备案控制台
开发者社区 云原生 微服务 文章 正文

Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务(三):RSA(RS512) 签名 JWT

2022-06-11 799
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
云原生网关 MSE Higress,422元/月
注册配置 MSE Nacos/ZooKeeper,118元/月
简介: Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务(三):RSA(RS512) 签名 JWT

JWT & RS512


JWTRSA 详解,这里就不科普了。Google 一下,太多文章介绍了。

我们进入官网:https://jwt.io/


微信图片_20220611160124.png


我们这里看图说话,注意 Decoded 部分:


  1. HEADER:ALGORITHM & TOKEN TYPE
  2. PAYLOAD:DATA
  3. VERIFY SIGNATURE


没错,JWT 就这三部分组成 HEADER.PAYLOAD.SIGNATURE(头部.负载.签名),我们这里选择非对称加密算法(RS512)。


简单来说(编码时),鉴权微服务使用 Private Key 用来生成签名,其它微服务使用 Public Key 验证签名是不是 Auth 微服务签发的(过期、数据有无篡改等)。Private Key & Public Key 是成对出现的。


这里编码测试直接用 jwt.io 官网提供的,我们复制出来就好。


微信图片_20220611160140.png


RSA PRIVATE KEY


-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----


我们将其放在 microsvcs/auth/private.key


PUBLIC KEY


-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnzyis1ZjfNB0bBgKFMSv
vkTtwlvBsaJq7S5wA+kzeVOVpVWwkWdVha4s38XM/pa/yr47av7+z3VTmvDRyAHc
aT92whREFpLv9cj5lTeJSibyr/Mrm/YtjCZVWgaOYIhwrXwKLqPr/11inWsAkfIy
tvHWTxZYEcXLgAXFuUuaS3uF9gEiNQwzGTU1v0FqkqTBr4B8nW3HCN47XUu0t8Y0
e+lf4s4OxQawWD79J9/5d3Ry0vbV3Am1FtGJiJvOwRsIfVChDpYStTcHTCMqtvWb
V6L11BWkpzGXSW4Hv43qa+GSYOD2QU68Mb59oSk2OB+BtOLpJofmbGEGgvmwyCI9
MwIDAQAB
-----END PUBLIC KEY-----


我们将其放在 microsvcs/auth/public.key


Payload


这里我们要用的测试 Data 如下:


{
  "exp": 1516246222,
  "iat": 1516239022,
  "iss": "server/auth",
  "sub": "607266aa512e006d58b79d22"
}


  • iss:表示谁签发,这里就是我们的这个鉴权微服务。
  • iattoken 签发时间
  • exptoken 过期时间
  • sub:谁被签发,这里就是我们的账号 ID


编码实战


定义 TokenGenerator 接口 & 使用


我们进入到 microsvcs/auth/auth/auth.go,延续我们之前的逻辑,因为生成 Token 是个独立的实现,所以按套路我们定义一个 TokenGenerator 接口。


type TokenGenerator interface {
  GenerateToken(accountID string, expire time.Duration) (string, error)
}


使用者定义接口使用者定义接口使用者定义接口重要事说三遍!!!

改造 type Service struct 如下:


type Service struct {
  Mongo          *dao.Mongo
  Logger         *zap.Logger
  OpenIDResolver OpenIDResolver
  TokenGenerator TokenGenerator // 生成器
  TokenExpire    time.Duration  // 过期时间
  authpb.UnimplementedAuthServiceServer
}


我们让 TokenGenerator & TokenExpire 从外面传进来,通通可配,随时替换相关实现。

用的时候就非常简单了:


...
...
tkn, err := s.TokenGenerator.GenerateToken(accountID, s.TokenExpire)
if err != nil {
  s.Logger.Error("cannot generate token", zap.Error(err))
  return nil, status.Error(codes.Internal, "")
}
return &authpb.LoginResponse{
  AccessToken: tkn,
  ExpiresIn:   int32(s.TokenExpire.Seconds()),
}, nil


实现 TokenGenerator 接口


我们编写如下代码(文件位于microsvcs/auth/token/jwt.go):


type JWTTokenGen struct {
  privateKey *rsa.PrivateKey
  issuer     string
  nowFunc    func() time.Time
}
func NewJWTTokenGen(issuer string, privateKey *rsa.PrivateKey) *JWTTokenGen {
  return &JWTTokenGen{
    issuer:     issuer,
    nowFunc:    time.Now,
    privateKey: privateKey,
  }
}
func (t *JWTTokenGen) GenerateToken(accountID string, expire time.Duration) (string, error) {
  nowSec := t.nowFunc().Unix()
  token := jwt.NewWithClaims(jwt.SigningMethodRS512, jwt.StandardClaims{
    Issuer:    t.issuer, // 签发者
    IssuedAt:  nowSec, // 签发时间
    ExpiresAt: nowSec + int64(expire.Seconds()), // 过期时间
    Subject:   accountID, // 签发给谁
  })
  return token.SignedString(t.privateKey)
}


写代码的套路都是一样的:


  • 定义一个 struct(JWTTokenGen)
  • 外部可初始化该 struct(NewJWTTokenGen),让一些公共私密的资源可配置化(如:rsa.PrivateKey
  • TokenGenerator 接口的具体实现(GenerateToken)

注意:这里定义 nowFunc,方便 Unit Tests 固定某一个时间点去做签发工作。


编写测试


具体代码位于 microsvcs/auth/token/jwt_test.go


func TestGenerateToken(t *testing.T) {
  pkFile, err := os.Open("../private.key")
  if err != nil {
    logger.Fatal("cannot open private key", zap.Error(err))
  }
  pkBytes, err := ioutil.ReadAll(pkFile)
  if err != nil {
    logger.Fatal("cannot read private key", zap.Error(err))
  }
  key, err := jwt.ParseRSAPrivateKeyFromPEM(pkBytes)
  if err != nil {
    logger.Fatal("cannot parse private key", zap.Error(err))
  }
  g := NewJWTTokenGen("server/auth", key)
  g.nowFunc = func() time.Time {
    return time.Unix(1516239022, 0)
  }
  tkn, err := g.GenerateToken("607266aa512e006d58b79d22", 2*time.Hour)
  if err != nil {
    t.Errorf("cannot generate token: %v", err)
  }
  want := "eyJhbGciOiJSUzUxMiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1MTYyNDYyMjIsImlhdCI6MTUxNjIzOTAyMiwiaXNzIjoic2VydmVyL2F1dGgiLCJzdWIiOiI2MDcyNjZhYTUxMmUwMDZkNThiNzlkMjIifQ.nwhaGZ0dozftexVfr9KM9ZVAzsPudhLs-n-yyrrjkbFTYA69rsEd35M0vc1gJ1DNMJk_v-1yUhkgRpxzP2Jiy1Lw8fqIlAk8l9EpDE77oJ9Dal6Rl26GERYZOkCvbq02fKSVj4drlSr75fIce9EnQq2xIVyvvNNty-QvHXTX29QQv-6c8vVYIrCFxtooARN9p8OSpg0hzc-YzsXo64lbUvbLIws27TJNwhctbqrOYQuX9XU3UhJ4Ik0Yt2cLc4LjuqI52Grvf89mJMmM5jnHQv0tKI2guvxNwlC3WN50dCIcuo1zjO-_eSje5OvqP7FKR1eSwnEcZiZQ8qwDDGi8pA"
  if tkn != want {
    t.Errorf("wrong token generated. want: %q, got: %q", want, tkn)
  }
}


联调


更新 microsvcs/auth/main.go

我们增加 TokenExpireTokenGenerator 的相关配置。


authpb.RegisterAuthServiceServer(s, &auth.Service{
    OpenIDResolver: &wechat.Service{
      AppID:     "your-app-id",
      AppSecret: "your-app-secret",
    },
    Mongo:          dao.NewMongo(mongoClient.Database("grpc-gateway-auth")),
    Logger:         logger,
    TokenExpire:    2 * time.Hour,
    TokenGenerator: token.NewJWTTokenGen("server/auth", privKey),
})


小程序联调


微信图片_20220611160229.png


完美签发 Token

大家持续关注,未完待续……

文章标签:
Go
微服务
小程序
关键词:
微服务构建
微服务服务
微服务实战
实战小程序
Go服务
黑客下午茶
目录
相关文章
码农阿豪
|
2天前
|
存储 小程序 前端开发
【微信小程序 - 工作实战分享】1.微信小程序发送手机短信验证码(阿里云)
【微信小程序 - 工作实战分享】1.微信小程序发送手机短信验证码(阿里云)
码农阿豪
8 0
落雨便归尘
|
10天前
|
存储 算法 Go
go语言并发实战——日志收集系统(七) etcd的介绍与简单使用
go语言并发实战——日志收集系统(七) etcd的介绍与简单使用
落雨便归尘
16 0
落雨便归尘
|
10天前
|
监控 Go
go语言并发实战——日志收集系统(八) go语言操作etcd以及利用watch实现对键值的监控
go语言并发实战——日志收集系统(八) go语言操作etcd以及利用watch实现对键值的监控
落雨便归尘
16 1
go语言并发实战——日志收集系统(八) go语言操作etcd以及利用watch实现对键值的监控
米诺斯
|
5天前
|
SQL 小程序 JavaScript
微信小程序登录(保持登录状态)
微信小程序登录(保持登录状态)
米诺斯
18 1
落雨便归尘
|
10天前
|
消息中间件 存储 监控
go语言并发实战——日志收集系统(六) 编写日志收集系统客户端
go语言并发实战——日志收集系统(六) 编写日志收集系统客户端
落雨便归尘
13 1
大数据文摘
|
8天前
|
JSON 算法 Shell
怎么在在 go 中使用 jwt
JWT(JSON Web Tokens)由三个部分组成:Header、Payload和Signature。Header通常包含`alg`(算法)和`typ`(类型)字段,如`HS256`或`JWT`。Payload则包括官方标准字段如`iss`(签发人)、`exp`(过期时间)等,以及可自定义的数据,比如用户信息。Signature用于验证JWT未被篡改,通过HMAC算法(如HS256)或非对称加密(如RS256)确保安全性。完整JWT是这三部分经过编码和签名后的结果。
大数据文摘
15 0
weixin_836869520
|
8天前
|
存储 小程序 前端开发
用云开发快速制作客户业务需求收集小程序丨实战
用云开发快速制作客户业务需求收集小程序丨实战
weixin_836869520
15 0
落雨便归尘
|
10天前
|
JSON 算法 Go
go语言后端开发学习(一)——JWT的介绍以及基于JWT实现登录验证
go语言后端开发学习(一)——JWT的介绍以及基于JWT实现登录验证
落雨便归尘
17 0
落雨便归尘
|
10天前
|
监控 Go
go语言并发实战——日志收集系统(十一)基于etcd来监视配置文件的变化
go语言并发实战——日志收集系统(十一)基于etcd来监视配置文件的变化
落雨便归尘
9 0
落雨便归尘
|
10天前
|
监控 Go
go语言并发实战——日志收集系统(十) 重构tailfile模块实现同时监控多个日志文件
go语言并发实战——日志收集系统(十) 重构tailfile模块实现同时监控多个日志文件
落雨便归尘
10 0
云原生

微服务

热门文章

最新文章

  • 1
    微服务架构的理论基础 - 康威定律
  • 2
    微服务(Microservice)那点事
  • 3
    微服务网关Zuul迁移到Spring Cloud Gateway
  • 4
    微服务架构下的事务一致性保证
  • 5
    阿里巴巴微服务开源项目盘点(持续更新)
  • 6
    王东:微服务下的APM全链路监控
  • 7
    Spring Cloud Alibaba 新一代微服务解决方案
  • 8
    微服务架构四大金刚利器
  • 9
    如何在微服务架构中实现安全性?
  • 10
    主流微服务注册中心浅析和对比
  • 1
    Feign远程调用,被调用方执行超时,seata全局事务回滚,但是被调用方还是正常执行了,如何解决因为超时,导致的事务不一致?
    44
  • 2
    SpringCloud微服务实战——搭建企业级开发框架(四十七):【移动开发】整合uni-app搭建移动端快速开发框架-添加Axios并实现登录功能
    83
  • 3
    windows端口被占用,无法通过netstat找到进程,占用的端口又不能修改,该怎么办?
    60
  • 4
    除了认证和授权,Spring Security 还提供了哪些安全特性
    113
  • 5
    读Spring5核心原理自己总结的一些面试时的干货(IOC-AOP 及简单的设计模式)
    28
  • 6
    手机号处理脱敏加*,格式化处理加‘ ‘空格,加‘-‘
    34
  • 7
    `systemd` 中的 Unit 和 Target 是什么?
    33
  • 8
    阿里云微服务引擎 MSE 及 API 网关 2024 年 05 月产品动态
    87
  • 9
    HATEOAS 是什么
    42
  • 10
    解决 Spring 中 Prototype Bean 注入后被固定的问题
    29

    • 相关课程

    更多
  • IoT小程序框架课程
  • Go语言核心编程 - 数据结构和算法
  • Go语言核心编程 - 基础语法、数组、切片、Map
  • Go语言核心编程 - 面向对象、文件、单元测试、反射、TCP编程
  • Go语言完全自学手册图文教程
  • 微服务实战-服务注册与发现 - Nacos Discovery

    • 相关电子书

    更多
  • 《云市场-小程序》
  • 数字乡村建设方案
  • mPaaS 小程序新品发布

    • 相关实验场景

    更多
  • 1分钟SAE部署PHP商城小程序
  • 通过EDAS实现K8s微服务应用的金丝雀发布
  • 阿里云IoT小程序应用开发和组件实践
  • 搭建IoT小程序开发环境,创建一个应用
  • SAE极速部署弹性微服务商城
  • 基于MSE实现微服务的全链路灰度
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)