jwt与bcrypt是go中用户认证与密码安全的可靠组合:bcrypt哈希密码防暴力破解,jwt无状态管理会话;须避免明文存密、token含敏感信息、密钥硬编码等风险。
在 Go 应用中实现用户认证与密码安全,JWT(JSON Web Token)和 bcrypt 是最常用且可靠的组合:前者负责无状态会话管理,后者专用于安全存储密码。关键在于正确集成二者——不直接用明文或弱哈希处理密码,也不在 JWT 中存放敏感字段(如密码、原始邮箱),更不能把 token 签名密钥硬编码或复用。
用 bcrypt 安全地哈希与验证密码
bcrypt 内置盐值和可调成本因子(cost),能有效抵御彩虹表和暴力破解。Go 标准库不提供 bcrypt,需使用 golang.org/x/crypto/bcrypt。
- 注册时,用 bcrypt.GenerateFromPassword(pwd, bcrypt.DefaultCost) 生成哈希(推荐 cost=12~14,平衡安全与性能)
- 登录时,用 bcrypt.CompareHashAndPassword(hash, inputPwd) 验证,它会自动提取盐并重算——不要自己解析哈希字符串
- 避免对同一密码多次哈希;不要用
sha256.Sum256或md5替代 bcrypt
用 jwt-go 创建与校验 JWT token
推荐使用社区维护的 github.com/golang-jwt/jwt/v5(原 jwt-go 的安全分支),避免已知漏洞版本(如 v3.2.0 之前存在关键绕过缺陷)。
ECTouch移动商城系统
下载
ECTouch是上海商创网络科技有限公司推出的一套基于 PHP 和 MySQL 数据库构建的开源且易于使用的移动商城网店系统!应用于各种服务器平台的高效、快速和易于管理的网店解决方案,采用稳定的MVC框架开发,完美对接ecshop系统与模板堂众多模板,为中小企业提供最佳的移动电商解决方案。ECTouch程序源代码完全无加密。安装时只需将已集成的文件夹放进指定位置,通过浏览器访问一键安装,无需对已有
- 签发 token 时,仅放入必要字段(如
user_id,exp,iat),用 HS256 或更安全的 RS256 签名 - 密钥必须保密:从环境变量或 secret manager 加载,禁止写死在代码里;HS256 密钥长度建议 ≥32 字节
- 校验时务必调用 token.Valid 并检查
err,显式验证exp和iss(issuer)等声明
典型集成流程:注册 → 登录 → 访问受控接口
一个最小可行闭环如下:
立即学习“go语言免费学习笔记(深入)”;
- 注册:接收用户邮箱/密码 → bcrypt 哈希密码 → 存入数据库(不存明文)
- 登录:查出用户哈希 → bcrypt.CompareHashAndPassword → 成功则用用户 ID 构造 JWT → 返回 token 给前端
- 鉴权中间件:从 Authorization Header 提取 Bearer token → 解析并校验签名与有效期 → 将 user_id 注入 context → 后续 handler 可安全使用
常见陷阱与加固建议
很多安全问题源于配置疏忽或逻辑误用:
- JWT 过期时间不宜过长(如 API token 设为 15–60 分钟),长期凭证应配合 refresh token 机制
- 不要在客户端 localStorage 存 token——优先用 httpOnly + Secure Cookie;若必须用 localStorage,需防范 XSS 泄露
- 数据库中密码字段类型应为
TEXT(bcrypt 哈希约 60 字符),勿用 VARCHAR(20) 截断 - 启用 HTTPS 强制传输,禁用不安全的 HTTP 方法(如 TRACE、OPTIONS 暴露信息)
