自定义Claims#

1
// CustomClaims JWT Claims结构
2
type CustomClaims struct {
3
  UserID    string `json:"user_id"`
4
  DeviceID  string `json:"device_id"`
5
  SessionID string `json:"session_id"`
6
  jwt.RegisteredClaims
7
}
8

9
// GenerateTokens 生成双Token
10
func (ax *AuthX) GenerateTokens(userID string) (accessToken, refreshToken string, sessionID string, err error) {
11
  // 生成唯一sessionID
12
  sessionID = fmt.Sprintf("u%s_%s", userID, uuid.NewString()) // u10001_f47ac10b-58cc-4372-a567-0e02b2c3d479
13

14
  // 生成Access Token
15
  accessClaims := CustomClaims{
16
    UserID:    userID,
17
    SessionID: sessionID,
18
    RegisteredClaims: jwt.RegisteredClaims{
19
      ExpiresAt: jwt.NewNumericDate(time.Now().Add(ax.config.AccessTokenExpire)),
20
    },
21
  }
22
  accessToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, accessClaims).SignedString(ax.config.SecretKey)
23
  if err != nil {
24
    return "", "", "", err
25
  }
26

27
  // 生成Refresh Token
28
  refreshClaims := jwt.RegisteredClaims{
29
    ExpiresAt: jwt.NewNumericDate(time.Now().Add(ax.config.RefreshTokenExpire)),
30
  }
31
  refreshToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, refreshClaims).SignedString(ax.config.SecretKey)
32
  if err != nil {
33
    return "", "", "", err
34
  }
35

36
  // 存储到Redis (sessionID作为关键key)
37
  //ctx := context.Background()
38
  //err = redisClient.Set(ctx,
39
  //  fmt.Sprintf("user:%s:session", userID),
40
  //  sessionID,
41
  //  refreshTokenExpire,
42
  //).Err()
43

44
  return accessToken, refreshToken, sessionID, err
45
}

redis custom key

user_id: ${uid}:did:$ {did}

1
user_id:10001:device:web/pc
2
user_id:10001:device:ios/app/mobile

设计概览（要点）#

单端登录：每个用户在 Redis 中只保留一份会话标识（jti）。登录时写入 user_session:{userID} = jti，校验任何 token 时都要比对其 jti 是否和 Redis 中一致。这样旧设备/旧 token 即被作废。
Access Token / Refresh Token：
- Access：短期（例如 15 分钟），用于接口认证。
- Refresh：长期（例如 7 天），用于在 Access 过期时“无感”获得新的 Access（并做 refresh token 轮换）。
无感刷新（中间件自动刷新）：
- 中间件先尝试验证 Access。
- 若 Access 过期但 Refresh cookie 存在且合法，解析 Refresh；若 Refresh 的 jti 与 Redis 中一致，则生成新的 Access（和新的 Refresh，可选择轮换），更新 Redis 的 jti，从而实现“无感刷新”并继续本次请求。
- 新 token 会以 HttpOnly、Secure cookie 返回给客户端，或用 header 返回（建议 cookie）。
安全：
- 强烈建议使用 HTTPS、HttpOnly + Secure cookie、SameSite=strict/lax。
- Refresh token 轮换（每次刷新都发新 Refresh 并使旧 Refresh 失效）能降低刷新令牌被滥用风险。
- 将 user_session:{userID} 存 Redis，设置 TTL 为 Refresh 的时长（或每次刷新重置 TTL）。
依赖：
- Gin: github.com/gin-gonic/gin
- Redis: github.com/redis/go-redis/v9（go-redis v9）
- JWT: github.com/golang-jwt/jwt/v5
- Context/标准库

示例#

假设文件 main.go 单文件实现（为了演示把主要逻辑放一起）。真实项目建议分包（auth, middleware, storage 等）。

1
package main
2

3
import (
4
  "context"
5
  "errors"
6
  "fmt"
7
  "net/http"
8
  "os"
9
  "time"
10

11
  "github.com/gin-gonic/gin"
12
  "github.com/golang-jwt/jwt/v5"
13
  "github.com/redis/go-redis/v9"
14
)
15

16
// ----------------- 配置 -----------------
17
var (
18
  AccessTokenTTL  = 15 * time.Minute
19
  RefreshTokenTTL = 7 * 24 * time.Hour
20

21
  JWTSecret = []byte("replace-with-strong-secret") // 生产请从 env/config 注入
22
)
23

24
var redisClient *redis.Client
25
var ctx = context.Background()
26

27
// ----------------- Claims -----------------
28
type MyClaims struct {
29
  UserID string `json:"uid"`
30
  // 可以放更多字段
31
  jwt.RegisteredClaims
32
}
33

34
// ----------------- Redis Key helpers -----------------
35
func userSessionKey(userID string) string {
36
  return fmt.Sprintf("user_session:%s", userID)
37
}
38

39
// ----------------- Token generation -----------------
40
func genToken(userID string, ttl time.Duration) (tokenString string, jti string, err error) {
41
  jti = fmt.Sprintf("%d", time.Now().UnixNano()) // 简单 jti；也可以用 uuid
42
  now := time.Now()
43
  claims := MyClaims{
44
    UserID: userID,
45
    RegisteredClaims: jwt.RegisteredClaims{
46
      ID:        jti,
47
      IssuedAt:  jwt.NewNumericDate(now),
48
      ExpiresAt: jwt.NewNumericDate(now.Add(ttl)),
49
      // Issuer, Subject 等根据需要设置
50
    },
51
  }
52
  t := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
53
  tokenString, err = t.SignedString(JWTSecret)
54
  return
55
}
56

57
// ----------------- Token parse & validate -----------------
58
func parseToken(tokenStr string) (*MyClaims, error) {
59
  claims := &MyClaims{}
60
  parser := jwt.NewParser()
61
  _, err := parser.ParseWithClaims(tokenStr, claims, func(t *jwt.Token) (interface{}, error) {
62
    // ensure method
63
    if _, ok := t.Method.(*jwt.SigningMethodHMAC); !ok {
64
      return nil, fmt.Errorf("unexpected signing method: %v", t.Header["alg"])
65
    }
66
    return JWTSecret, nil
67
  })
68
  if err != nil {
69
    return nil, err
70
  }
71
  // jwt lib already checks expiry in Valid() when parsing (unless you skip)
72
  return claims, nil
73
}
74

75
// ----------------- Redis helpers -----------------
76
func setUserSession(userID, jti string, ttl time.Duration) error {
77
  return redisClient.Set(ctx, userSessionKey(userID), jti, ttl).Err()
78
}
79

80
func getUserSession(userID string) (string, error) {
81
  return redisClient.Get(ctx, userSessionKey(userID)).Result()
82
}
83

84
func deleteUserSession(userID string) error {
85
  return redisClient.Del(ctx, userSessionKey(userID)).Err()
86
}
87

88
// ----------------- Handlers -----------------
89

90
// Mock: validate username/password -> return userID
91
func authenticateUser(username, password string) (string, error) {
92
  // 真实系统要查 DB
93
  if username == "alice" && password == "pass123" {
94
    return "user-1001", nil
95
  }
96
  return "", errors.New("invalid credentials")
97
}
98

99
// POST /login
100
func loginHandler(c *gin.Context) {
101
  var body struct {
102
    Username string `json:"username"`
103
    Password string `json:"password"`
104
  }
105
  if err := c.BindJSON(&body); err != nil {
106
    c.JSON(http.StatusBadRequest, gin.H{"error": "bad request"})
107
    return
108
  }
109
  uid, err := authenticateUser(body.Username, body.Password)
110
  if err != nil {
111
    c.JSON(http.StatusUnauthorized, gin.H{"error": "invalid username/password"})
112
    return
113
  }
114

115
  // generate tokens
116
  accessToken, accessJti, err := genToken(uid, AccessTokenTTL)
117
  if err != nil {
118
    c.JSON(http.StatusInternalServerError, gin.H{"error": "token err"})
119
    return
120
  }
121
  refreshToken, refreshJti, err := genToken(uid, RefreshTokenTTL)
122
  if err != nil {
123
    c.JSON(http.StatusInternalServerError, gin.H{"error": "token err"})
124
    return
125
  }
126

127
  // 单端登录：把 refreshJti（或任意代表会话的 jti）写到 Redis（覆盖旧会话）
128
  // 我们将 Redis 的值视作“当前有效 jti”
129
  if err := setUserSession(uid, refreshJti, RefreshTokenTTL+time.Minute); err != nil {
130
    c.JSON(http.StatusInternalServerError, gin.H{"error": "redis err"})
131
    return
132
  }
133

134
  // 建议：通过 HttpOnly Secure cookie 发送 Refresh token，Access token 也可以放 cookie 或返回给前端
135
  // 这里：Access 返回 JSON，Refresh 写 cookie（HttpOnly）
136
  c.SetCookie("refresh_token", refreshToken, int(RefreshTokenTTL.Seconds()), "/", "", true, true)
137
  // 返回 access token（也可以放 cookie）
138
  c.JSON(http.StatusOK, gin.H{
139
    "access_token": accessToken,
140
    "expires_in":   int(AccessTokenTTL.Seconds()),
141
    "user_id":      uid,
142
  })
143
}
144

145
// POST /logout
146
func logoutHandler(c *gin.Context) {
147
  // 从 context 中拿 user（中间件会设置）
148
  userID, _ := c.Get("userID")
149
  if userIDStr, ok := userID.(string); ok {
150
    deleteUserSession(userIDStr)
151
  }
152
  // 清 cookie
153
  c.SetCookie("refresh_token", "", -1, "/", "", true, true)
154
  c.JSON(http.StatusOK, gin.H{"msg": "logged out"})
155
}
156

157
// GET /profile（受保护示例）
158
func profileHandler(c *gin.Context) {
159
  uid, _ := c.Get("userID")
160
  c.JSON(http.StatusOK, gin.H{"user_id": uid})
161
}
162

163
// ----------------- Auth Middleware（含无感刷新） -----------------
164
func authMiddleware() gin.HandlerFunc {
165
  return func(c *gin.Context) {
166
    // 先尝试从 Authorization header 或 access cookie 获取 Access token
167
    var accessToken string
168
    authHeader := c.GetHeader("Authorization")
169
    if len(authHeader) > 7 && authHeader[:7] == "Bearer " {
170
      accessToken = authHeader[7:]
171
    } else {
172
      // 或者从 cookie 中获取 access（如果你选择把 access 存 cookie）
173
      if cookie, err := c.Cookie("access_token"); err == nil {
174
        accessToken = cookie
175
      }
176
    }
177

178
    if accessToken != "" {
179
      claims, err := parseToken(accessToken)
180
      if err == nil {
181
        // 校验 jti 与 redis 中的一致性（单端）
182
        if ok := checkJtiMatch(claims.UserID, claims.ID); ok {
183
          // token 合法且为当前会话
184
          c.Set("userID", claims.UserID)
185
          c.Next()
186
          return
187
        }
188
        // jti 不匹配 -> token 已失效（被踢）
189
        c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "session invalidated"})
190
        return
191
      } else {
192
        // 如果是过期错误，尝试无感刷新
193
        var verr *jwt.ValidationError
194
        if errors.As(err, &verr) && verr.Errors&jwt.ErrTokenExpired != 0 {
195
          // 尝试用 refresh 做无感刷新
196
          if doSilentRefresh(c) {
197
            // doSilentRefresh 会在成功时设置 userID
198
            c.Next()
199
            return
200
          }
201
          // 刷新失败 -> 需要重新登录
202
          c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "token expired, please login"})
203
          return
204
        }
205
        // 其他解析错误
206
        c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "invalid token"})
207
        return
208
      }
209
    }
210

211
    // 没有 access token -> 尝试无感刷新（某些场景，客户端只保存 refresh cookie）
212
    if doSilentRefresh(c) {
213
      c.Next()
214
      return
215
    }
216

217
    c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "missing token"})
218
  }
219
}
220

221
// doSilentRefresh: 返回 true 表示刷新成功并已设置 userID 到 context
222
func doSilentRefresh(c *gin.Context) bool {
223
  refreshCookie, err := c.Cookie("refresh_token")
224
  if err != nil || refreshCookie == "" {
225
    return false
226
  }
227
  claims, err := parseToken(refreshCookie)
228
  if err != nil {
229
    return false
230
  }
231
  uid := claims.UserID
232
  jti := claims.ID
233

234
  // 校验 Redis 中的 jti（单端登录）：确保 refresh 的 jti 是当前会话
235
  curJti, err := getUserSession(uid)
236
  if err != nil {
237
    return false
238
  }
239
  if curJti != jti {
240
    // 说明该 refresh 已被替换（可能在另一端登录了）
241
    return false
242
  }
243

244
  // 通过了：生成新的 access（和新的 refresh（轮换））
245
  newAccess, _, err := genToken(uid, AccessTokenTTL)
246
  if err != nil {
247
    return false
248
  }
249
  newRefresh, newRefreshJti, err := genToken(uid, RefreshTokenTTL)
250
  if err != nil {
251
    return false
252
  }
253

254
  // 更新 Redis 会话 jti，覆盖旧 refresh（实现单端 + refresh 轮换）
255
  if err := setUserSession(uid, newRefreshJti, RefreshTokenTTL+time.Minute); err != nil {
256
    return false
257
  }
258

259
  // 设置新 refresh cookie（HttpOnly）
260
  c.SetCookie("refresh_token", newRefresh, int(RefreshTokenTTL.Seconds()), "/", "", true, true)
261
  // 可把 access 返回 header 或 cookie：这里放 header（也可改为 cookie）
262
  c.Header("X-Access-Token", newAccess)
263
  c.Set("userID", uid)
264
  return true
265
}
266

267
func checkJtiMatch(userID, jti string) bool {
268
  cur, err := getUserSession(userID)
269
  if err != nil {
270
    return false
271
  }
272
  return cur == jti
273
}
274

275
// ----------------- Init Redis & main -----------------
276
func initRedis() {
277
  redisClient = redis.NewClient(&redis.Options{
278
    Addr:     "127.0.0.1:6379",
279
    Password: "", // set if needed
280
    DB:       0,
281
  })
282
  if err := redisClient.Ping(ctx).Err(); err != nil {
283
    fmt.Fprintln(os.Stderr, "redis connect error:", err)
284
    os.Exit(1)
285
  }
286
}
287

288
func main() {
289
  initRedis()
290

291
  r := gin.Default()
292

293
  r.POST("/login", loginHandler)
294
  r.POST("/logout", authMiddleware(), logoutHandler)
295

296
  protected := r.Group("/api")
297
  protected.Use(authMiddleware())
298
  {
299
    protected.GET("/profile", profileHandler)
300
    // ... 其他受保护路由
301
  }
302

303
  r.Run(":8080")
304
}

使用说明与前端协作建议#

前端：
- 登录成功后把 access_token 存内存（如 Vuex / Pinia），不要放 localStorage（XSS 风险）。也可以把 access 也通过 HttpOnly cookie 返回，客户端不直接访问。
- 将 Refresh 放 HttpOnly; Secure cookie；浏览器自动带上。
- 当后端返回新 X-Access-Token header 或新的 access cookie 时，前端要更新内存中的 Access（如果放内存）。
- 如果你的前端是 SPA，可在每次发请求前从内存取 Access，若 401 且响应提示需要登录，则跳转登录；但若使用本示例中“无感刷新”，后端会在中间件自动刷新并在响应中返回新 Access（header 或 cookie），前端应读取并替换。
刷新策略：
- 可以用“滑动窗口”（每次请求刷新 Refresh TTL）或“轮换 Refresh token”（示例采用轮换：每次刷新发新 Refresh 并使旧的失效）。
- 轮换更安全，但后端必须把最新 jti 存起来（示例用 user_session:{userID}）。
并发登录/并发刷新：为避免并发刷新时的竞态，可在 Redis 做简单乐观锁或使用 GETSET / SET with NX 等手段控制。生产系统应谨慎处理刷新并发。
登出：删除 user_session:{userID} 即可立即使所有 token 失效。

进一步改进建议（生产级）#

用更强的 jti（UUIDv4）。
把 JWT secret 放到 KMS / 环境变量中，并按需做密钥轮换（kid）。
在 Redis 中保存更多会话信息（设备、IP、UserAgent），支持管理会话（踢人）。
在 token 中加入 aud/iss/sub 等字段增强校验。
记录 refresh 操作日志，监控异常频繁的 refresh（可能是攻击）。
使用 TLS（HTTPS），并对 cookie 设置 SameSite=Lax 或更严格。
对 logout、换设备、管理员强制下线等场景增加接口。