Sichern Sie Ihre APIs mit JWT-Authentifizierung in Gin-Middleware
Min-jun Kim
Dev Intern · Leapcell
Einführung
In der modernen Webentwicklung ist die Sicherung von Programmierschnittstellen (APIs) von größter Bedeutung. Insbesondere RESTful APIs dienen oft als Rückgrat von Single-Page-Anwendungen, mobilen Apps und Microservices-Architekturen. Ein entscheidender Aspekt dieser Sicherheit ist die effektive und effiziente Authentifizierung und Autorisierung von Benutzern. Hier glänzen JSON Web Tokens (JWTs). JWTs bieten ein kompaktes, URL-sicheres Mittel zur Darstellung von Ansprüchen, die zwischen zwei Parteien übertragen werden sollen, und bieten einen zustandslosen und skalierbaren Ansatz für die Authentifizierung. Dieser Artikel befasst sich damit, wie Gin, ein weit verbreitetes Go-Web-Framework, genutzt werden kann, um die Ausstellung und Verifizierung von JWT-Token direkt in seiner Middleware zu implementieren, und bietet eine praktische und robuste Lösung zur Sicherung Ihrer Go-Anwendungen.
JWT und Gin-Middleware verstehen
Bevor wir uns mit der Implementierung befassen, klären wir die beteiligten Kernkonzepte:
- JSON Web Tokens (JWT): JWT ist ein offener Standard (RFC 7519), der eine kompakte und in sich geschlossene Methode zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt definiert. Diese Informationen können verifiziert und als vertrauenswürdig eingestuft werden, da sie digital signiert sind. Ein JWT besteht typischerweise aus drei Teilen: einem Header, einem Payload und einer Signatur.
- Header: Enthält den Token-Typ (JWT) und den Signierungsalgorithmus (z. B. HMAC SHA256 oder RSA).
- Payload: Enthält die Claims. Claims sind Aussagen über eine Entität (typischerweise den Benutzer) und zusätzliche Daten. Standard-Claims umfassen
iss(Issuer),exp(Ablaufzeit),sub(Subject) undaud(Audience). Benutzerdefinierte Claims können ebenfalls hinzugefügt werden. - Signatur: Wird erstellt, indem der codierte Header, der codierte Payload, ein geheimer Schlüssel und der im Header angegebene Algorithmus genommen und digital signiert werden. Diese Signatur wird verwendet, um den Absender des JWT zu verifizieren und sicherzustellen, dass die Nachricht nicht manipuliert wurde.
- Gin-Middleware: Im Kontext von Gin ist Middleware eine Kette von Funktionen, die vor oder nach einem endgültigen Anfragehandler ausgeführt werden. Middleware kann verschiedene Aufgaben ausführen, wie z. B. Protokollierung, Authentifizierung, Autorisierung, Anfrageanalyse und Fehlerbehandlung. Sie ermöglicht modularen und wiederverwendbaren Code, der Funktionalitäten zentralisiert, die für mehrere Routen gelten.
Die Implementierung von JWT in der Gin-Middleware bietet mehrere Vorteile:
- Zentralisierte Authentifizierung: Die Authentifizierungslogik wird an einem Ort gehandhabt, wodurch Wiederholungen bei mehreren Routenhandlern vermieden werden.
- Zustandslosigkeit: JWTs ermöglichen die zustandslose Authentifizierung, wodurch serverseitige Sitzungen überflüssig werden und die Skalierbarkeit verbessert wird.
- Entkoppelte Logik: Authentifizierung und Autorisierung werden von der Geschäftslogik getrennt, was den Code übersichtlicher und leichter wartbar macht.
Implementierung von JWT in der Gin-Middleware
Unsere Implementierung umfasst zwei Hauptphasen: die Ausstellung eines JWT nach erfolgreichem Benutzer-Login und die Verifizierung des JWT für nachfolgende geschützte API-Anfragen.
1. Projekt-Setup und Abhängigkeiten
Initialisieren Sie zunächst ein neues Go-Modul und installieren Sie die notwendigen Abhängigkeiten:
go mod init ihr-modulname go get github.com/gin-gonic/gin go get github.com/golang-jwt/jwt/v5
2. Definition von JWT-Claims
Wir erstellen eine benutzerdefinierte Claims-Struktur, die jwt.RegisteredClaims einbettet und unsere spezifischen Benutzerinformationen hinzufügt.
package main import "github.com/golang-jwt/jwt/v5" // MyCustomClaims definiert die JWT-Claims-Struktur type MyCustomClaims struct { Username string `json:"username"` jwt.RegisteredClaims }
3. JWT-Geheimer Schlüssel
Für die Signierung und Verifizierung von Token wird ein geheimer Schlüssel benötigt. In einer Produktionsumgebung sollte dies ein starker, zufällig generierter Schlüssel sein, der sicher gespeichert wird, möglicherweise als Umgebungsvariable.
// Ersetzen Sie dies in der Produktion durch einen starken, sicher gespeicherten geheimen Schlüssel var jwtSecret = []byte("supersecretkeythatshouldbesecretandlong")
4. Ausstellung eines JWT-Tokens
Diese Funktion wird nach einem erfolgreichen Benutzer-Login aufgerufen. Sie nimmt einen Benutzernamen entgegen und generiert einen signierten JWT.
package main import ( t"time" "github.com/golang-jwt/jwt/v5" ) // GenerateToken generiert ein neues JWT-Token für einen gegebenen Benutzernamen func GenerateToken(username string) (string, error) { expirationTime := time.Now().Add(24 * time.Hour) // Token ist 24 Stunden gültig claims := &MyCustomClaims{ Username: username, RegisteredClaims: jwt.RegisteredClaims{ ExpiresAt: jwt.NewNumericDate(expirationTime), IssuedAt: jwt.NewNumericDate(time.Now()), NotBefore: jwt.NewNumericDate(time.Now()), Issuer: "your-app-issuer", Subject: username, ID: "", // Optional: eindeutige Kennung für das Token Audience: []string{"your-app-audience"}, }, } token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims) ttokenString, err := token.SignedString(jwtSecret) if err != nil { return "", err } return tokenString, nil }
Beispielverwendung in einer Login-Route:
package main import ( "net/http" "github.com/gin-gonic/gin" ) // LoginInput definiert die erwartete Eingabe für eine Login-Anfrage type LoginInput struct { Username string `json:"username" binding:"required"` Password string `json:"password" binding:"required"` } // LoginHandler verarbeitet die Benutzerauthentifizierung und Token-Ausstellung func LoginHandler(c *gin.Context) { var input LoginInput if err := c.ShouldBindJSON(&input); err != nil { c.JSON(http.StatusBadRequest, gin.H{"error": err.Error()}) return } // In einer echten Anwendung würden Sie die Anmeldedaten mit einer Datenbank abgleichen if input.Username == "user" && input.Password == "password" { // Dummy-Anmeldedaten token, err := GenerateToken(input.Username) if err != nil { c.JSON(http.StatusInternalServerError, gin.H{"error": "Fehler bei der Token-Generierung"}) return } c.JSON(http.StatusOK, gin.H{"token": token}) } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Ungültige Anmeldedaten"}) } }
5. JWT-Verifizierungs-Middleware
Dies ist das Herzstück unseres Authentifizierungssystems. Diese Gin-Middleware fängt Anfragen an geschützte Routen ab, extrahiert das JWT, verifiziert seine Signatur und parst seine Claims.
package main import ( "fmt" "net/http" "strings" "github.com/gin-gonic/gin" "github.com/golang-jwt/jwt/v5" ) // AuthMiddleware ist eine Gin-Middleware zur Verifizierung von JWT-Token func AuthMiddleware() gin.HandlerFunc { return func(c *gin.Context) { authHeader := c.GetHeader("Authorization") if authHeader == "" { c.JSON(http.StatusUnauthorized, gin.H{"error": "Authorization-Header erforderlich"}) c.Abort() return } // Erwartetes Format: Bearer <token> headerParts := strings.Split(authHeader, " ") if len(headerParts) != 2 || headerParts[0] != "Bearer" { c.JSON(http.StatusUnauthorized, gin.H{"error": "Ungültiges Format des Authorization-Headers"}) c.Abort() return } tokenString := headerParts[1] token, err := jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) { // Validieren Sie die Signierungsmethode if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok { return nil, fmt.Errorf("unerwartete Signierungsmethode: %v", token.Header["alg"]) } return jwtSecret, nil }) if err != nil { // Behandeln Sie verschiedene JWT-Fehler if ve, ok := err.(*jwt.ValidationError); ok { if ve.Errors&jwt.ValidationErrorMalformed != 0 { c.JSON(http.StatusUnauthorized, gin.H{"error": "Das ist nicht einmal ein Token"}) c.Abort() return } else if ve.Errors&(jwt.ValidationErrorExpired|jwt.ValidationErrorNotValidYet) != 0 { c.JSON(http.StatusUnauthorized, gin.H{"error": "Token ist entweder abgelaufen oder noch nicht aktiv"}) c.Abort() return } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Konnte dieses Token nicht verarbeiten"}) c.Abort() return } } c.JSON(http.StatusUnauthorized, gin.H{"error": "Ungültiges Token"}) c.Abort() return } if claims, ok := token.Claims.(*MyCustomClaims); ok && token.Valid { // Token ist gültig, speichere Claims im Context für nachfolgende Handler c.Set("username", claims.Username) c.Next() // Weiter zum nächsten Handler } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Ungültige Token Claims"}) c.Abort() } } }
6. Integration der Middleware mit Gin-Routen
Schließlich integrieren wir die AuthMiddleware in unseren Gin-Router.
package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { r := gin.Default() // Öffentliche Route für Login r.POST("/login", LoginHandler) // Geschützte Routen, die JWT-Authentifizierung erfordern protected := r.Group("/api") protected.Use(AuthMiddleware()) // Wende die Authentifizierungs-Middleware an { protected.GET("/profile", func(c *gin.Context) { // Greife auf Benutzernamen aus dem Context nach erfolgreicher Authentifizierung zu username, _ := c.Get("username") c.JSON(http.StatusOK, gin.H{"message": "Willkommen zu Ihrem Profil, " + username.(string)}) }) protected.GET("/dashboard", func(c *gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "Dies ist Ihr Dashboard!"}) }) } r.Run(":8080") // Lausche und bediene unter 0.0.0.0:8080 }
Anwendungsfälle
Dieses JWT-Authentifizierungsmuster mit Gin-Middleware eignet sich ideal für:
- RESTful APIs: Absicherung von Endpunkten für Web- und mobile Anwendungen.
- Microservices: Authentifizierung von Anfragen zwischen verschiedenen Diensten.
- Single Page Applications (SPAs): Bereitstellung eines zustandslosen Authentifizierungsmechanismus für Frontend-Frameworks wie React, Angular oder Vue.js.
- Gateways: Für ein API Gateway kann es als erste Authentifizierungsschicht dienen, bevor Anfragen an bestimmte Dienste weitergeleitet werden.
Fazit
Die Implementierung von JWT-Ausstellung und -Verifizierung mithilfe der Gin-Middleware bietet eine leistungsstarke, skalierbare und sichere Methode zur Authentifizierung von Benutzern und zum Schutz Ihrer API-Endpunkte in Go-Anwendungen. Durch die Zentralisierung der Authentifizierungslogik und die Nutzung der in sich geschlossenen Natur von JWTs können Sie robuste und leistungsstarke Webdienste erstellen. Dieser Ansatz ermöglicht es Entwicklern letztendlich, sichere und effiziente Go-basierte API-Backends mit Vertrauen zu erstellen.
Share this article
![x](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g><g fill="%23000000"><path d="M0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g></svg>){kind=small}
![facebook](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g><g fill="%233b5998"><path d="M0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g></svg>){kind=small}
![linkedin](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g><g fill="%23007fb1"><path d="M0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g></svg>){kind=small}
![reddit](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g><g fill="%23FF4500"><path d="M0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g></svg>){kind=small}
![telegram](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g><g fill="%2349a9e9"><path d="M0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g></svg>){kind=small}
