jwt-go

这是一个go（或为了搜索引擎友好而称为'golang'）实现的JSON Web Tokens。

从v4.0.0版本开始，本项目添加了Go模块支持，但保持了与旧版v3.x.y标签和上游github.com/dgrijalva/jwt-go的向后兼容性。更多信息请参阅MIGRATION_GUIDE.md。v5.0.0版本引入了对令牌验证的重大改进，但不完全向后兼容。

在原作者建议迁移jwt-go的维护之后，一个专门的开源维护团队决定将现有库克隆到这个仓库中。有关此主题的详细讨论，请参见dgrijalva/jwt-go#462。

**安全提示：**一些较旧版本的Go在crypto/elliptic中存在安全问题。建议至少升级到1.15版本。详细信息请参见问题dgrijalva/jwt-go#216。

**安全提示：**重要的是，你应该验证所呈现的alg是否符合你的预期。这个库通过要求密钥类型与预期的alg匹配来尝试简化正确操作，但你应该在使用时额外验证它。请参考提供的示例。

支持的Go版本

我们对Go版本的支持与Go的版本发布政策保持一致。因此，我们将支持一个主要版本的Go，直到有两个更新的主要版本发布。我们不再支持使用不受支持的Go版本构建jwt-go，因为这些版本包含不会被修复的安全漏洞。

JWT是什么？

JWT.io有一个很好的介绍来解释JSON Web Tokens。

简而言之，它是一个签名的JSON对象，用于执行某些有用的操作（例如，身份验证）。它通常用于OAuth 2中的Bearer令牌。一个令牌由三部分组成，用.分隔。前两部分是JSON对象，经过base64url编码。最后一部分是签名，使用相同方式编码。

第一部分称为头部。它包含验证最后一部分（签名）所需的信息。例如，使用了哪种加密方法进行签名，以及使用了什么密钥。

中间部分是最有趣的部分。它被称为声明，包含你真正关心的实际内容。有关保留键和添加自己的键的正确方法，请参阅RFC 7519。

这个库包含什么？

这个库支持JWT的解析和验证，以及生成和签名。目前支持的签名算法包括HMAC SHA、RSA、RSA-PSS和ECDSA，同时也提供了用于添加自定义算法的钩子。

安装指南

1. 要安装jwt包，你首先需要安装Go，然后可以使用以下命令将jwt-go作为依赖项添加到你的Go程序中。

go get -u github.com/golang-jwt/jwt/v5

2. 在代码中导入：

import "github.com/golang-jwt/jwt/v5"

使用方法

有关如何签名和验证令牌的详细使用指南，可以在我们的文档网站上找到。

示例

请参阅项目文档中的使用示例：

• 解析和验证令牌的简单示例
• 构建和签名令牌的简单示例
• 示例目录

合规性

这个库最后一次审查是为了符合2015年5月的RFC 7519，但有一些显著的区别：

• 为了防止意外使用不安全的JWTs，只有在提供常量jwt.UnsafeAllowNoneSignatureType作为密钥时，才会接受使用alg=none的令牌。

项目状态和版本控制

这个库被认为已经可以用于生产环境。我们欢迎反馈和功能请求。API应该被视为稳定。除了主要版本更新（而且只有在有充分理由的情况下），不应该有太多向后不兼容的更改。

这个项目使用语义版本控制2.0.0。被接受的pull请求将合并到main分支。版本将定期从main分支标记。你可以在项目发布页面找到所有的发布版本。

**重大变更：**完整的重大变更列表可在VERSION_HISTORY.md中找到。有关更新代码的更多信息，请参阅MIGRATION_GUIDE.md。

扩展

这个库发布了所有必要的组件，用于添加你自己的签名方法或密钥函数。只需实现SigningMethod接口并使用RegisterSigningMethod注册工厂方法，或提供一个jwt.Keyfunc。

一个常见的用例是与不同的第三方签名提供商集成，如各种云提供商的密钥管理服务或硬件安全模块（HSMs），或实现额外的标准。

免责声明：除非另有说明，这些集成由第三方维护，不应被视为任何提到的云提供商的主要产品。

更多

Go包文档可以在pkg.go.dev上找到。其他文档可以在我们的项目页面上找到。

本项目中包含的命令行工具（cmd/jwt）提供了一个直观的令牌创建和解析示例，也是一个用于调试自己集成的有用工具。你还可以在文档中找到几个实现示例。

golang-jwt采用了JWT标志的修改版本，该标志根据MIT许可证的条款分发。