更新更新,节前没事,摸摸鱼,敲敲代码,就很舒服了。
用户权限
先抄抄大佬怎么写的
使用JWT进行认证
用户注册之后, 服务器生成一个 JWT token返回给浏览器, 浏览器向服务器请求数据时将 JWT token 发给服务器, 服务器用 signature 中定义的方式解码
JWT 获取用户信息.
一个 JWT token包含3部分:
- header: 告诉我们使用的算法和 token 类型
- Payload: 必须使用 sub key 来指定用户 ID, 还可以包括其他信息比如 email, username 等.
- Signature: 用来保证 JWT 的真实性. 可以使用不同算法
所以先来写一下登陆方法
1.先获取请求内容
2.去数据库验证
3.生成JWT
4.将JWT字符串作为该请求Cookie的一部分返回给用户。注意,在这里必须使用HttpOnly
属性来防止Cookie被JavaScript读取,从而避免跨站脚本攻击(XSS攻击)
5.在Cookie失效或者被删除前,用户每次访问应用,应用都会接受到含有jwt的Cookie。从而应用就可以将JWT从请求中提取出来。
6.应用通过一系列任务检查JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
7.应用在确认JWT有效之后,JWT进行Base64解码(可能在上一步中已经完成),然后在Payload中读取用户的id值,也就是user_id属性。
8.应用从数据库取到用户的信息,加载到内存中,进行ORM之类的一系列底层逻辑初始化。
9.应用根据用户请求进行响应
//userlogin.go
package Controller
import (
"encoding/json"
"fmt"
"net/http"
"strings"
"time"
"ginMall/Helper"
"ginMall/Helper/Constant"
jwt "github.com/dgrijalva/jwt-go"
"github.com/gin-gonic/gin"
_ "github.com/jinzhu/gorm/dialects/mysql"
)
type UserCredentials struct {
Username string `json:"username"`
Password string `json:"password"`
//验证码从前端判断就行了
}
type Token struct {
Token string `json:"token"`
}
//用户注册之后, 服务器生成一个 JWT token返回给浏览器, 浏览器向服务器请求数据时将 JWT token 发给服务器, 服务器用 signature 中定义的方式解码
//JWT 获取用户信息.
func Login(c *gin.Context) {
//1.获取请求内容
var user UserCredentials
err := json.NewDecoder(c.Request.Body).Decode(&user)
if err != nil {
c.Writer.WriteHeader(http.StatusForbidden)
fmt.Fprint(c.Writer, "Error in request")
return
}
//2.去数据库验证
if strings.ToLower(user.Username) != "我" {
if user.Password != "密码" {
c.Writer.WriteHeader(http.StatusForbidden)
fmt.Println("Error logging in")
fmt.Fprint(c.Writer, "Invalid credentials")
return
}
}
//3.生成JWT
token := jwt.New(jwt.SigningMethodHS256)
claims := make(jwt.MapClaims)
claims["exp"] = time.Now().Add(time.Hour * time.Duration(1)).Unix()
claims["iat"] = time.Now().Unix()
token.Claims = claims
tokenString, err := token.SignedString([]byte(Constant.CONST_SECRET_KEY))
if err != nil {
c.Writer.WriteHeader(http.StatusInternalServerError)
fmt.Fprintln(c.Writer, "Error while signing the token")
}
response := Token{tokenString}
//4.将JWT字符串作为该请求Cookie的一部分返回给用户
Helper.JsonResponse(response, w)
}
//InterceptHelper.go
package Helper
import (
"fmt"
"ginMall/Helper/Constant"
"net/http"
jwt "github.com/dgrijalva/jwt-go"
"github.com/dgrijalva/jwt-go/request"
"github.com/gin-gonic/gin"
)
func IsLogin(c *gin.Context) {
//5.在Cookie失效或者被删除前,用户每次访问应用,应用都会接受到含有jwt的Cookie。
token, err := request.ParseFromRequest(c.Request, request.AuthorizationHeaderExtractor,
//6.应用通过一系列任务检查JWT的有效性
func(token *jwt.Token) (interface{}, error) {
//7.应用在确认JWT有效之后,JWT进行Base64解码
return []byte(Constant.CONST_SECRET_KEY), nil
})
if err == nil {
if token.Valid {
//7.读取用户的id值
//8.应用从数据库取到用户的信息,加载到内存中,进行ORM之类的一系列底层逻辑初始化。
//9.应用根据用户请求进行响应
//next(c.Writer, c.Request)
} else {
c.Writer.WriteHeader(http.StatusUnauthorized)
fmt.Fprint(c.Writer, "Token is not valid")
}
} else {
c.Writer.WriteHeader(http.StatusUnauthorized)
fmt.Fprint(c.Writer, "Unauthorized access to this resource")
}
}