中文字幕最新在线,扒丝袜免费午夜在线观看视频 ,日韩在线国产精品

日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告：魔扣目錄網(wǎng)為廣大站長(zhǎng)提供免費(fèi)收錄網(wǎng)站服務(wù)，提交前請(qǐng)做好本站友鏈：【網(wǎng)站目錄：http://www.ylptlb.cn 】，免友鏈快審服務(wù)（50元/站），

網(wǎng)站：51998
待審：31
小程序：12
文章：1030137
會(huì)員：747

首頁(yè) > 新聞資訊 > IT業(yè)界 >正文

GO 驗(yàn)證訪問(wèn)令牌（keycloak）

發(fā)布時(shí)間：2024-03-08 22:19:43 作者：網(wǎng)友整理

在現(xiàn)代的網(wǎng)絡(luò)應(yīng)用中，安全性是至關(guān)重要的。為了保護(hù)用戶數(shù)據(jù)和系統(tǒng)資源，訪問(wèn)令牌的驗(yàn)證是必不可少的一環(huán)。而Keycloak作為一款強(qiáng)大的身份認(rèn)證和訪問(wèn)管理解決方案，為開(kāi)發(fā)者提供了一種簡(jiǎn)單而安全的驗(yàn)證方式。本文將由php小編西瓜為大家介紹如何使用Keycloak進(jìn)行訪問(wèn)令牌的驗(yàn)證，以保障應(yīng)用的安全性。通過(guò)本文的指導(dǎo)，您將能夠輕松地實(shí)現(xiàn)訪問(wèn)令牌的驗(yàn)證，并確保只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)您的應(yīng)用。

問(wèn)題內(nèi)容

我正在嘗試使用 GO 實(shí)現(xiàn)訪問(wèn)令牌驗(yàn)證。但我在網(wǎng)上看到的例子似乎只是用 TOKEN_SECRET 來(lái)驗(yàn)證它。但是我習(xí)慣了在Java spring中編程，并且不需要使用TOKEN_SECRET。我只是提供 jwk-set-uri，它會(huì)檢查有效性（自動(dòng) – 安全過(guò)濾器等），我知道它與 oauth 服務(wù)器通信并進(jìn)行此驗(yàn)證。

Go 中是否沒(méi)有庫(kù)可以通過(guò)向 oauth 服務(wù)器發(fā)出請(qǐng)求來(lái)檢查令牌是否有效？

我知道我知道我可以通過(guò)向 oauth 服務(wù)器的用戶信息端點(diǎn)發(fā)出請(qǐng)求來(lái)手動(dòng)進(jìn)行此操作：

http://localhost:8080/auth/realms//protocol/openid-connect/userinfo

登錄后復(fù)制

（在帶有密鑰授權(quán)的標(biāo)頭中包含令牌）

但我不知道這是否完全符合標(biāo)準(zhǔn)。

正確的做法是什么？

解決方法

簡(jiǎn)短回答：使用 go-oidc

長(zhǎng)答案：
首先，讓我們了解 Spring Security 如何自動(dòng)驗(yàn)證 JWT 訪問(wèn)令牌。按照慣例，如果您在 application.yaml 配置文件中定義 OAuth 2.0 或 OIDC 客戶端屬性，Spring 將自動(dòng)在安全過(guò)濾器鏈中連接一個(gè)過(guò)濾器，從 Keycloak 中獲取 jwk-set，Keycloak 是一組與密鑰對(duì)應(yīng)的公鑰Keycloak 使用它來(lái)簽署令牌。該過(guò)濾器將應(yīng)用于所有受保護(hù)的路由，并且 spring 將使用公鑰來(lái)檢查令牌的簽名是否有效，并在適用時(shí)進(jìn)行其他檢查（受眾、超時(shí)等…）

那么我們?nèi)绾卧?Go 中做到這一點(diǎn)呢？我們可以編寫一個(gè)簡(jiǎn)單的中間件來(lái)接受 jwk-set 并使用它來(lái)驗(yàn)證令牌。您需要檢查 alg 聲明以查看使用了哪種簽名算法，從 jwk-set 中選擇相應(yīng)的公鑰并檢查簽名是否有效。然后，解碼令牌，確認(rèn) iss 和 sub 聲明，以確保它來(lái)自受信任的頒發(fā)者并面向目標(biāo)受眾，并檢查它是否尚未過(guò)期。檢查 nbf （不早于）和 iat （發(fā)布于）聲明的時(shí)間是否正確。最后，如果下游需要，將令牌中的相關(guān)信息注入到請(qǐng)求上下文中。

func JWTMiddleware(jwkSet map[string]*rsa.PublicKey) func(http.Handler) http.Handler {
    return func(next http.Handler) http.Handler {
        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
            authHeader := r.Header.Get("Authorization")
            if authHeader == "" {
                http.Error(w, "Authorization header is required", http.StatusUnauthorized)
                return
            }

            tokenString := strings.TrimPrefix(authHeader, "Bearer ")
            token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
                if _, ok := token.Method.(*jwt.SigningMethodRSA); !ok {
                    return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
                }

                alg := token.Method.Alg()
                publicKey, ok := jwkSet[alg]
                if !ok {
                    return nil, fmt.Errorf("no key found for signing method: %v", alg)
                }
                return publicKey, nil
            })
            
            if err != nil || !token.Valid {
                http.Error(w, "Invalid token", http.StatusUnauthorized)
                return
            }
            // Other checks, ISS, Aud, Expirey, etc ...
            // If needed, store the user principal 
            // and other relevant info the request context  
            next.ServeHTTP(w, r)
        })
    }
}

登錄后復(fù)制

分享到：

標(biāo)簽：springsecurity