Golang实现API认证需三步:生成JWT Token(含user_id、role、exp,用环境密钥签名)、解析Token并注入Context的认证中间件、按角色校验权限的授权中间件;全程可基于net/http,无需框架。
用 Golang 实现 API 认证,核心是:生成 Token、解析 Token、用中间件拦截请求并校验权限。不依赖框架也能做,关键在逻辑清晰、签名可靠、权限粒度可控。
生成 JWT Token(含用户 ID 和角色)
使用 github.com/golang-jwt/jwt/v5 生成带 payload 的 Token,例如包含 user_id、role、exp:
- 定义自定义 Claims 结构体,嵌入
jwt.RegisteredClaims - 设置过期时间(如 24 小时),用安全密钥(如从环境变量读取)签名
- 登录成功后返回 Token 字符串,前端存在 localStorage 或 Authorization Header 中
编写认证中间件(解析并注入用户信息)
中间件负责从 Authorization: Bear 提取 Token,验证签名和有效期,并把解析出的用户信息塞进 
er xxxhttp.Request.Context:
- 检查 Header 是否存在且格式正确
- 用相同密钥解析 Token,捕获
jwt.ErrTokenExpired等错误并返回 401 - 解析成功后,用
context.WithValue把用户 ID 和角色存入 Context,后续 handler 可安全获取
权限中间件(按角色或资源控制访问)
在认证中间件之后再加一层权限检查,比如只允许 admin 访问 /api/users:
- 从 Context 中取出用户角色(如
ctx.Value("role").(string)) - 硬编码白名单(开发阶段)、查数据库权限表(生产推荐)、或用 RBAC 模型匹配路由
- 不满足权限时直接返回 403,不执行后续 handler
实际路由组合示例
用标准 net/http 就能串起完整链路:
-
http.HandleFunc("/login", loginHandler)—— 发放 Token http.HandleFunc("/api/profile", authMiddleware(roleMiddleware("user", profileHandler)))http.HandleFunc("/api/admin", authMiddleware(roleMiddleware("admin", adminHandler)))
中间件可嵌套,顺序很重要:先 auth,再 role,最后业务 handler。
基本上就这些。Token 安全靠签名和过期,权限靠中间件分层拦截,不复杂但容易忽略错误处理和上下文传递细节。
