最轻量可控的 RESTful 认证方案是 gin + jwt-go:需用 jwt.WithValidMethods 显式指定算法,claims 用大写字段结构体,密钥从环境变量读取,token 过期用 time.Now().Add,Authorization 头用 strings.CutPrefix 安全解析,校验失败返回 401/403,中间件解析后存 user_id 到 context,登出需 Redis 黑名单,密码用 bcrypt(cost=12),权限用 RBAC 模型(资源:动作:范围)统一校验。
用 gin + jwt-go 实现登录签发 token
Golang 做 RESTful 认证服务,最轻量且可控的组合是 gin(路由) + jwt-go(签发/校验)。别一上来就套 gorilla/sessions 或数据库 session 表——JWT 天然无状态,更适合 API 场景。
关键点在于:jwt-go v4+ 已弃用 ParseWithClaims 的旧签名,必须用 ParseWithClaims 配合 jwt.WithValidMethods 显式指定算法,否则会 panic。
- 签发时用
jwt.NewWithClaims(jwt.SigningMethodHS256, claims),claims必须是自定义 struct 且字段首字母大写(否则 JSON 序列化为空) - 密钥建议从环境变量读取,如
os.Getenv("JWT_SECRET"),禁止硬编码字符串 - token 过期时间设为
time.Now().Add(24 * time.Hour),别用整数秒硬算,易出错
在 gin 中全局校验 Authorization: Bearer
HTTP Header 里的 token 提取不能只靠 c.GetHeader("Authorization") 然后手动切分——gin 提供了更稳妥的 c.Request.Header.Get("Authorization"),再用 strings.CutPrefix 判断是否以 "Bearer " 开头。
校验失败必须返回标准 HTTP 状态码:401 Unauthorized(token 无效/过期)或 403 Forbidden(权限不足),不能统一返回 400。
立即学习“go语言免费学习笔记(深入)”;
- 中间件里解析 token 后,应把
user_id、role等关键字段塞进c.Set("user_id", uid),后续 handler 用c.GetInt64("user_id")取 - 别在每个 handler 里重复解析 token——中间件一次解析,全局复用
- 如果 token 在 Redis 黑名单里(比如用户登出),需额外查一次,这步不能省
用 golang.org/x/crypto/bcrypt 安全比对密码
认证服务的核心是密码验证,bcrypt 是目前 Golang 生态最稳妥的选择。别用 md5、sha256 或自己拼 salt——这些都不抗暴力破解。
bcrypt.GenerateFromPassword 的 cost 参数建议设为 12(默认是 10),兼顾安全与响应延迟;验证时直接用 bcrypt.CompareHashAndPassword,它自带时序攻击防护。
- 数据库存密码字段类型必须是
CHAR(60)或更长(bcrypt hash 固定长度 60) - 注册时若
bcrypt.GenerateFromPassword返回 error,大概率是 cost 超出范围(4–31),不是逻辑错误 - 别把明文密码打日志,也别在 error message 里暴露“密码错误”——统一提示“用户名或密码不正确”
权限控制别只靠 role 字段,要用 RBAC 模型落地
单纯判断 user.Role == "admin" 是典型反模式。真实服务需要细粒度权限,比如“用户只能删自己的订单”,而不是“只有 admin 能删订单”。
推荐用内存 map 或简单 SQL 表实现 RBAC:角色 → 权限列表(如 ["order:read:self", "order:delete:self"]),每次请求前查一次,缓存 5 分钟即可。
- 权限字符串格式统一用
资源:动作:范围,例如post:update:own,方便后期接入策略引擎 - 不要在 handler 里写
if user.Role == "admin" { ... } else { ... }—— 抽成Can(c *gin.Context, permission string) bool函数 - API 文档(如 Swagger)里要明确标出每个接口所需的权限项,否则前端和测试永远对不准
实际部署时,JWT 密钥轮换、refresh token 流程、以及 /logout 接口如何让 token 失效——这些都不是加几行代码能搞定的,得结合 Redis 和定时清理策略。细节一旦漏掉,认证就形同虚设。
