JWT校验必须显式指定Keyfunc并验证alg,否则alg:none可绕过签名;Gin RBAC应基于资源动作权限而非硬编码角色;Cookie需设HttpOnly/Secure/SameSite;OAuth2宜用标准库手动实现PKCE流程。
JWT 令牌生成与校验为什么不能只靠 jwt-go 的 Parse?
直接调用 token, err := jwt.Parse(...) 而不指定 Keyfunc 或验证 alg,会导致签名绕过——攻击者可构造 alg: none 的无效令牌通过校验。Go 官方生态中 jwt-go v3 及更早版本存在该漏洞,v4+ 已修复但默认行为仍需显式约束。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 始终使用
jwt.ParseWithClaims并传入自定义Keyfunc,确保密钥来源可信(如从 DB 查用户专属密钥,或统一服务级密钥) - 强制校验
alg:在Keyfunc中拒绝非预期算法(如只允许HS256或RS256) - 校验时必须检查
token.Valid,且额外确认token.Header["alg"] == "HS256" - 示例片段:
keyFunc := func(token *jwt.Token) (interface{}, error) { if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok { return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"]) } return []byte(os.Getenv("JWT_SECRET")), nil }
如何让 Gin 中间件支持 RBAC 而不是硬编码角色字符串?
把 "admin"、"user" 直接写死在中间件里,会导致权限逻辑散落、难以维护。RBAC 应基于资源+动作建模,而非字符串匹配。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 定义结构化权限标识,如
"post:read"、"user:delete",而非"admin" - 将用户角色映射为权限集合(如
map[string][]string{"editor": {"post:read", "post:write"}}),缓存在 context 或 Redis 中 - Gin 中间件中通过
c.Get("user_permissions")获取权限列表,再用slice.Contains判断是否含当前路由所需权限(如c.Request.URL.Path+c.Request.Method组合成"post:write") - 避免每次请求都查 DB:首次登录后将权限集序列化存入 JWT
claims或 Redis,设置合理 TTL
Cookie 模式下如何安全存储 session ID 而不被 XSS/CSRF 利用?
单纯用 http.SetCookie 写入 session_id,若未设安全属性,极易被窃取或伪造。Gin 默认不处理这些细节。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- Cookie 必须设置
HttpOnly=true(防 XSS 读取)、Secure=true(仅 HTTPS 传输)、SameSite=Strict或Lax(缓解 CSRF) - Session ID 本身应为高熵随机值(用
crypto/rand.Read生成,长度 ≥32 字节),不可用用户 ID 或时间戳拼接 - 服务端需绑定 Session 与客户端指纹(如 User-Agent + IP 前缀),并在每次敏感操作前比对;注意 IP 可变,不宜强校验全段
- 避免在 URL 中透传 session ID(如
?sid=xxx),防止泄露到 referer 或日志
为什么 OAuth2 接入要自己实现 oauth2.Config 而非直接调用第三方 SDK?
很多 Go 第三方包(如 goth)封装了多平台 OAuth,但隐藏了 token 刷新、scope 动态申请、PKCE 流程等关键控制点,导致生产环境出现静默失效或授权范围失控。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 直接使用标准库
golang.org/x/oauth2构建oauth2.Config,手动管理AuthCodeURL和Exchange流程 - 必须启用 PKCE(
CodeChallenge+CodeVerifier),尤其在移动端或单页应用中,防止 authorization code 截获 - 获取到
access_token后,立即调用第三方 UserInfo 接口(如 GitHub 的/user)校验并提取用户唯一标识(sub或id),不信任原始id_token中的任意字段 - 刷新 token 时,需捕获
oauth2.RetrieveError并区分invalid_grant(需重新授权)和invalid_client(配置错误)
最易被忽略的是权限缓存的一致性:JWT 过期前用户角色变更,服务端无法主动作废已签发令牌。要么缩短 exp 时间(如 15 分钟),要么引入 Redis 黑名单 + 短生命周期令牌组合方案。
