GolangJWT认证与权限管理教程

一分耕耘，一分收获！既然都打开这篇《Golang JWT认证与权限管理实战》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新Golang相关的内容，希望对大家都有所帮助！

答案：使用Go语言实现JWT认证需生成包含用户信息的Token并验证权限。用户登录后服务端签发JWT，客户端请求时携带Token，中间件解析并校验角色权限，通过context传递用户信息，结合Gin框架路由控制访问，确保安全性和灵活性。

用 Go 语言实现 JWT 用户认证与权限管理，核心在于安全地生成、验证 Token，并结合用户角色控制接口访问。下面是一个实用的项目结构设计和关键代码实现，适合中小型 Web 服务。

JWT 认证流程设计

用户登录时，服务验证用户名密码，通过则签发一个包含用户 ID 和角色的 JWT。后续请求需在 Authorization 头携带该 Token，中间件负责解析并设置上下文用户信息。

典型流程：

• 用户提交账号密码到 /login
• 服务查库验证，成功后使用密钥生成 JWT
• 返回 Token 给客户端（通常放在响应体或 Set-Cookie）
• 客户端每次请求带上 Token
• 中间件拦截请求，解析 Token 并注入用户信息到 context

基础模型与 JWT 签发

type User struct {
    ID       uint   `json:"id"`
    Username string `json:"username"`
    Password string `json:"password"`
    Role     string `json:"role"` // 如 "admin", "user"
}

使用 github.com/golang-jwt/jwt/v5 包生成 Token：

func GenerateToken(user User) (string, error) {
    claims := jwt.MapClaims{
        "id":       user.ID,
        "username": user.Username,
        "role":     user.Role,
        "exp":      time.Now().Add(time.Hour * 72).Unix(),
    }
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    return token.SignedString([]byte("your-secret-key"))
}

中间件实现权限校验

编写中间件从请求头提取 Token 并验证：

func AuthMiddleware(requiredRole string) gin.HandlerFunc {
    return func(c *gin.Context) {
        tokenString := c.GetHeader("Authorization")
        if tokenString == "" {
            c.JSON(401, gin.H{"error": "未提供 Token"})
            c.Abort()
            return
        }
    // 去除 Bearer 前缀
    tokenString = strings.TrimPrefix(tokenString, "Bearer ")

    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
        return []byte("your-secret-key"), nil
    })

    if err != nil || !token.Valid {
        c.JSON(401, gin.H{"error": "无效或过期的 Token"})
        c.Abort()
        return
    }

    claims, _ := token.Claims.(jwt.MapClaims)

    // 检查角色权限
    role := claims["role"].(string)
    if requiredRole != "" && role != requiredRole {
        c.JSON(403, gin.H{"error": "权限不足"})
        c.Abort()
        return
    }

    // 将用户信息存入 context
    c.Set("userID", uint(claims["id"].(float64)))
    c.Set("username", claims["username"].(string))
    c.Set("role", role)

    c.Next()
}
}

路由与权限控制示例

在 Gin 路由中应用不同权限层级：

r.POST("/login", loginHandler)
// 普通用户可访问
r.GET("/profile", AuthMiddleware(""), profileHandler)
// 仅管理员可访问
r.GET("/admin/users", AuthMiddleware("admin"), getAllUsers)

登录处理函数示例：

func loginHandler(c *gin.Context) {
    var input User
    if err := c.ShouldBindJSON(&input); err != nil {
        c.JSON(400, gin.H{"error": "参数错误"})
        return
    }
// 实际应查数据库并比对哈希密码
user := findUserByUsername(input.Username)
if user == nil || !checkPassword(input.Password, user.Password) {
    c.JSON(401, gin.H{"error": "用户名或密码错误"})
    return
}

token, _ := GenerateToken(*user)
c.JSON(200, gin.H{"token": token})
}

基本上就这些。重点是 Token 安全存储（服务端密钥保密）、合理设置过期时间、避免敏感信息写入 payload，以及在中间件中正确传递上下文。权限判断可以进一步抽象成策略模式支持多角色或资源级控制，但基础结构不变。

今天带大家了解了的相关知识，希望对你有所帮助；关于Golang的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~