JWT鉴权中间件需用req.WithContext()将解析结果注入context，gRPC复用校验逻辑需提取jwt.ParseWithClaims为独立函数，权限控制应网关做粗粒度、服务内做细粒度，且必须记录审计日志。

JWT 鉴权中间件怎么写才不漏掉 http.Request 的上下文传递

直接在 http.Handler 里解析 Authorization 头并校验 JWT，但后续业务 handler 拿不到用户 ID 或角色，本质是没把解析结果塞进 context.Context。必须用 req.WithContext() 显式注入，否则下游只能重复解析或硬编码。

• 校验通过后，调用 ctx = context.WithValue(req.Context(), "user_id", userID)，注意 key 建议用自定义类型避免冲突
• 不要用字符串字面量当 context.Value 的 key，例如 "user_id" —— 改成 type ctxKey string; const userIDKey ctxKey = "user_id"
• 中间件末尾必须返回 http.HandlerFunc，且内部调用 next.ServeHTTP(w, req)，不能漏掉这句，否则请求就卡住了

func AuthMiddleware(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        authHeader := r.Header.Get("Authorization")
        if authHeader == "" {
            http.Error(w, "missing token", http.StatusUnauthorized)
            return
        }
        tokenStr := strings.TrimPrefix(authHeader, "Bearer ")
        claims := &jwt.MapClaims{}
        _, err := jwt.ParseWithClaims(tokenStr, claims, func(t *jwt.Token) (interface{}, error) {
            return []byte(os.Getenv("JWT_SECRET")), nil
        })
        if err != nil {
            http.Error(w, "invalid token", http.StatusUnauthorized)
            return
        }
        ctx := context.WithValue(r.Context(), userIDKey, (*claims)["user_id"])
        next.ServeHTTP(w, r.WithContext(ctx))
    })
}

gRPC 服务如何复用同一套 JWT 校验逻辑

gRPC 不走 HTTP header，而是把 token 放在 metadata.MD 里，常见位置是 authorization（小写）键。不能直接复用 HTTP 中间件，但核心解析逻辑（jwt.ParseWithClaims）可以提取为独立函数。

• 在 gRPC unary interceptor 中，用 grpc.Peer().Addr 或 md := metadata.MD{}; md, _ = metadata.FromIncomingContext(ctx) 提取 token
• 校验失败时返回 status.Error(codes.Unauthenticated, "invalid token")，不是 http.Error
• 用户信息建议存入 context.WithValue，和 HTTP 场景保持一致，方便后续 handler 统一读取

func AuthInterceptor(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
    md, ok := metadata.FromIncomingContext(ctx)
    if !ok {
        return nil, status.Error(codes.Unauthenticated, "missing metadata")
    }
    tokens := md["authorization"]
    if len(tokens) == 0 {
        return nil, status.Error(codes.Unauthenticated, "missing token")
    }
    tokenStr := strings.TrimPrefix(tokens[0], "Bearer ")
    claims := &jwt.MapClaims{}
    _, err := jwt.ParseWithClaims(tokenStr, claims, func(t *jwt.Token) (interface{}, error) {
        return []byte(os.Getenv("JWT_SECRET")), nil
    })
    if err != nil {
        return nil, status.Error(codes.Unauthenticated, "invalid token")
    }
    userID := (*claims)["user_id"].(string)
    newCtx := context.WithValue(ctx, userIDKey, userID)
    return handler(newCtx, req)
}

为什么用 github.com/golang-jwt/jwt/v5 而不是 v4 或原生 crypto/jwt

v5 是当前维护最活跃、漏洞修复最及时的版本；v4 已被标记为 deprecated；标准库压根没有 JWT 实现，crypto/jwt 是假想包，不存在。

• v5 默认禁用 unsafe 模式，强制要求显式指定 signing method，避免算法混淆漏洞（如将 HS256 误当成 none）
• 签名密钥必须是 []byte 或实现 func(*Token) (interface{}, er

  

  ror)，不能传空字符串或 nil，防止 panic
• 过期时间校验默认开启（VerifyExpiresAt），v4 需手动调用 token.Claims.(jwt.MapClaims).VerifyExpiresAt

权限控制该放在网关层还是微服务内部

粗粒度路由级权限（比如 “只有 admin 能访问 /admin/*”）放 API 网关；细粒度业务级权限（比如 “用户只能删自己的订单”）必须落在具体服务内部，网关无法感知业务语义。

• 网关适合做 token 解析 + 角色白名单（roles: ["admin"]），但做不到判断 order.UserID == current_user.ID
• 微服务内鉴权要结合数据查询，例如先查 SELECT user_role FROM users WHERE id = ?，再比对操作所需权限
• 如果所有服务都依赖同一套 RBAC 规则，建议抽成独立的 authz gRPC 服务，避免各处硬编码权限表

别指望一个中间件解决所有问题：token 解析、身份识别、权限判定、审计日志，这四步缺一不可，而最容易被跳过的，是最后一步——没记录谁在什么时候访问了什么资源，等于没鉴权。

# git  # go  # github  # golang  # 编码  # ai  # 路由  # 标准库  # 为什么  # crypto  # 中间件  # String  # select  # Error  # Token  # const  # 字符串  # Interface  # nil  # 算法  # http  # 放在  # 复用  # 自己的  # 什么时候  # 已被  # 所需  # 落在  # 不存在  # 自定义  # 细粒度 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何在万网自助建站中设置域名及备案？  昵图网官网入口 昵图网素材平台官方入口  Laravel如何使用模型观察者？（Observer代码示例）  三星网站视频制作教程下载,三星w23网页如何全屏？  Laravel Session怎么存储_Laravel Session驱动配置详解  Swift中循环语句中的转移语句 break 和 continue  Laravel如何使用Telescope进行调试？（安装和使用教程）  PHP 500报错的快速解决方法  Firefox Developer Edition开发者版本入口  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  Laravel广播系统如何实现实时通信_Laravel Reverb与WebSockets实战教程  阿里云高弹*务器配置方案｜支持分布式架构与多节点部署  javascript中对象的定义、使用以及对象和原型链操作小结  详解Android图表 MPAndroidChart折线图  Laravel Debugbar怎么安装_Laravel调试工具栏配置指南  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  焦点电影公司作品,电影焦点结局是什么？  Windows驱动无法加载错误解决方法_驱动签名验证失败处理步骤  Laravel Octane如何提升性能_使用Laravel Octane加速你的应用  如何用虚拟主机快速搭建网站？详细步骤解析  黑客如何通过漏洞一步步攻陷网站服务器？  美食网站链接制作教程视频,哪个教做美食的网站比较专业点？  如何快速搭建高效WAP手机网站？  Laravel怎么实现一对多关联查询_Laravel Eloquent模型关系定义与预加载【实战】  Laravel如何使用缓存系统提升性能_Laravel缓存驱动和应用优化方案  Laravel如何实现API版本控制_Laravel版本化API设计方案  Laravel如何实现文件上传和存储？（本地与S3配置）  Laravel如何实现登录错误次数限制_Laravel自带LoginThrottles限流配置【方法】  javascript中闭包概念与用法深入理解  怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  php 三元运算符实例详细介绍  Laravel如何创建自定义中间件？（Middleware代码示例）  如何在局域网内绑定自建网站域名？  Laravel如何配置中间件Middleware_Laravel自定义中间件拦截请求与权限校验【步骤】  浅谈Javascript中的Label语句  千问怎样用提示词获取健康建议_千问健康类提示词注意事项【指南】  如何在服务器上三步完成建站并提升流量？  如何在万网开始建站？分步指南解析  打造顶配客厅影院，这份100寸电视推荐名单请查收  jquery插件bootstrapValidator表单验证详解  如何用PHP工具快速搭建高效网站？  郑州企业网站制作公司,郑州招聘网站有哪些？  Laravel如何实现数据库事务？（DB Facade示例）  西安专业网站制作公司有哪些,陕西省建行官方网站？  如何快速搭建支持数据库操作的智能建站平台？  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  JS实现鼠标移上去显示图片或微信二维码  Laravel怎么设置路由分组Prefix_Laravel多级路由嵌套与命名空间隔离【步骤】  消息称 OpenAI 正研发的神秘硬件设备或为智能笔，富士康代工  Laravel如何自定义错误页面（404, 500）？（代码示例）