Go中JWT鉴权核心是生成、解析验证和中间件校验三步;推荐用golang-jwt/jwt/v5库,密钥需32字节随机,载荷只放必要字段并设exp/iat,中间件统一提取Bearer Token、解析注入context,路由中应用并可扩展RBAC,注意httpOnly Cookie、aud/iss校验及jti黑名单防注销漏洞。
在 Go 中实现 JWT 接口鉴权,核心是三步:生成 Token、解析验证 Token、在 HTTP 中间件中拦截并校验。关键不是“用哪个库”,而是理清流程和安全细节。
使用 jwt-go 生成与解析 Token
推荐使用社区维护更活跃的 github.com/golang-jwt/jwt/v5(原 jwt-go 的继任者),避免旧版已知的安全隐
患。
- 签名密钥建议用随机生成的 32 字节以上密钥(
crypto/rand.Read),不要硬编码或用简单字符串 - Token 载荷(Claims)应只放必要字段,如
user_id、exp、iat;避免存敏感信息或可被篡改的业务数据 - 务必设置
exp(过期时间)和iat(签发时间),并在解析时启用VerifyExpiresAt和VerifyIssuedAt
编写鉴权中间件统一校验
把 Token 校验逻辑封装成 HTTP 中间件,避免每个 handler 重复写解析代码。
- 从
Authorization: Bearer xxx头中提取 Token 字符串 - 调用
jwt.ParseWithClaims验证签名和标准声明;若失败,直接返回401 Unauthorized - 验证通过后,将解析出的 Claims(如用户 ID)注入
context.Context,后续 handler 可安全获取 - 注意处理空 Token、格式错误、签名无效、已过期等不同错误,返回明确且不泄露信息的提示(如统一返回
invalid token)
在路由中应用中间件并保护接口
用标准 net/http 或 Gin/Chi 等框架时,中间件注册方式略有不同,但逻辑一致。
- 登录成功后,调用 Token 生成函数,把结果写入响应头或 JSON body(如
{"token": "xxx"}) - 对需要权限的路由(如
/api/profile),在注册 handler 前叠加鉴权中间件 - 管理后台、用户专属接口等场景,可在中间件里进一步检查 Claims 中的角色(
role)字段,做 RBAC 初筛 - 刷新 Token 建议用双 Token 方案(Access + Refresh),Refresh Token 存服务端(如 Redis),并绑定设备指纹/IP
注意常见安全陷阱
JWT 不是银弹,很多漏洞源于误用而非协议本身。
- 别把 Token 存在 localStorage —— XSS 可窃取;优先用 httpOnly + Secure Cookie(配合 SameSite=Strict)
- 服务端必须校验
aud(受众)和iss(签发方),尤其在多租户或 OAuth 场景下 - 收到注销请求时,不能只删客户端 Token;需在 Redis 维护一个短期黑名单(jti 黑名单),或缩短 Access Token 有效期
- 禁止接受
alg: none的 Token —— 解析时显式指定允许的 SigningMethod(如jwt.SigningMethodHS256)
