golang实现Web身份认证与权限控制需安全处理密码、会话或JWT及RBAC校验:密码用bcrypt哈希存储;session用httpOnly+Secure cookie管理;JWT需签名密钥保密、存必要字段并维护黑名单;权限通过requireRole中间件统一校验。
使用 golang 实现 Web 应用的身份认证(用户登录)与权限控制,核心在于安全地处理凭证、管理会话或令牌、并校验用户访问资源的合法性。不依赖框架也能做到简洁可靠,关键在选对方案、守住安全边界。
密码存储与验证:永远别存明文
用户注册和登录时,密码必须哈希后存储,推荐使用 bcrypt(Go 标准库 golang.org/x/crypto/bcrypt 提供)。
- 注册时:用
bcrypt.GenerateFromPassword(pwd, bcrypt.DefaultCost)生成哈希,存入数据库 - 登录时:用
bcrypt.CompareHashAndPassword(hash, inputPwd)校验,不手动比对字符串(防时序攻击) - 避免使用 MD5、SHA 等无盐哈希;bcrypt 自带 salt,无需额外处理
会话管理:基于 HTTP-only Cookie 的服务端 Session
适合传统服务端渲染应用。用 gorilla/sessions 或原生 net/http + 安全 cookie 配合内存/redis 存储 session 数据。
- 创建 session store 时启用
Secure(https)、HttpOnly(防 xss 读取)、SameSite=Strict或Lax - 登录成功后:生成唯一 session ID,将
userID和角色(如role: "admin")写入 session,不存密码或敏感字段 - 每次请求通过
session.Get("userID")获取当前用户,为空则重定向到登录页
Token 认证(JWT):适合前后端分离场景
用 golang-jwt/jwt/v5 生成和校验 token,注意规避常见陷阱:
立即学习“go语言免费学习笔记(深入)”;
- 签名密钥(
SigningKey)必须足够长且保密,禁用HS256时用硬编码弱密钥 - token 中只放必要字段(如
sub用户 ID、role、exp),不放密码、权限列表等可变数据 - 服务端需维护“已注销 token 黑名单”(如 Redis 存
token_jti: expireAt),或采用短生命周期 + refresh token 机制 - API 请求头带
Authorization: Bearer xxx,中间件解析并校验签名、过期时间、黑名单
权限控制:基于角色(RBAC)的中间件封装
把权限判断逻辑从业务 handler 中抽离,统一用中间件处理:
- 定义角色常量:
const RoleAdmin = "admin"; const RoleUser = "user" - 写一个
requireRole(roles ...String)中间件:从 session 或 JWT 提取用户角色,检查是否在允许列表中 - 路由注册时链式使用:
http.HandleFunc("/admin/users", requireRole(RoleAdmin)(adminUsersHandler)) - 更细粒度控制可扩展为 “资源+操作” 模型(如
can("delete", "post")),用策略函数或规则引擎(如 casbin)实现
不复杂但容易忽略:所有登录接口必须限流(如用 golang.org/x/time/rate),表单提交加 csrf Token(session 场景),密码错误提示统一为“用户名或密码错误”,避免泄露账号存在性。