golang实现API认证需三步:生成JWT Token(含user_id、role、exp,用环境密钥签名)、解析Token并注入Context的认证中间件、按角色校验权限的授权中间件;全程可基于net/http,无需框架。
用 golang 实现 API 认证,核心是:生成 Token、解析 Token、用中间件拦截请求并校验权限。不依赖框架也能做,关键在逻辑清晰、签名可靠、权限粒度可控。
生成 JWT Token(含用户 ID 和角色)
使用 github.com/golang-jwt/jwt/v5 生成带 payload 的 Token,例如包含 user_id、role、exp:
- 定义自定义 Claims 结构体,嵌入
jwt.RegisteredClaims - 设置过期时间(如 24 小时),用安全密钥(如从环境变量读取)签名
- 登录成功后返回 Token 字符串,前端存在 localStorage 或 Authorization Header 中
编写认证中间件(解析并注入用户信息)
中间件负责从 Authorization: Bearer xxx 提取 Token,验证签名和有效期,并把解析出的用户信息塞进 http.Request.Context:
- 检查 Header 是否存在且格式正确
- 用相同密钥解析 Token,捕获
jwt.ErrTokenExpired等错误并返回 401 - 解析成功后,用
context.WithValue把用户 ID 和角色存入 Context,后续 handler 可安全获取
权限中间件(按角色或资源控制访问)
在认证中间件之后再加一层权限检查,比如只允许 admin 访问 /api/users:
立即学习“go语言免费学习笔记(深入)”;
mallcloud商城 
0
mallcloud商城基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离vue的企业级微服务敏捷开发系统架构。并引入组件化的思想实现高内聚低耦合,项目代码简洁注释丰富上手容易,适合学习和企业中使用。真正实现了基于RBAC、jwt和oauth2的无状态统一权限认证的解决方案,面向互联网设计同时适合B端和C端用户,支持CI/CD多环境部署,并提
0 
- 从 Context 中取出用户角色(如
ctx.Value("role").(String)) - 硬编码白名单(开发阶段)、查数据库权限表(生产推荐)、或用 RBAC 模型匹配路由
- 不满足权限时直接返回 403,不执行后续 handler
实际路由组合示例
用标准 net/http 就能串起完整链路:
-
http.HandleFunc("/login", loginHandler)—— 发放 Token http.HandleFunc("/api/profile", authMiddleware(roleMiddleware("user", profileHandler)))http.HandleFunc("/api/admin", authMiddleware(roleMiddleware("admin", adminHandler)))
中间件可嵌套,顺序很重要:先 auth,再 role,最后业务 handler。
基本上就这些。Token 安全靠签名和过期,权限靠中间件分层拦截,不复杂但容易忽略错误处理和上下文传递细节。