猿问

如何使用 jwt-go 库验证 JSON Web 令牌?

我在 golang 中使用 jwt-go 库,并使用HS512算法对令牌进行签名。我想确保令牌有效并且文档中的示例是这样的:


token, err := jwt.Parse(myToken, func(token *jwt.Token) (interface{}, error) {

    return myLookupKey(token.Header["kid"])

})


if err == nil && token.Valid {

    fmt.Println("Your token is valid.  I like your style.")

} else {

    fmt.Println("This token is terrible!  I cannot accept this.")

}

我知道这myToken是字符串令牌,并且keyFunc得到了解析的令牌,但我不明白应该做什么myLookupKey 函数?,并且当我将它打印到控制台时token.Header没有kid值,甚至认为令牌具有所有我放进去的数据,token.Valid总是假的。这是一个错误吗?如何验证令牌是否有效?


繁星点点滴滴
浏览 206回答 1
1回答

青春有我

本keyFunc应该返回私钥图书馆应使用来验证令牌的签名。您如何获得此密钥完全取决于您。文档中的示例显示了jwt-go 库提供的非标准(未在RFC 7519 中定义)附加功能。使用kid标头中的字段(密钥 ID 的缩写),客户端可以指定令牌使用哪个密钥进行签名。在验证时,您可以使用密钥 ID 查找(可能是多个)已知密钥之一(如何以及是否实施此密钥查找取决于您)。如果您不想使用此功能,请不要使用。只需从 返回一个静态字节流,而keyFunc无需检查令牌标头:token, err := jwt.Parse(myToken, func(token *jwt.Token) (interface{}, error) {    key, err := ioutil.ReadFile("your-private-key.pem")    if err != nil {        return nil, errors.New("private key could not be loaded")    }    return key, nil})
0
随时随地看视频慕课网APP

相关分类

Go
我要回答