我正在创建访问权限,刷新令牌逻辑,我想检查访问令牌是否有效(未编辑),即使它已过期。 GO返回错误并使令牌无效,如果令牌过期。因此,我检查给定的错误是否与erttokenexpired匹配。
我可以100%确定如果令牌不有效,那么错误将不会零,以便我可以删除if !tkn.Valid{...?
通常,这是一种好的方法或编辑的代币可以通过我的验证吗?
func VerifyJWT(jwtString, secret string) (*jwt.Token, *Claims, error) {
claims := &Claims{}
tkn, err := jwt.ParseWithClaims(jwtString, claims, func(token *jwt.Token) (interface{}, error) {
return []byte(os.Getenv(secret)), nil
})
return tkn, claims, err
}
_, accClaims, err1 := VerifyJWT(req.Access, "ACCESS_SECRET")
if err1 != nil && err1.Error()[:16] != jwt.ErrTokenExpired.Error()[:16] {
WriteJSON(w, http.StatusBadRequest, APIError{Error: "invalid token access" + err1.Error()})
return
}
分析解答
如果在您的代码中有两个点,JWT令牌是安全的:
1-选择好算法
2-创建随机秘密密钥
如果更改令牌或超时,则两个选择可以帮助您和VerifyJWT返回错误!
注意:始终需要检查错误,并将良好的响应返回给客户端。
注意(改进您的代码):要检查一个错误是错误的,请使用errors PKG。
您的示例:
// import "errors"
_, accClaims, err := VerifyJWT(req.Access, "ACCESS_SECRET")
if errors.Is(err, jwt.ErrTokenExpired) {
// continue progress
}
if err != nil {
WriteJSON(w, http.StatusUnauthorized, APIError{Error: err.Error()})
return
}