我正在使用jwt-go库,我已经编写了在我的应用程序中实现它的测试。但是,无论我创建什么标记,它都会返回为有效。我猜我不是在检查什么。 documentation已过期,因为声明不再支持索引。
这是我的应用程序代码:
// AuthService - provides authentication
type AuthService struct{}
// CreateToken - signs and encrypts auth token
func (a *AuthService) CreateToken(email, password string) (string, error) {
token := jwt.New(jwt.SigningMethodHS256)
token.Claims = buildClaims(email, password)
tokenString, err := token.SignedString([]byte(os.Getenv("AUTH_SECRET")))
if err != nil {
return "", err
}
return tokenString, nil
}
// VerifyToken - ensures that the token is valid
func (a *AuthService) VerifyToken(email, password, token string) bool {
claims := buildClaims(email, password)
parser := new(jwt.Parser)
parsedClaims, _ := parser.ParseWithClaims(token, claims, getKey)
return parsedClaims.Valid
}
func getKey(t *jwt.Token) (interface{}, error) {
return []byte(os.Getenv("AUTH_SECRET")), nil
}
func buildClaims(email, password string) jwt.Claims {
claims := make(jwt.MapClaims)
claims["email"] = email
claims["password"] = password
claims["exp"] = time.Now().Add(time.Hour * 24).Unix()
claims["iat"] = time.Now().Unix()
return claims
}
这是失败的测试:
func TestAuthToken(t *testing.T) {
// var err error
var valid bool
os.Setenv("AUTH_SECRET", "secret")
email := "test@test.com"
password := "password"
auth := &AuthService{}
token, err := auth.CreateToken(email, password)
if err != nil {
t.Errorf("AuthService failed to create a token: %v", err)
}
valid = auth.VerifyToken(email, password, token)
if !valid {
t.Errorf("AuthService failed to verify token: %v", err)
}
valid = auth.VerifyToken("invalid", "", token)
fmt.Println(valid)
if valid {
t.Error("AuthService verified a bad password")
}
}
我不明白为什么最终测试会返回有效。事实上,我可以在密码或电子邮件中加入任何内容,它们将被视为有效。
这是否可能与密码和电子邮件不是标准声明这一事实有关?
答案 0 :(得分:1)
是的,因为email
和password
不是标准声明的一部分,所以在您的示例中使用了验证方法
func (m MapClaims) Valid() error {
vErr := new(ValidationError)
now := TimeFunc().Unix()
if m.VerifyExpiresAt(now, false) == false {
vErr.Inner = errors.New("Token is expired")
vErr.Errors |= ValidationErrorExpired
}
if m.VerifyIssuedAt(now, false) == false {
vErr.Inner = errors.New("Token used before issued")
vErr.Errors |= ValidationErrorIssuedAt
}
if m.VerifyNotBefore(now, false) == false {
vErr.Inner = errors.New("Token is not valid yet")
vErr.Errors |= ValidationErrorNotValidYet
}
if vErr.valid() {
return nil
}
return vErr
}
您真的需要验证密码和用户名吗?因为已经检查了整个令牌的传递时间。但是如果你想要检查这些数据,你可以做一些struct
type CustomClaims struct {
jwt.StandardClaims
Email string `json:"email,omitempty"`
Password string `json:"password,omitempty"`
}
然后,您可以在解析calims后在VerifyToken method
令牌中验证。
if claims, ok := parsedClaims.Claims.(*CustomClaims); ok {
if claims.Password != password {
parsedClaims.Valid = false
}
if claims.Email != username {
parsedClaims.Valid = false
}
}
其他一些事情:
Claims
个对象,或使用自定义Valid
方法传递您自己的内容即可满足界面NewWithClaims
方法