问题标签 [jwt-go]

我的 APIrest 中有几个端点，其中很多都通过了 JWT 令牌的验证。当我尝试使用我的前端应用程序更新用户时，总是告诉我我没有被授权。我试图用邮递员更新用户，一切正常。 使用相同的令牌，除了在我的前端应用程序中更新用户之外，我可以做任何事情。

这是我的前端应用程序的请求：

我的前端应用程序中有几个具有相同变量的请求，它们工作正常：

这是我处理令牌的地方......但就像我说的那样，这很好，因为总是工作......只有当我请求使用我的前端应用程序更新用户时才工作。

非常感谢你们！

为什么我总是在下面的简单代码中得到“密钥无效”错误。我已经尝试使用具有相同结果的不同私钥。请帮助我，因为我不知道我做错了什么。

输出：

2021/04/06 16:48:52 密钥无效

jwt= 我的钥匙有什么问题？

我已经生成了它：

谢谢

我有一对生成的密钥：

现在我试图用它来解析它们，jwt.ParseRSAPrivateKeyFromPEM它jwt.ParseRSAPublicKeyFromPEM 适用于私钥，但不适用于公钥。

我得到的错误是： 2021/04/07 13:34:22 errorPublic: asn1: structure error: tags don't match (16 vs {class:0 tag:2 length:257 isCompound:false}) {optional:false explicit:false application:false private:false defaultValue:<nil> tag:<nil> stringType:0 timeType:0 set:false omitEmpty:false} tbsCertificate @4

我的代码：

我究竟做错了什么？

我开发了以下方法，它应该启用基于令牌的身份验证 (jwt)。应该使用异步过程来生成令牌。

源代码似乎适用于并包括签名令牌的生成。使用 查询令牌时遇到问题ParseWithClaims。有人可以帮忙吗？

由于一个高级漏洞，容器安全状态不会在 Gitlab 管道中传递。这个漏洞是 jwt-go，它的安装版本是v3.2.0+incompatible. 像这样的错误标题：jwt-go: access restriction bypass vulnerability-->avd.aquasec.com/nvd/cve-2020-26160. 相关 repo 的 Go 版本是1.16.3. 如何修复此漏洞？

最近，一个新的 API Look Up Order ID被添加到应用商店服务器 API 中。以及此 API 响应的JWSTransaction由 App Store 签名，采用 JSON Web 签名格式。我们想用 go 来验证它。

我们尝试过的

1. 使用了jwt-go ，我们尝试根据这个问题从 pem 文件中提取公钥。同样根据此链接，应通过从私钥中提取公钥来解码响应

但是，错误key is of invalid type来自jwt.ParseWithClaims.

2. 通过此链接的 jwt-go 和 jwk 包验证它的另一种方法

但是，我们未能在应用商店服务器 API 文档中找到公钥 URL。此外，kidJWSTransaction 的标头中也没有。

我们想知道如何在 Go 中验证应用商店服务器 api 的 JWS 事务？我有什么遗漏吗？

我已经设置了中间件来验证并从 JWT 令牌中提取声明（使用https://github.com/golang-jwt/jwt）。

我现在的问题是我想以某种方式将该信息传递给路由处理函数，以便它可以检查存储在令牌中的权限。

我很难找到这方面的好资源，但我看到了两个建议，一个是在验证后使用 REDIS 存储令牌信息，另一个是使用 http.Request 上下文。

我宁愿不使用 REDIS，所以我认为它真的只给我留下了 Context？尽管我正在努力寻找关于整个上下文的体面资源，以及此类用例的上下文。

另一种选择是让中间件验证令牌，然后在处理程序函数本身中提取 JWT 声明而不再次验证令牌？

任何帮助/链接/建议将不胜感激......我知道在 Go 中有很多方法可以给猫剥皮，但我宁愿遵循最佳实践。