使用 jwt-go 在循环中生成相同的 JWT 令牌

来到golang学习网的大家，相信都是编程学习爱好者，希望在这里学习Golang相关编程知识。下面本篇文章就来带大家聊聊《使用 jwt-go 在循环中生成相同的 JWT 令牌》，介绍一下，希望对大家的知识积累有所帮助，助力实战开发！

我正在使用 jwt-go 库创建 jwt 令牌。后来写了一个脚本来加载测试。我注意到当我发送许多并发请求时获得相同的令牌。为了检查更多信息，我在 for 循环中创建了令牌，结果是相同的。

我使用的库是https://github.com/dgrijalva/jwt-go，go版本是1.12.9。

expirationTime := time.Now().Add(time.Duration(60) * time.Minute)

    for i := 1; i < 5; i++ {
        claims := &jwt.StandardClaims{
            ExpiresAt: expirationTime.Unix(),
            Issuer:"telescope",
        }
        _token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
        var jwtKey = []byte("secret_key")
        auth_token, _ := _token.SignedString(jwtKey)
        fmt.Println(auth_token)
    }

解决方案

jwt 包含三个部分：一个基本固定的标头、一组声明和一个签名。 RFC 7519有实际详情。如果标头是固定的并且两个令牌之间的声明是相同的，那么签名也将是相同的，并且您可以轻松获得重复的令牌。两个时间戳声明“iat”和“exp”仅处于第二粒度，因此如果您在同一秒内使用代码发出多个令牌，您将获得相同的结果（即使您将 expirationtime 计算移动到循环内）。

jwt-go 库将 RFC 7519 §4.1 中列出的 StandardClaims 导出为结构，这就是您在代码中使用的结构。深入研究库代码，这里没有什么特别微妙的地方：StandardClaims使用普通的“encoding/json”注释，然后当写出令牌时，the claims are JSON encoded and then base64-encoded。因此，给定固定输入，您将得到固定输出。

如果您希望每个令牌在某种程度上都“不同”，the standard "jti" claim 是提供唯一 id 的地方。这不是 standardclaims 的一部分，因此您需要创建包含它的自己的自定义声明类型。

type uniqueclaims struct {
    jwt.standardclaims
    tokenid string `json:"jti,omitempty"`
}

然后在创建claims结构时，需要自己生成一个唯一的tokenid。

import (
    "crypto/rand"
    "encoding/base64"
)

bits := make([]byte, 12)
_, err := rand.read(bits)
if err != nil {
    panic(err)
}
claims := uniqueclaims{
    standardclaims: jwt.standardclaims{...},
    tokenid: base64.stdencoding.encodetostring(bits),
}

https://play.golang.org/p/zDnkamwsCi-有完整的例子；每次运行它时，即使您在同一秒内运行多次，您也会获得不同的令牌。您可以手动对令牌的中间部分进行 base64 解码以查看声明，或者使用 https://jwt.io/ 调试器之类的工具对其进行解码。

我更改了您的代码：

• 移动了循环中 expirationtime 的计算

• 在循环的每一步添加 1 秒延迟

  for i := 1; i < 5; i++ {
  
      expirationtime := time.now().add(time.duration(60) * time.minute)
  
      claims := &jwt.standardclaims{
          expiresat: expirationtime.unix(),
          issuer:    "telescope",
      }
      _token := jwt.newwithclaims(jwt.signingmethodhs256, claims)
      var jwtkey = []byte("secret_key")
      auth_token, _ := _token.signedstring(jwtkey)
      fmt.println(auth_token)
  
      time.sleep(time.duration(1) * time.second)
  }

在这种情况下，我们得到不同的令牌：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjcyNDcwNDgsImlzcyI6InRlbGVzY29wZSJ9.G7wV-zsCYjysLEdgYAq_92JGDPsgqqOz9lZxdh5gcX8
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjcyNDcwNDksImlzcyI6InRlbGVzY29wZSJ9.yPNV20EN3XJbGiHhe-wGTdiluJyVHXj3nIqEsfwDZ0Q
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjcyNDcwNTAsImlzcyI6InRlbGVzY29wZSJ9.W3xFXEiVwh8xK47dZinpXFpKuvUl1LFUAiaLZZzZ2L0
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjcyNDcwNTEsImlzcyI6InRlbGVzY29wZSJ9.wYUbzdXm_VQGdFH9RynAVVouW9h6KI1tHRFJ0Y322i4

抱歉，我不是 jwt 方面的专家，我希望有人从 rfc 的角度向我们解释这种行为。

这是同一个用户，我们可以为他获取相同的令牌。如果我们想再给它一个，我们需要撤销前一个，或者客户端必须刷新它。

好了，本文到此结束，带大家了解了《使用 jwt-go 在循环中生成相同的 JWT 令牌》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多Golang知识！