Rocket框架JWT鉴权实战:保护Rust Web API的安全方案
✨重磅!盹猫的个人小站正式上线啦~诚邀各位技术大佬前来探秘!✨
这里有:
- 硬核技术干货:编程技巧、开发经验、踩坑指南,带你解锁技术新姿势!
- 趣味开发日常:代码背后的脑洞故事、工具测评,让技术圈不再枯燥~
- 独家资源分享:开源项目、学习资料包,助你打怪升级快人一步!
👉 点击直达→
👈
🌟 来逛逛吧,说不定能挖到你正在找的技术宝藏哦~
目录
Welcome to Code Block's blog
本篇文章主要介绍了
[Rocket框架JWT鉴权实战:保护Rust Web API的安全方案]
❤博主广交技术好友,喜欢文章的可以关注一下❤
一、概述
本篇文章是基于rust语言和rocket依赖实现网页JWT认证和鉴权,完成简单的JWT token的验证和鉴权处理,使用cargo做依赖的导入和测试。
什么是rocket?
Rust Rocket 是一个基于 Rust 编程语言的 Web 框架,用于构建高性能、安全的 Web 应用程序。Rocket 以其简洁的语法、强大的类型系统和易用性而闻名,特别适合那些希望利用 Rust 的内存安全性和并发性能来开发 Web 服务的开发者。
二、相关依赖
Cargo.toml
chrono:
一个 Rust 的日期和时间处理库,提供了丰富的时间和日期操作功能,类似于其他编程语言中的 java.time
或 Python 的 datetime
模块。
dotenv:
一个用于加载环境变量的库,允许开发者将配置参数存储在 .env
文件中,从而简化配置管理和环境设置。
jsonwebtoken:
一个用于生成和验证 JSON Web Token (JWT) 的库。JWT 常用于身份验证和授权,允许在不同服务之间安全地传输信息。
rocket:
一个现代、快速且易于使用的 Rust Web 框架,旨在利用 Rust 的类型系统和并发能力,提供高性能的 Web 服务。
serde:
一个用于序列化和反序列化数据的框架,支持多种数据格式(如 JSON、YAML、TOML 等)。它通过派生宏简化了序列化代码的编写。
通过上述依赖可以看出,Rust在Web方面的生态建设也是十分全面的,相关的依赖也比较完善。
三、环境准备
3.1 创建项目
使用cargo创建一个名为webapp项目,使用以下命令进行创建:
在wabapp文件夹内依次运行以下命令进行安装(或将Cargo.toml文件内数据复制到文件夹的Cargo.toml文件内),使用cargo install进行安装。
3.2 读取私钥信息
使用以下代码读取私钥信息,这里用到了dotenv库:
3.3 token数据负载
这里先创建一个Claims用于存储生成和解析完成后的Token信息,其代码如下:
sub:用于存储用户数据,通常是用户的ID。
exp:过期时间,即token多长时间后失效。
这里用到了serde依赖,用于序列化和反序列化数据。
3.4 生成token
通过用户id和过期时间生成token字符串(其中获取过期时间时使用了chrono依赖),通过初始化claims数据,获取的私钥和头部信息,生成token字符串(生成时使用的是jsonwebtoken依赖的encode方法)。具体方法实现如下:
四、Web鉴权
4.1 验证载体
这里先创建一个验证通过后的载体JwtGuard,内容如下:
因为rocket是通过一个FromRequest进行拦截Request请求, 所有让JwtGuard去实现FromRequest,实现其中的from_request请求,内容如下:
普遍的方法是从请求头中获取token,从环境变量中获取私钥 ,通过jsonwebtoken依赖中的decode方法对token进行验证,成功后使用Outcome::Success()将JwtGuard传递出去(就是通过验证),错误则提示Unauthorized。
4.2 接收请求
在main.rs中可以使用如下方法接收请求:
注意:这里_jwt: JwtGuard已经被实现,所以当参数有JwtGuard时,表示该请求路径要求被认证,如果不添加,则表示该方法不需被认证,这样就实现了白名单的功能。
五、总结
通过cargo去实现web验证,可以看出,rocket在web鉴权功能实现时,要求代码简洁、易实现,各种注解的支持也非常的多。同时,同时由于Rust语言本身的特性,在实际的处理速度方面也有着不错的表现。
如果你对区块链内容感兴趣可以查看我的专栏:
感谢您的关注和收藏!!!!!!
- 点赞
- 收藏
- 关注作者
评论(0)