Mélanie  Faria

Mélanie Faria

1656754380

Implementando A Autenticação JWT Em APIs REST Golang

Neste artigo, aprenderemos sobre como implementar a autenticação JWT em APIs REST Golang e como protegê-la com o Authentication Middleware. Construiremos uma API REST Golang simples, mas bem organizada, com pacotes como Gin for Routing (principalmente), GORM para persistir dados do usuário em um banco de dados MySQL e assim por diante. Também estaremos construindo um Middleware que pode proteger Endpoints e permitir solicitações que tenham um JWT válido no cabeçalho de autorização da solicitação.

Em um artigo anterior, aprendemos sobre a implementação de CRUD na API REST Golang com Mux & GORM. É uma boa referência para começar com APIs em Golang. Leia aqui .

Você pode encontrar o código-fonte completo da autenticação JWT na implementação de Golang aqui .

Explicação do JWT

Então, antes de começar com a implementação, o que exatamente é um JWT ou um JSON Web Token?

Você pode pular esta seção se já sabe o que é um JWT e o que ele faz.

Esses tokens são usados ​​por APIs RESTful para autenticação e troca de informações onde não há necessidade de gerenciar o estado do aplicativo.

De acordo com jwt.io ,

Os JSON Web Tokens são um método RFC 7519 aberto e padrão do  setor  para representar declarações de forma segura entre duas partes.

O JWT é um concorrente muito bom para proteger APIs REST. Vamos ver a estrutura de um JWT real em ação. Vá para jwt.io, onde há um exemplo de JWT para nossa compreensão.

image 53 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Você pode ver que esses tokens são separados em 3 partes com um ponto.

  1. Cabeçalho
  2. Carga útil
  3. Assinatura

O cabeçalho contém o algoritmo de assinatura usado, como RSA ou HMAC SHA256. A carga útil contém os dados a serem trocados. Geralmente são declarações enviadas pelo servidor, como nome de usuário, e-mail e outras coisas. Observe que dados confidenciais, como senhas, nunca devem ser enviados por meio de um JSON Web Token. A terceira parte do token, que é a Assinatura, é usada para verificar se o JWT não foi adulterado.

Introdução à autenticação JWT em Golang

Vamos começar com a implementação da autenticação JWT na API REST de Golang. O Visual Code será o IDE de escolha para o artigo (e provavelmente para todos os outros artigos de Golang que postarei no futuro), devido à sua facilidade de uso e produtividade. Certifique-se de ter o SDK estável mais recente do Golang. A versão mais recente disponível ao escrever este artigo é Go 1.18.1.

Além disso, verifique se você instalou a extensão Golang no VS Code, que ajuda muito a melhorar a experiência de desenvolvimento do Golang. Outro motivo muito legal para usar o VSCode para desenvolvimento de API é a capacidade de enviar solicitações para a API diretamente da interface do VS Code usando as convenções da API REST. Ajuda a economizar muito tempo, em vez de mudar para carteiro ou outros clientes REST.

Abra uma nova pasta no VS Code e digite o seguinte para inicializar as dependências do projeto Golang.

go mod init jwt-authentication-golang

Aqui, crie um arquivo main.go com o seguinte código clichê.

package main
func main() {
}

O que vamos Construir?

Deixe-me dar uma breve visão geral do que vamos construir. Portanto, será uma API REST com os seguintes controladores.

  1. Token Controller – Este terá um endpoint que será usado para gerar os JWTs. Aqui, o usuário deve enviar uma lista de e-mail/senhas válidas.
  2. User Controller – Haverá um endpoint de “registrar usuário” que pode ser usado para criar novos usuários.
  3. Controlador seguro – Um controlador fictício que será protegido pela autenticação JWT. Isso é apenas para mostrar a capacidade do middleware que construiremos para restringir o acesso apenas às solicitações que possuem um JWT válido real no cabeçalho da solicitação.

Também adicionaremos alguns auxiliares para JWT que nos ajudarão a gerar os tokens com tempos de expiração e declarações adequados e uma maneira de validar os tokens enviados. Isso será usado pelo nosso Middleware personalizado para restringir o acesso. Além disso, como mencionado anteriormente, no processo de registro, armazenaremos os dados do usuário em um banco de dados MySQL usando a abstração GORM. Aqui, usaremos vários auxiliares para criptografar/hash as senhas dos usuários. Não queremos armazenar a senha real diretamente no banco de dados, certo?

Gin – Introdução Rápida

Me deparei com o Gin, que é um framework de desenvolvimento web para APIs Golang. Eles se anunciam como sendo 40 vezes mais rápidos que os roteadores HTTP normais. Eles são meio populares também, com mais de 55.000 estrelas no Github. Gostei das ferramentas deles e de como a experiência de desenvolvimento fica melhor. Gin é uma estrutura que reduz o código clichê que normalmente seria usado na construção desses aplicativos. Execute o seguinte para instalar o gin em sua máquina e use-o para projetos golang.

go get -u github.com/gin-gonic/gin

Para este artigo, usaremos a implementação de roteadores Gin e middleware. Em artigos futuros, exploraremos mais o Gin Framework.

Configurando o banco de dados e as migrações

Primeiro, vamos criar uma pasta chamada models e um novo arquivo para o user model. Vamos chamá-lo de user.go

type User struct {
gorm.Model
Name string `json:"name"`
Username string `json:"username" gorm:"unique"`
Email string `json:"email" gorm:"unique"`
Password string `json:"password"`
}

Como você pode ver, nosso modelo de usuário terá um nome, nome de usuário, e-mail e senha. Aqui, o nome de usuário e o e-mail serão exclusivos. Isso significa que, assim que concluirmos nosso aplicativo e tentarmos registrar novos usuários com o mesmo nome de usuário ou e-mail, o código não permitirá que você faça isso. A melhor parte é que você não precisa escrever nenhum código especificamente para isso. Tudo é tratado pelo GORM.

A especificação gorm.Model adiciona algumas propriedades padrão ao modelo, como id, data de criação, data de modificação e data de exclusão.

Observe que, mais adiante neste artigo, adicionaremos alguns auxiliares a este arquivo go para nos ajudar no hash e validação de senha usando um pacote de criptografia de golang.

Em seguida, vamos configurar o cliente que nos ajuda a conectar ao banco de dados MySQL. Presumo que você já tenha uma instância do MySQL em execução em sua máquina local na porta 3306, que é a porta padrão do MySQL.

Vamos instalar os pacotes Golang necessários. Execute os seguintes comandos.

go get gorm.io/gorm
go get gorm.io/driver/mysql

Isso instalará os pacotes GORM e o driver de banco de dados MySQL, que basicamente o ajudará a executar operações em uma instância de banco de dados MySQL facilmente, sem escrever muito código clichê. As coisas são bem diretas e simples com Golang!

Para o diretório raiz do Projeto Golang, adicione outra pasta chamada database e crie um novo arquivo chamado client.go

package database
import (
"jwt-authentication-golang/models"
"log"
"gorm.io/driver/mysql"
"gorm.io/gorm"
)
var Instance *gorm.DB
var dbError error
func Connect(connectionString string) () {
Instance, dbError = gorm.Open(mysql.Open(connectionString), &gorm.Config{})
if dbError != nil {
log.Fatal(dbError)
panic("Cannot connect to DB")
}
log.Println("Connected to Database!")
}
func Migrate() {
Instance.AutoMigrate(&models.User{})
log.Println("Database Migration Completed!")
}

Linha 8: Aqui, estamos definindo uma instância do banco de dados. Essa variável será usada em todo o aplicativo para se comunicar com o banco de dados.

Linha 10-17: A função Connect() recebe a string de conexão do MySQL (que vamos passar do método main em breve) e tenta se conectar ao banco de dados usando GORM.

Linha 18-21: Uma vez conectado ao banco de dados usando a função Connect() anterior, chamaremos esta função Migrate() para garantir que em nosso banco de dados haja uma tabela de usuários . Se não estiver presente, o GORM criará automaticamente uma nova tabela chamada “ users ” para nós.

Certifique-se de instalar os pacotes golang executando os comandos go get.

Navegue até o arquivo main.go e modifique a função main() conforme mostrado abaixo.

func main() {
// Initialize Database
database.Connect("root:root@tcp(localhost:3306)/jwt_demo?parseTime=true")
database.Migrate()
}

Conforme discutido anteriormente, primeiro nos conectaremos ao banco de dados usando a string de conexão fornecida. Feito isso, aplicaremos as migrações.

Codificar a string de conexão dentro do código obviamente não é uma boa maneira de fazer isso. Para manter o artigo curto, eu fiz isso. Para saber como armazenar a string de conexão e outras variáveis ​​em um arquivo JSON, leia meu artigo anterior onde usei o Viper para carregar configurações de um arquivo JSON em tempo de execução.

Outra coisa misteriosa para mim é que a string de conexão com o banco de dados MySQL me deu problemas quando usei apenas ' root:root@tcp(localhost:3306)/jwt_demo '. Este foi o erro que eu estava recebendo.

2022/04/24 18:39:06 D:/repos/golang/jwt-authentication-golang/controllers/tokencontroller.go:27 sql: Scan error on column index 1, name "created_at": unsupported Scan, storing driver.Value type []uint8 into type *time.Time

Após uma rápida pesquisa, descobri que é obrigatório incluir o parâmetro parseTime dentro da string de conexão para que as coisas funcionem. Aqui está a string de conexão que funcionou para mim.

root:root@tcp(localhost:3306)/jwt_demo?parseTime=true

Certifique-se de ter o banco de dados mencionado já criado em seu servidor. No meu caso, tive que criar um banco de dados/esquema chamado jwt_demo antes de executar o aplicativo. Caso contrário, o GORM reclamaria dizendo que tal banco de dados não pôde ser encontrado no servidor.

Vamos executar o aplicativo usando o seguinte comando.

go run .

A expectativa é que o aplicativo crie uma nova tabela chamada users em seu banco de dados.

image 54 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Pronto, está feito. Vamos continuar com os controladores agora.

Controlador de usuário - Registrando um novo usuário

Em primeiro lugar, vamos escrever um controlador e um endpoint que seja responsável por criar novos usuários e fazer algumas verificações básicas de validação.

Mas antes disso, como mencionado anteriormente, vamos adicionar alguns métodos auxiliares que podem fazer hash e comparar senhas. Abra o arquivo models/user.go e adicione esses dois métodos lá. Observe que esses métodos possuem receptores do tipo *User.

func (user *User) HashPassword(password string) error {
bytes, err := bcrypt.GenerateFromPassword([]byte(password), 14)
if err != nil {
return err
}
user.Password = string(bytes)
return nil
}
func (user *User) CheckPassword(providedPassword string) error {
err := bcrypt.CompareHashAndPassword([]byte(user.Password), []byte(providedPassword))
if err != nil {
return err
}
return nil
}

Você precisará executar o seguinte comando em seu terminal para instalar o pacote bcrypt que é usado para criptografar/descriptografar senhas.

go get golang.org/x/crypto/bcrypt

Em seguida, crie uma nova pasta chamada controllers na raiz do projeto e adicione um novo arquivo nela chamado usercontroller.go

package controllers
import (
"jwt-authentication-golang/database"
"jwt-authentication-golang/models"
"net/http"
"github.com/gin-gonic/gin"
)
func RegisterUser(context *gin.Context) {
var user models.User
if err := context.ShouldBindJSON(&user); err != nil {
context.JSON(http.StatusBadRequest, gin.H{"error": err.Error()})
context.Abort()
return
}
if err := user.HashPassword(user.Password); err != nil {
context.JSON(http.StatusInternalServerError, gin.H{"error": err.Error()})
context.Abort()
return
}
record := database.Instance.Create(&user)
if record.Error != nil {
context.JSON(http.StatusInternalServerError, gin.H{"error": record.Error.Error()})
context.Abort()
return
}
context.JSON(http.StatusCreated, gin.H{"userId": user.ID, "email": user.Email, "username": user.Username})
}

Linha 9: Aqui declaramos uma variável local do tipo models.User.

Linha 10-14: O que for enviado pelo cliente como um corpo JSON será mapeado na variável do usuário. É bastante simples com gin.

Linha 15-19: Aqui, fazemos o hash da senha usando os auxiliares bcrypt que adicionamos anteriormente ao arquivo models/user.go.

Linha 20: Após o hash, armazenamos os dados do usuário no banco de dados usando a instância global GORM que inicializamos anteriormente no arquivo principal.

Linha 21-25: Se houver um erro ao salvar os dados, o aplicativo lançará um código de erro de servidor interno HTTP 500 e abortará a solicitação.

Linha 26: Finalmente, se tudo correr bem, enviamos de volta o ID do usuário, nome e e-mail para o cliente junto com um código de status 200 SUCCESS.

Token Controller – Gerando JWTs em Golang

Já que estamos prontos com o endpoint de criação do usuário, vamos adicionar outro endpoint que possa gerar JWTs para nós. Este é o núcleo da autenticação JWT na implementação da API REST Golang.

Primeiro, vamos adicionar alguns auxiliares para gerar o JWT real e validá-lo.

package auth
import (
"errors"
"time"
"github.com/dgrijalva/jwt-go"
)
var jwtKey = []byte("supersecretkey")
type JWTClaim struct {
Username string `json:"username"`
Email string `json:"email"`
jwt.StandardClaims
}
func GenerateJWT(email string, username string) (tokenString string, err error) {
expirationTime := time.Now().Add(1 * time.Hour)
claims:= &JWTClaim{
Email: email,
Username: username,
StandardClaims: jwt.StandardClaims{
ExpiresAt: expirationTime.Unix(),
},
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
tokenString, err = token.SignedString(jwtKey)
return
}
func ValidateToken(signedToken string) (err error) {
token, err := jwt.ParseWithClaims(
signedToken,
&JWTClaim{},
func(token *jwt.Token) (interface{}, error) {
return []byte(jwtKey), nil
},
)
if err != nil {
return
}
claims, ok := token.Claims.(*JWTClaim)
if !ok {
err = errors.New("couldn't parse claims")
return
}
if claims.ExpiresAt < time.Now().Local().Unix() {
err = errors.New("token expired")
return
}
return
}

Linha 7: Aqui, estamos declarando uma chave secreta que será usada posteriormente para gerar JWTs. Por enquanto, a chave é “supersecretkey”. Idealmente, você deve armazenar esse valor fora do código. Mas por uma questão de simplicidade, vamos proceder como está.

Linha 8-12: definimos uma estrutura personalizada para JWT Claims que acabará se tornando a carga útil do JWT (se você se lembrar da primeira seção deste artigo).

Linha 13-15: Na função GenerateJWT(), que recebe email e nome de usuário como parâmetros, retornaria a string JWT gerada. Aqui definimos um tempo de expiração padrão como 1 hora, que pode ser (e deve ser) configurável. A partir daí criamos uma nova variável de sinistro com os dados disponíveis e tempo de expiração. Por fim, geramos o token usando o algoritmo de assinatura HS256 passando as declarações criadas anteriormente.

Linha 26-47: Aqui, na função ValidateToken(), pegaríamos a string de token proveniente do cabeçalho de solicitação HTTP do cliente e a validariamos. Mais adiante neste tutorial, usaremos essa função em nosso middleware de autenticação para verificar se a solicitação de cliente recebida é autenticada. Claro, sim? Então, aqui vamos tentar analisar o JWT em declarações usando o método auxiliar do pacote JWT “ParseWithClaims”. Do token analisado, extraímos as declarações na Linha 37. Usando essas declarações, verificamos na Linha 42 se o token realmente expirou ou não. É isso. Bastante simples se você entender o fluxo.

Agora que nossos auxiliares estão prontos, vamos começar a escrever nosso controlador Token.

Crie outro arquivo chamado tokencontroller. vá na pasta controllers.

package controllers
import (
"jwt-authentication-golang/auth"
"jwt-authentication-golang/database"
"jwt-authentication-golang/models"
"net/http"
"github.com/gin-gonic/gin"
)
type TokenRequest struct {
Email string `json:"email"`
Password string `json:"password"`
}
func GenerateToken(context *gin.Context) {
var request TokenRequest
var user models.User
if err := context.ShouldBindJSON(&request); err != nil {
context.JSON(http.StatusBadRequest, gin.H{"error": err.Error()})
context.Abort()
return
}
// check if email exists and password is correct
record := database.Instance.Where("email = ?", request.Email).First(&user)
if record.Error != nil {
context.JSON(http.StatusInternalServerError, gin.H{"error": record.Error.Error()})
context.Abort()
return
}
credentialError := user.CheckPassword(request.Password)
if credentialError != nil {
context.JSON(http.StatusUnauthorized, gin.H{"error": "invalid credentials"})
context.Abort()
return
}
tokenString, err:= auth.GenerateJWT(user.Email, user.Username)
if err != nil {
context.JSON(http.StatusInternalServerError, gin.H{"error": err.Error()})
context.Abort()
return
}
context.JSON(http.StatusOK, gin.H{"token": tokenString})
}

Linha 9-12: Aqui definimos uma estrutura simples que será essencialmente o que o endpoint esperaria como o corpo da solicitação. Isso conteria o ID de e-mail e a senha do usuário.

Linha 13-41: Na função GenerateToken(), vinculamos a solicitação recebida à estrutura TokenRequest. Na Linha 22, nos comunicamos com o banco de dados via GORM para verificar se o id de e-mail passado pela solicitação realmente existe no banco de dados. Em caso afirmativo, ele buscará o primeiro registro correspondente. Caso contrário, uma mensagem de erro apropriada será lançada pelo código. Em seguida, na linha 28, verificamos se a senha inserida corresponde à do banco de dados. Para isso, usaremos o método CheckPassword() que criamos anteriormente no arquivo jwt.go, lembra?

Se tudo correr bem e a senha corresponder, seguimos para a Linha 34, onde geramos o JWT usando a função GenerateJWT(). Isso retornaria uma string de token assinada com expiração de 1 hora, que por sua vez será enviada de volta ao cliente como resposta com um código de status 200.

Controlador seguro - Pongs ultra-secretos

Agora que temos nossos controladores de token e de usuário configurados. Vamos escrever um endpoint que conterá alguma informação super-secreta, que será um “pong”, obviamente.

Crie um novo arquivo de controlador na pasta de controladores e nomeie-o como securecontroller.go

package controllers
import (
"net/http"
"github.com/gin-gonic/gin"
)
func Ping(context *gin.Context) {
context.JSON(http.StatusOK, gin.H{"message": "pong"})
}

Simples demais né? A ideia é proteger esse endpoint para que apenas as solicitações com um JWT válido no cabeçalho da solicitação possam acessá-lo. E sim, ele apenas retorna uma mensagem pong com um código de status 200.

Então, como verificamos se a solicitação recebida contém um token válido? Lembre-se de que escrevemos um método auxiliar anteriormente para combater esse caso de uso específico. Uma opção é usar esse método em todos os endpoints que precisamos proteger. Mas, se houver 10s de 100s de endpoints em seu aplicativo, isso não seria viável, certo? É exatamente por isso que precisamos colocar essa verificação de validação em algum lugar globalmente e torná-la utilizável por todos os endpoints que precisamos proteger.

Middleware é a resposta para isso. Então, o que um Middleware faz é anexar ao pipeline HTTP do aplicativo. Assim, uma vez que um cliente enviar uma requisição, o primeiro bloco que ele atingir será o middleware, somente depois disso, a requisição estará atingindo o endpoint real. Esse é um local adequado para posicionar nossa verificação de validação de token, certo? Vamos ver como é feito.

Middleware de autenticação – validando o token

Crie uma nova pasta na raiz do projeto e nomeie-a como middlewares. Para este artigo, precisaremos de apenas um middleware – que é verificar a validade do token de entrada da solicitação do cliente. Vamos criar um novo arquivo e nomeá-lo auth.go

package middlewares
import (
"jwt-authentication-golang/auth"
"github.com/gin-gonic/gin"
)
func Auth() gin.HandlerFunc{
return func(context *gin.Context) {
tokenString := context.GetHeader("Authorization")
if tokenString == "" {
context.JSON(401, gin.H{"error": "request does not contain an access token"})
context.Abort()
return
}
err:= auth.ValidateToken(tokenString)
if err != nil {
context.JSON(401, gin.H{"error": err.Error()})
context.Abort()
return
}
context.Next()
}
}

Linha 8: Extrai o cabeçalho Authorization do contexto HTTP. Idealmente, esperamos que o token seja enviado como um cabeçalho pelo cliente. Se não houver tokens encontrados no cabeçalho, o aplicativo gerará um erro 401 com a mensagem de erro apropriada.

Linha 14: Aqui, validamos o token usando a função auxiliar criada anteriormente. Se o token for considerado inválido ou expirado, o aplicativo lançará uma exceção 401 Unauthorized. Se o token for válido, o middleware permite o fluxo e a solicitação atinge o endpoint do controlador necessário. Tão simples como isso.

Configurando as Rotas

Agora que criamos os endpoints e o middleware, como conectamos tudo? É aí que o roteamento é útil, especialmente o roteamento de gin é super incrível nisso.

Abra o main.go e verifique se seu código se parece com o snippet abaixo.

package main
import (
"jwt-authentication-golang/controllers"
"jwt-authentication-golang/database"
"jwt-authentication-golang/middlewares"
"github.com/gin-gonic/gin"
)
func main() {
// Initialize Database
database.Connect("root:root@tcp(localhost:3306)/jwt_demo?parseTime=true")
database.Migrate()
// Initialize Router
router := initRouter()
router.Run(":8080")
}
func initRouter() *gin.Engine {
router := gin.Default()
api := router.Group("/api")
{
api.POST("/token", controllers.GenerateToken)
api.POST("/user/register", controllers.RegisterUser)
secured := api.Group("/secured").Use(middlewares.Auth())
{
secured.GET("/ping", controllers.Ping)
}
}
return router
}

Além das linhas de código existentes, adicionamos um método initRouter() que retorna uma variável do roteador gin.

Linha 13: Chama a nova função initRouter().

Linha 17: Cria uma nova instância do Gin Router.

Linha 18-26: Aqui está um recurso que gostei de aprender. Imagine que precisamos de algumas rotas como abaixo.

  • API/usuário/registro
  • API/token
  • api/seguro/ping
  • api/seguro/outra coisa

GIN torna muito fácil agrupar essas coisas de forma eficiente. Na linha 18, agrupamos tudo em /api. Em seguida, na linha 20, roteamos a api/token para a função GenerateToken que escrevemos no tokencontroller. Da mesma forma, também para o endpoint de registro do usuário.

Agora, precisamos proteger todos os endpoints que virão nas rotas api/secured/. Aqui é onde dizemos ao GIN para usar o middleware que criamos. Na Linha 22, usamos o middleware Auth que será anexado a esse conjunto específico de endpoints. Legal, sim? Ajuda a economizar muitas linhas de código.

Por fim, na linha 14, executamos o servidor de API na porta 8080.

Testando a API Golang com o cliente REST VSCode

Como mencionado anteriormente, o principal benefício de usar o VS Code para o desenvolvimento rápido de API é a capacidade de testar os endpoints da API diretamente do IDE. Então, na raiz do projeto, criei uma nova pasta chamada rest , onde coloquei todos os arquivos .rest que contêm solicitações de API de amostra. Usaremos isso para testar nossa autenticação JWT na implementação de Golang.

Em primeiro lugar, verifique se você instalou a extensão REST Client em seu VS Code.

image 58 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Certifique-se de que seu servidor de banco de dados esteja funcionando. Inicie o Golang API Server executando o comando a seguir no diretório raiz do projeto.

go run .

Você veria algo assim no seu terminal.

image 55 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Registrar um novo usuário

Crie uma nova pasta chamada rest e adicione um novo arquivo chamado user.rest

@host = localhost:8080

// Register User
POST http://{{host}}/api/user/register HTTP/1.1
content-type: application/json

{
"name": "Mukesh Murugan",
"username": "mukesh.murugan",
"email": "mukesh@go.com",
"password": "123465789"
}

###

Então, o que estamos fazendo é enviar uma solicitação POST para o endpoint api/user/register com um corpo JSON que define o nome de usuário, email, nome e senha do usuário que precisamos registrar no aplicativo. Se o seu cliente REST estiver instalado corretamente em seu VS Code, você verá uma opção de envio de solicitação acima da Linha 4. Clique!

image 56 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Você pode ver que a API responde com o ID do usuário, nome de usuário e e-mail junto com um código de status 201. Isso significa que nosso novo usuário foi inserido no banco de dados com sucesso.

Além disso, você vê um belo log no terminal do GIN informando a solicitação que acabamos de enviar.

image 59 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Vamos fazer login em nosso MySQL Workbench para verificar se o usuário foi adicionado ao banco de dados.

image 57 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Pronto, está tudo bem.

Gerar token da Web JSON

Agora que registramos o usuário, vamos usar suas credenciais para gerar alguns JWTs novos.

Crie um novo arquivo na mesma pasta de descanso e nomeie-o como token.rest

@host = localhost:8080

// Generate JWT
POST http://{{host}}/api/token HTTP/1.1
content-type: application/json

{
"email": "mukesh@go.com",
"password": "123465789"
}

###

Aqui estaremos apenas passando as credenciais do usuário para o endpoint api/token. Isso é o que um cliente fará para gerar tokens de autenticação.

Envie a solicitação. Você pode ver que a API responde com um token JWT real.

image 60 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Vamos fazer mais uma coisa por diversão. Copie este token e vá para jwt.io

Cole o token na caixa de texto Codificado.

image 61 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Aqui você pode ver que o Payload contém o nome de usuário e e-mail do nosso usuário. Super legal, sim?

Mantenha este token de lado. Precisaremos dele em nosso próximo teste, onde enviaremos uma solicitação para o endpoint api/secured/ping que está protegido. O middleware que criamos permitirá o acesso somente se a solicitação tiver um JWT válido no Authorization Header.

Endpoint seguro – Middleware Magic

Crie um novo arquivo chamado secure.rest

@host = localhost:8080

// Access a Secured API Endpoint
GET http://{{host}}/api/secured/ping HTTP/1.1
content-type: application/json
authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Im11a2VzaC5tdXJ1Z2FuIiwiZW1haWwiOiJtdWtlc2hAZ28uY29tIiwiZXhwIjoxNjUwNzQzMjA1fQ.7cAcWxvpqJ1DDZ-ZOM2kIKKedeCEWuUzl0Hj2VuMxYA

###

Aqui, na linha 6, você pode ver que mencionamos o cabeçalho de autorização e colamos alguns JWT fictícios. Então, sabemos que este JWT não é válido. Vamos testá-lo.

image 62 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Lá, o aplicativo diz que esse JWT específico já expirou, como 20 horas atrás. Agora, em nossa solicitação, vamos substituir o JWT pelo que geramos anteriormente. Lembre-se, o JWT é válido por apenas 1 hora a partir do momento da geração. Depois de adicionar o novo JWT ao cabeçalho da solicitação, envie a solicitação.

image 63 Implementando a autenticação JWT na API REST Golang - Guia detalhado

Ótimo, recebemos a resposta de ping do terminal seguro.

Isso é um resumo para este artigo detalhado sobre autenticação JWT na API REST de Golang!

Resumo

Aprendemos em detalhes sobre como implementar a autenticação JWT em APIs Golang Rest com facilidade. Ao longo do caminho, abordamos vários tópicos como JWT Basics, introdução ao GIN Framework, configuração do GORM e migrações do MySQL, registro de usuário, geração de token usando o pacote JWT-GO, trabalho com middlewares GIN, hash e descriptografia de senhas usando o pacote bcrypt, trabalhando com Rotas de Gin e assim por diante.

Compartilhe este artigo com seus colegas e círculos de desenvolvedores se você achou isso interessante. Você pode encontrar o  código-fonte desta implementação mencionada aqui . Felicidades! 

 Fonte: https://codewithmukesh.com/blog/jwt-authentication-in-golang/

#golang #restapi #jwt 

What is GEEK

Buddha Community

Implementando A Autenticação JWT Em APIs REST Golang
Wilford  Pagac

Wilford Pagac

1594289280

What is REST API? An Overview | Liquid Web

What is REST?

The REST acronym is defined as a “REpresentational State Transfer” and is designed to take advantage of existing HTTP protocols when used for Web APIs. It is very flexible in that it is not tied to resources or methods and has the ability to handle different calls and data formats. Because REST API is not constrained to an XML format like SOAP, it can return multiple other formats depending on what is needed. If a service adheres to this style, it is considered a “RESTful” application. REST allows components to access and manage functions within another application.

REST was initially defined in a dissertation by Roy Fielding’s twenty years ago. He proposed these standards as an alternative to SOAP (The Simple Object Access Protocol is a simple standard for accessing objects and exchanging structured messages within a distributed computing environment). REST (or RESTful) defines the general rules used to regulate the interactions between web apps utilizing the HTTP protocol for CRUD (create, retrieve, update, delete) operations.

What is an API?

An API (or Application Programming Interface) provides a method of interaction between two systems.

What is a RESTful API?

A RESTful API (or application program interface) uses HTTP requests to GET, PUT, POST, and DELETE data following the REST standards. This allows two pieces of software to communicate with each other. In essence, REST API is a set of remote calls using standard methods to return data in a specific format.

The systems that interact in this manner can be very different. Each app may use a unique programming language, operating system, database, etc. So, how do we create a system that can easily communicate and understand other apps?? This is where the Rest API is used as an interaction system.

When using a RESTful API, we should determine in advance what resources we want to expose to the outside world. Typically, the RESTful API service is implemented, keeping the following ideas in mind:

  • Format: There should be no restrictions on the data exchange format
  • Implementation: REST is based entirely on HTTP
  • Service Definition: Because REST is very flexible, API can be modified to ensure the application understands the request/response format.
  • The RESTful API focuses on resources and how efficiently you perform operations with it using HTTP.

The features of the REST API design style state:

  • Each entity must have a unique identifier.
  • Standard methods should be used to read and modify data.
  • It should provide support for different types of resources.
  • The interactions should be stateless.

For REST to fit this model, we must adhere to the following rules:

  • Client-Server Architecture: The interface is separate from the server-side data repository. This affords flexibility and the development of components independently of each other.
  • Detachment: The client connections are not stored on the server between requests.
  • Cacheability: It must be explicitly stated whether the client can store responses.
  • Multi-level: The API should work whether it interacts directly with a server or through an additional layer, like a load balancer.

#tutorials #api #application #application programming interface #crud #http #json #programming #protocols #representational state transfer #rest #rest api #rest api graphql #rest api json #rest api xml #restful #soap #xml #yaml

An API-First Approach For Designing Restful APIs | Hacker Noon

I’ve been working with Restful APIs for some time now and one thing that I love to do is to talk about APIs.

So, today I will show you how to build an API using the API-First approach and Design First with OpenAPI Specification.

First thing first, if you don’t know what’s an API-First approach means, it would be nice you stop reading this and check the blog post that I wrote to the Farfetchs blog where I explain everything that you need to know to start an API using API-First.

Preparing the ground

Before you get your hands dirty, let’s prepare the ground and understand the use case that will be developed.

Tools

If you desire to reproduce the examples that will be shown here, you will need some of those items below.

  • NodeJS
  • OpenAPI Specification
  • Text Editor (I’ll use VSCode)
  • Command Line

Use Case

To keep easy to understand, let’s use the Todo List App, it is a very common concept beyond the software development community.

#api #rest-api #openai #api-first-development #api-design #apis #restful-apis #restful-api

Lets Cms

Lets Cms

1652251629

Unilevel MLM Wordpress Rest API FrontEnd | UMW Rest API Woocommerce

Unilevel MLM Wordpress Rest API FrontEnd | UMW Rest API Woocommerce Price USA, Philippines : Our API’s handle the Unilevel MLM woo-commerce end user all functionalities like customer login/register. You can request any type of information which is listed below, our API will provide you managed results for your all frontend needs, which will be useful for your applications like Mobile App etc.
Business to Customer REST API for Unilevel MLM Woo-Commerce will empower your Woo-commerce site with the most powerful Unilevel MLM Woo-Commerce REST API, you will be able to get and send data to your marketplace from other mobile apps or websites using HTTP Rest API request.
Our plugin is used JWT authentication for the authorization process.

REST API Unilevel MLM Woo-commerce plugin contains following APIs.
User Login Rest API
User Register Rest API
User Join Rest API
Get User info Rest API
Get Affiliate URL Rest API 
Get Downlines list Rest API
Get Bank Details Rest API
Save Bank Details Rest API
Get Genealogy JSON Rest API
Get Total Earning Rest API
Get Current Balance Rest API
Get Payout Details Rest API
Get Payout List Rest API
Get Commissions List Rest API
Withdrawal Request Rest API
Get Withdrawal List Rest API

If you want to know more information and any queries regarding Unilevel MLM Rest API Woocommerce WordPress Plugin, you can contact our experts through 
Skype: jks0586, 
Mail: letscmsdev@gmail.com,
Website: www.letscms.com, www.mlmtrees.com,
Call/WhatsApp/WeChat: +91-9717478599.  

more information : https://www.mlmtrees.com/product/unilevel-mlm-woocommerce-rest-api-addon

Visit Documentation : https://letscms.com/documents/umw_apis/umw-apis-addon-documentation.html

#Unilevel_MLM_WooCommerce_Rest_API's_Addon #umw_mlm_rest_api #rest_api_woocommerce_unilevel #rest_api_in_woocommerce #rest_api_woocommerce #rest_api_woocommerce_documentation #rest_api_woocommerce_php #api_rest_de_woocommerce #woocommerce_rest_api_in_android #woocommerce_rest_api_in_wordpress #Rest_API_Woocommerce_unilevel_mlm #wp_rest_api_woocommerce

Lets Cms

Lets Cms

1652251528

Opencart REST API extensions - V3.x | Rest API Integration, Affiliate

Opencart REST API extensions - V3.x | Rest API Integration : OpenCart APIs is fully integrated with the OpenCart REST API. This is interact with your OpenCart site by sending and receiving data as JSON (JavaScript Object Notation) objects. Using the OpenCart REST API you can register the customers and purchasing the products and it provides data access to the content of OpenCart users like which is publicly accessible via the REST API. This APIs also provide the E-commerce Mobile Apps.

Opencart REST API 
OCRESTAPI Module allows the customer purchasing product from the website it just like E-commerce APIs its also available mobile version APIs.

Opencart Rest APIs List 
Customer Registration GET APIs.
Customer Registration POST APIs.
Customer Login GET APIs.
Customer Login POST APIs.
Checkout Confirm GET APIs.
Checkout Confirm POST APIs.


If you want to know Opencart REST API Any information, you can contact us at -
Skype: jks0586,
Email: letscmsdev@gmail.com,
Website: www.letscms.com, www.mlmtrees.com
Call/WhatsApp/WeChat: +91–9717478599.

Download : https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=43174&filter_search=ocrest%20api
View Documentation : https://www.letscms.com/documents/api/opencart-rest-api.html
More Information : https://www.letscms.com/blog/Rest-API-Opencart
VEDIO : https://vimeo.com/682154292  

#opencart_api_for_android #Opencart_rest_admin_api #opencart_rest_api #Rest_API_Integration #oc_rest_api #rest_api_ecommerce #rest_api_mobile #rest_api_opencart #rest_api_github #rest_api_documentation #opencart_rest_admin_api #rest_api_for_opencart_mobile_app #opencart_shopping_cart_rest_api #opencart_json_api

Adonis  Kerluke

Adonis Kerluke

1596509565

RESTful API Design Driven Approach

In this tutorial I will show you the fundamentals of designing a RESTful API specification by applying REST principles and best practices, then you’ll be ready to try my online tutorial: How to design a REST API with API Designer?

If you already know what is meant by API in the context of RESTful web services, you can skip to the next section. If not, read on.

Level-Set on API

The abbreviation API stands for Application Programming Interface this in itself, does not help us understand what it is, however in the context of web services, it can refer to one of two things:

  1. The RESTful API specification is written using a modeling language such as Open API specification or RAML (RESTful API Modeling Language) that defines a contract for how software components can interact with a service.
  2. The implementation of a web service or microservice whose contract is designed by REST principles that describe how other services must interact with it.

In this post, I will use the first understanding of this term. Even though both are correct, the most technically relevant for this post is the first: an API is a contract for how software applications talk to each other.

Level-Set on REST

The acronym REST stands for REpresentational State Transfer. It is an architectural style used to represent the transmission of data from one application component to another. In the context of web services, we are talking about the representation of resources (i.e. data) transferred over HTTP by calling a URI that represents the data and via an HTTP method that represents the action to perform against the given data.

What Is RESTful API design?

RESTful API design is the activity of describing the behavior of a web service in terms of its data structures and the actions you allow other application components to perform on its data by the principles of REST. Those principles are covered later in this blog.

Why Design a RESTful API?

Imagine that you are an Architect (the kind the design building) and you set out to build an office block without a blueprint. You turn up on the first day with a truck full of bricks and some cement. What are the chances that you’ll be successful and build a structure that conforms to code and more importantly, doesn’t fall? It’s about zero. Without a blueprint the chance of failure is high.

The same approach applies to web service development. You need a blueprint, or more appropriately, an API specification. This is necessary to evaluate the API design and solicit feedback before even starting to build the implementation.

In addition to providing a specification for the web service’s development, an API contract serves to document its expected behavior, data types, and security requirements.

You should now be satisfied that API design is necessary for a RESTful web service, and should start to wonder how is the best approach to actually designing an API specification.

API Design Tooling

The tooling chosen by an API designer has substantial influence over the designer’s productivity. Highly productive tools such as the Anypoint API Designer from MuleSoft is perfect for designing APIs with OAS (swagger) or RAML.

#integration #api #rest #rest api #restful #api design #raml #rest api design