亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

在現(xiàn)代的網(wǎng)絡(luò)應用中，安全性是至關(guān)重要的。為了保護用戶數(shù)據(jù)和系統(tǒng)資源，訪問令牌的驗證是必不可少的一環(huán)。而Keycloak作為一款強大的身份認證和訪問管理解決方案，為開發(fā)者提供了一種簡單而安全的驗證方式。本文將由php小編西瓜為大家介紹如何使用Keycloak進行訪問令牌的驗證，以保障應用的安全性。通過本文的指導，您將能夠輕松地實現(xiàn)訪問令牌的驗證，并確保只有經(jīng)過授權(quán)的用戶才能訪問您的應用。

問題內(nèi)容

我正在嘗試使用 GO 實現(xiàn)訪問令牌驗證。但我在網(wǎng)上看到的例子似乎只是用 TOKEN_SECRET 來驗證它。但是我習慣了在Java spring中編程，并且不需要使用TOKEN_SECRET。我只是提供 jwk-set-uri，它會檢查有效性（自動 – 安全過濾器等），我知道它與 oauth 服務器通信并進行此驗證。

Go 中是否沒有庫可以通過向 oauth 服務器發(fā)出請求來檢查令牌是否有效？

我知道我知道我可以通過向 oauth 服務器的用戶信息端點發(fā)出請求來手動進行此操作：

http://localhost:8080/auth/realms//protocol/openid-connect/userinfo

登錄后復制

（在帶有密鑰授權(quán)的標頭中包含令牌）

但我不知道這是否完全符合標準。

正確的做法是什么？

解決方法

簡短回答：使用 go-oidc

長答案：
首先，讓我們了解 Spring Security 如何自動驗證 JWT 訪問令牌。按照慣例，如果您在 application.yaml 配置文件中定義 OAuth 2.0 或 OIDC 客戶端屬性，Spring 將自動在安全過濾器鏈中連接一個過濾器，從 Keycloak 中獲取 jwk-set，Keycloak 是一組與密鑰對應的公鑰Keycloak 使用它來簽署令牌。該過濾器將應用于所有受保護的路由，并且 spring 將使用公鑰來檢查令牌的簽名是否有效，并在適用時進行其他檢查（受眾、超時等…）

那么我們?nèi)绾卧?Go 中做到這一點呢？我們可以編寫一個簡單的中間件來接受 jwk-set 并使用它來驗證令牌。您需要檢查 alg 聲明以查看使用了哪種簽名算法，從 jwk-set 中選擇相應的公鑰并檢查簽名是否有效。然后，解碼令牌，確認 iss 和 sub 聲明，以確保它來自受信任的頒發(fā)者并面向目標受眾，并檢查它是否尚未過期。檢查 nbf （不早于）和 iat （發(fā)布于）聲明的時間是否正確。最后，如果下游需要，將令牌中的相關(guān)信息注入到請求上下文中。

func JWTMiddleware(jwkSet map[string]*rsa.PublicKey) func(http.Handler) http.Handler {
    return func(next http.Handler) http.Handler {
        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
            authHeader := r.Header.Get("Authorization")
            if authHeader == "" {
                http.Error(w, "Authorization header is required", http.StatusUnauthorized)
                return
            }

            tokenString := strings.TrimPrefix(authHeader, "Bearer ")
            token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
                if _, ok := token.Method.(*jwt.SigningMethodRSA); !ok {
                    return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
                }

                alg := token.Method.Alg()
                publicKey, ok := jwkSet[alg]
                if !ok {
                    return nil, fmt.Errorf("no key found for signing method: %v", alg)
                }
                return publicKey, nil
            })
            
            if err != nil || !token.Valid {
                http.Error(w, "Invalid token", http.StatusUnauthorized)
                return
            }
            // Other checks, ISS, Aud, Expirey, etc ...
            // If needed, store the user principal 
            // and other relevant info the request context  
            next.ServeHTTP(w, r)
        })
    }
}

登錄后復制