 认证流程通常包含:登录时签发 token → 请求携带 token → 中间件解析并验证 token → 提取用户信息供后续处理。核心是「签发」和「验证」两个环节,需共享密钥或公私钥对。
签发 JWT(登录接口)
用户登录成功后,生成含用户标识(如 user_id)、过期时间等的 token:
立即学习“go语言免费学习笔记(深入)”;
- 定义 claims 结构体,嵌入 jwt.RegisteredClaims(含 IssuedAt、ExpiresAt 等标准字段)
- 用 secret key(HS256)或私钥(RS256)调用 jwt.NewWithClaims + SignedString
- 将 token 返回给前端(通常放在 HTTP 响应体或 Authorization Header)
示例(HS256):
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
"user_id": 123,
"exp": time.Now().Add(time.Hour * 24).Unix(),
})
signedToken, err := token.SignedString([]byte("your-secret-key"))
验证 JWT(中间件)
在需要认证的路由前加中间件,从 Authorization: Bearer
- 检查 Header 是否存在且格式正确(以 "Bearer " 开头)
- 调用 jwt.ParseWithClaims,传入 token 字符串、空 claims 实例、密钥函数(Keyfunc)
- 密钥函数需根据算法返回对应密钥;HS256 直接返回 []byte(secret),RS256 则需解析公钥
- 校验通过后,将用户信息(如 user_id)存入 context,供 handler 使用
注意:务必检查 err == nil 且 token.Valid,避免绕过验证逻辑。
安全与最佳实践
JWT 不是银弹,需配合其他措施保障安全:
- secret key 必须足够长且保密(勿硬编码,用环境变量或配置中心)
- 设置合理过期时间(exp),敏感操作建议短时效 + 刷新机制(Refresh Token)
- 服务端可维护「已注销 token 黑名单」或使用 short-lived token + Redis 存储活跃会话 ID
- 避免在 JWT 中存放敏感信息(如密码、身份证号),所有数据都可能被解码(无加密,仅签名)
- 始终验证 issuer(iss)、audience(aud)等字段(如果业务需要)
基本上就这些。用好 jwt/v5,配合清晰的中间件设计和上下文传递,就能快速构建可靠的身份认证层。
