Golang - Gin #26: 使用Gin和JWT實現角色基礎的訪問控制

來源: Gin Logo + 自行用 Canva 製作

🚪 使用Gin和JWT實現角色基礎的訪問控制

角色基於的訪問控制（RBAC）是管理用戶訪問資源的一種策略，根據不同的角色賦予用戶不同的權限。在本篇文章中，我們將探討如何使用Gin和JSON Web Tokens (JWT)來實現RBAC。

當你的應用增長，需要一個強大的訪問控制策略。透過Gin和JWT，我們可以簡單且有效地實現RBAC。

📘 JWT的核心概念

1. Payload: 包含聲明的部分，例如用戶ID，角色等。
2. Signature: 確保JWT的內容未被篡改。

🚧 實現角色基礎的訪問控制

1. 定義角色: 確定應用中需要哪些角色（如：管理員，用戶，訪客）。

const (
    RoleAdmin = "admin"
    RoleUser  = "user"
)

2. 生成和驗證JWT:

當用戶登錄時，生成包含角色的JWT。

claims := jwt.MapClaims{}
claims["id"] = user.ID
claims["role"] = user.Role
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

3. Middleware訪問控制:

創建Gin中間件來檢查JWT並確定用戶的角色。

func RoleCheck() gin.HandlerFunc {
    return func(c *gin.Context) {
        tokenString := c.GetHeader("Authorization")
        token, _ := jwt.Parse(tokenString, ...)
        claims, _ := token.Claims.(jwt.MapClaims)
        role := claims["role"].(string)

        if role != RoleAdmin {
            c.AbortWithStatus(http.StatusForbidden)
            return
        }
        c.Next()
    }
}

4. 使用中間件: 對需要保護的路由使用中間件。

r := gin.Default()
r.POST("/admin", RoleCheck(), adminHandler)

🛠 最佳實踐

1. 最小權限原則: 僅賦予用戶他們真正需要的權限。
2. 定期審核: 定期檢查和更新角色和權限設定。
3. 使用HTTPS: 確保所有的JWT傳輸都是加密的。

🔗 結論

使用Gin和JWT實現角色基礎的訪問控制可以為你的應用提供靈活而強大的訪問管理功能。正確地實施和維護，可以確保資源的安全性。

感謝

謝謝大家看完這篇，如果您喜歡我的文章，歡迎 小額贊助我 ^^