【AI图像生成网站Golang】JWT认证与令牌桶算法
AI图像生成网站
目录
一、项目介绍
二、雪花算法
三、JWT认证与令牌桶算法
四、项目架构
五、图床上传与图像生成API搭建
六、项目测试与调试(等待更新)
三、JWT认证与令牌桶算法
在现代后端开发中,用户认证和接口限流是确保系统安全性和性能的两大关键要素。本文将基于实际代码,介绍 JWT 认证 和 令牌桶限流算法 的原理和实现。
1. JWT认证
JWT(JSON Web Token)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式,用于在各方之间安全地传输信息。这些信息经过签名验证后,可以信任其真实性。它通常用于用户认证场景,流程如下:
- 用户登录成功后,服务器生成一个JWT并返回给客户端。
- 客户端每次访问受保护的接口时,将JWT放入请求头中。
- 服务器解析JWT验证用户身份。
一个典型的JWT由三部分组成:
- Header:描述加密算法类型(如 HS256)。
- Payload(有效载荷):实际数据,例如用户信息和 Token 过期时间。
- Signature:通过密钥和 Header、Payload 签名生成,用于验证数据的完整性。
JWT 的标准声明只包含一些通用字段(如 exp、iat1),但在实际应用中,我们需要存储更多的业务数据,比如用户 ID 和用户名。
在 JWT 中,Payload 就是 Token 的核心数据部分,用来存储那些需要在两方之间传递的信息。它包含了自定义的声明(Claims),例如用户的标识(user_id)或过期时间(exp)。Payload 不会被加密,但会被签名以保证数据的完整性。我们可以自定义结构体 MyClaims来实现自定义声明:
type MyClaims struct {UserID uint64 `json:"user_id"`Username string `json:"username"`jwt.StandardClaims
}
之后,我们需要生成Access Token和Refresh Token来减少用户的重复登录行为,从而在保证安全性的同时提高交互体验,具体交互过程为:
用户登录阶段
- 用户在登录页面输入用户名和密码。
- 服务器验证用户的身份后,生成并返回:
- 一个短期有效的 Access Token。
- 一个长期有效的 Refresh Token。
- 客户端存储 Token(通常 Access Token 存在内存中,Refresh Token 存在安全存储区)。
生成 Access Token 和 Refresh Token 的函数如下:
// 定义Secret 用于加密的字符串
var mySecret = []byte("aidraw")func GenToken(userID uint64, username string) (aToken, rToken string, err error) {c := MyClaims{UserID: userID,Username: username,StandardClaims: jwt.StandardClaims{ExpiresAt: time.Now().Add(AccessTokenExpireDuration).Unix(),Issuer: "aidraw",},}aToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, c).SignedString(mySecret)rToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.StandardClaims{ExpiresAt: time.Now().Add(RefreshTokenExpireDuration).Unix(),Issuer: "aidraw",}).SignedString(mySecret)return
}与网站交互阶段
- 初始请求:客户端将 Access Token 添加到每个请求的 HTTP 头部(
Authorization: Bearer <Access Token>)。服务器解析 Token 并验证用户身份。
解析Token的代码为:
func keyFunc(_ *jwt.Token) (i interface{}, err error) {return mySecret, nil
}// ParseToken 解析Token.
func ParseToken(tokenString string) (claims *MyClaims, err error) {claims = new(MyClaims)token, err := jwt.ParseWithClaims(tokenString, claims, keyFunc)if err != nil {return}if !token.Valid {err = errors.New("invalid token")}return
}- Access Token 过期:当 Access Token 失效时,客户端会用 Refresh Token 请求新的 Access Token。
刷新Token的代码为:
func RefreshToken(aToken, rToken string) (newAToken, newRToken string, err error) {// 验证 Refresh Token 是否有效if _, err = jwt.Parse(rToken, keyFunc); err != nil {return}// 解析 Access Token 提取用户信息var claims MyClaims_, err = jwt.ParseWithClaims(aToken, &claims, keyFunc)v, _ := err.(*jwt.ValidationError)// 如果 Access Token 是过期错误,生成新的 Tokenif v.Errors == jwt.ValidationErrorExpired {return GenToken(claims.UserID, claims.Username)}return
}- 刷新 Token 过程:
1. 客户端发送 Refresh Token 给/refresh_tokenAPI。
2. 服务器验证 Refresh Token 是否有效。
3. 如果 Refresh Token 合法且未过期,生成新的 Access Token 和 新的 Refresh Token。
2. 基于 JWT 的认证中间件
为了在路由处理函数中提取用户信息,我们需要实现一个基于 JWT 的 Gin 中间件:
- 从请求头的
Authorization字段提取 Token。 - 验证 Token 的合法性。
- 将解析出的用户信息保存到上下文中,供后续的路由函数使用。
代码如下:
package middlewaresimport ("backend/controller""backend/pkg/jwt""fmt""strings""github.com/gin-gonic/gin"
)// JWTAuthMiddleware 基于JWT的认证中间件
func JWTAuthMiddleware() func(c *gin.Context) {return func(c *gin.Context) {// 客户端携带Token有三种方式 1.放在请求头 2.放在请求体 3.放在URI// 这里假设Token放在Header的Authorization中,并使用Bearer开头// 这里的具体实现方式要依据你的实际业务情况决定authHeader := c.Request.Header.Get("Authorization")if authHeader == "" {controller.ResponseErrorWithMsg(c, controller.CodeInvalidToken, "请求头缺少Auth Token")c.Abort()return}// 按空格分割parts := strings.SplitN(authHeader, " ", 2)if !(len(parts) == 2) {controller.ResponseErrorWithMsg(c, controller.CodeInvalidToken, "Token格式不对")c.Abort()return}// parts[1]是获取到的tokenString,我们使用之前定义好的解析JWT的函数来解析它mc, err := jwt.ParseToken(parts[1])if err != nil {fmt.Println(err)controller.ResponseError(c, controller.CodeInvalidToken)c.Abort()return}// 将当前请求的userID信息保存到请求的上下文c上c.Set(controller.ContextUserIDKey, mc.UserID)c.Next() // 后续的处理函数可以用过c.Get(ContextUserIDKey)来获取当前请求的用户信息}
}3. 令牌桶限流算法
在现代 Web 开发中,流量控制是确保系统稳定性的重要手段之一。令牌桶算法(Token Bucket Algorithm)是一种广泛使用的限流算法,可以高效处理突发流量。其核心思想如下:
- 固定速率发放令牌:按照指定的时间间隔,将令牌加入桶中。
- 允许突发流量:桶有一个固定的容量,当令牌数量达到容量时,新的令牌会被丢弃。
- 请求消耗令牌:每次请求需要消耗一定数量的令牌,如果桶中没有足够的令牌,请求将被拒绝或等待。
适用于需要控制 API 的访问频率、允许短时间内的突发请求(如秒杀活动)的场景。
令牌桶中间件实现
实现令牌桶限流中间件代码如下:
package middlewaresimport ("github.com/gin-gonic/gin""github.com/juju/ratelimit""net/http""time"
)// RateLimitMiddleware 创建指定填充速率和容量大小的令牌桶
func RateLimitMiddleware(fillInterval time.Duration, cap int64) func(c *gin.Context) {// 创建令牌桶bucket := ratelimit.NewBucket(fillInterval, cap)return func(c *gin.Context) {// 检查是否能够获取令牌if bucket.TakeAvailable(1) == 0 {// 如果令牌不足,返回限流提示c.String(http.StatusOK, "rate limit...")c.Abort() // 中断请求return}// 如果获取到令牌,继续处理请求c.Next()}
}参数说明:
- fillInterval:令牌添加的时间间隔。
- cap:桶的容量。
调用代码
本项目通过在所有路由之前设置令牌桶中间件实现了全局限流:
//初始化 gin Engine 新建一个没有任何默认中间件的路由
r := gin.New()
//设置中间件
r.Use(middlewares.RateLimitMiddleware(2*time.Second, 40), // 每两秒钟添加十个令牌 全局限流
)r.LoadHTMLFiles("templates/index.html") // 加载html
exp和iat是 JWT 中的标准声明字段(Standard Claims)。这些字段遵循RFC 7519的规范,表示 Token 的时间相关信息。
exp(Expiration Time):表示 Token 的过期时间。单位为秒,自 Unix 时间纪元(1970-01-01 00:00:00 UTC)以来的秒数。当客户端请求到达服务器时,如果当前时间大于 exp,Token 会被判定为无效。例如1699844000表示过期时间是 2023-11-12 10:00:00 UTC。
iat(Issued At):表示 Token 签发的时间。单位同样为秒,用于标识 Token 的创建时间。它可以用来防止 Token 重放攻击(Replay Attack)。 ↩︎