如何使用Golang实现API认证_使用Token和中间件验证用户权限

Golang实现API认证需三步：生成JWT Token（含user_id、role、exp，用环境密钥签名）、解析Token并注入Context的认证中间件、按角色校验权限的授权中间件；全程可基于net/http，无需框架。

用 Golang 实现 API 认证，核心是：生成 Token、解析 Token、用中间件拦截请求并校验权限。不依赖框架也能做，关键在逻辑清晰、签名可靠、权限粒度可控。

生成 JWT Token（含用户 ID 和角色）

使用 github.com/golang-jwt/jwt/v5 生成带 payload 的 Token，例如包含 user_id、role、exp：

• 定义自定义 Claims 结构体，嵌入 jwt.RegisteredClaims
• 设置过期时间（如 24 小时），用安全密钥（如从环境变量读取）签名
• 登录成功后返回 Token 字符串，前端存在 localStorage 或 Authorization Header 中

编写认证中间件（解析并注入用户信息）

中间件负责从 Authorization: Bearer xxx 提取 Token，验证签名和有效期，并把解析出的用户信息塞进 http.Request.Context：

• 检查 Header 是否存在且格式正确
• 用相同密钥解析 Token，捕获 jwt.ErrTokenExpired 等错误并返回 401
• 解析成功后，用 context.WithValue 把用户 ID 和角色存入 Context，后续 handler 可安全获取

权限中间件（按角色或资源控制访问）

在认证中间件之后再加一层权限检查，比如只允许 admin 访问 /api/users：

• 从 Context 中取出用户角色（如 ctx.Value("role").(string)）
• 硬编码白名单（开发阶段）、查数据库权限表（生产推荐）、或用 RBAC 模型匹配路由
• 不满足权限时直接返回 403，不执行后续 handler

实际路由组合示例

用标准 net/http 就能串起完整链路：

• http.HandleFunc("/login", loginHandler) —— 发放 Token
• http.HandleFunc("/api/profile", authMiddleware(roleMiddleware("user", profileHandler)))
• http.HandleFunc("/api/admin", authMiddleware(roleMiddleware("admin", adminHandler)))

中间件可嵌套，顺序很重要：先 auth，再 role，最后业务 handler。

基本上就这些。Token 安全靠签名和过期，权限靠中间件分层拦截，不复杂但容易忽略错误处理和上下文传递细节。