Golang微服务鉴权需统一在网关或中间件校验JWT,涵盖签名、时效、身份提取与权限比对;配合短Access Token+长Refresh Token(Redis存储)实现退出与续期;通过角色/权限字段做细粒度授权,敏感操作需二次验证;跨服务调用应透传可信内部token或借助Service Mesh。
使用 Golang 实现微服务鉴权,核心是统一在请求入口(如 API 网关或中间件)验证 Token 或 JWT 的合法性与权限范围,避免每个服务重复实现认证逻辑。重点在于签名验证、有效期检查、用户身份提取和细粒度权限比对。
JWT 鉴权中间件设计
在 Gin、Echo 或标准 net/http 中,通过中间件拦截请求,从 Authorization 头提取 Bearer Token,解析并校验 JWT:
- 使用 github.com/golang-jwt/jwt/v5 解析 token,指定 Secret 或公钥(RS256 场景用 RSA 公钥)
- 校验标准声明:exp(过期)、iat(签发时间)、iss(签发方)等,建议开启
VerifyExpiresAt和VerifyIssuedAt - 解析 payload 获取 user_id、role、scopes 等字段,存入 context 供后续 handler 使用
- 验证失败时直接返回 401 或 403,不放行
Token 存储与刷新策略
JWT 本身无状态,但需配套机制解决退出登录和续期问题:
- 短期 Access Token(如 15 分钟)+ 长期 Refresh Token(如 7 天),Refresh Token 存于 Redis 并绑定 user_id + fingerprint(UA + IP 哈希)
- 登出时删除 Redis 中对应 refresh token,实现“逻辑失效”
- Access Token 过期前,前端用有效 Refresh Token 调用 /auth/refresh 接口换取新 pair,后端校验 refresh token 签名及 Redis 存在性
基于角色或权限的细粒度控制
仅认证通过还不够,需结合业务规则做授权判断:
立即学习“go语言免费学习笔记(深入)”;
- 在中间件中解析出 role(如 "admin"、"user")或 permissions 数组(如 ["order:read", "order:write"])
- 为关键接口打权限标签,例如 Gin 中用
c.Get("permissions")检查是否含 "user:delete" - 可抽象为
RequirePermission("resource:action")工具函数,内部查白名单或调用权限中心(如 Open Policy Agent) - 敏感操作(如删库、转账)建议二次验证:额外要求 MFA 或密码确认,不单靠 JWT
跨服务调用的可信透传
微服务间调用(如 order-service 调 user-service)不能依赖原始用户 Token,需可信链路传递身份:
- 网关层验证用户 JWT 后,生成轻量级内部 token(如 HMAC-SHA256 签名的 service_token),包含 service_id、user_id、timestamp
- 下游服务只校验该内部 token,不接触用户原始 JWT,降低密钥泄露风险
- 或采用 Service Mesh 方案(如 Istio),由 Sidecar 统一完成 mTLS + JWT 验证,业务代码无感知
