study/백엔드
JWT 기반 사용자 인증 구현 – Go API 보안의 핵심
octo54
2025. 4. 9. 11:08
반응형
JWT 기반 사용자 인증 구현 – Go API 보안의 핵심
이제 우리의 Admin Dashboard API는 데이터베이스와 연결되어 유저 정보를 저장하고 조회할 수 있습니다. 하지만 인증 없는 API는 누구든지 접근 가능한 보안 위험 요소가 됩니다.
이번 글에서는 Go에서 **JWT(Json Web Token)**를 사용하여 로그인 인증 시스템을 구축해보겠습니다.
✅ 1. JWT란?
JWT는 사용자의 인증 상태를 유지하기 위한 토큰 기반 인증 방식입니다.
- 로그인 성공 시 토큰 발급
- 요청 시 토큰을 헤더에 포함하여 인증 수행
- 서버는 상태를 저장하지 않는(stateless) 방식
✅ 2. 라이브러리 설치
go get github.com/golang-jwt/jwt/v5
✅ 3. JWT 시크릿 키 설정
📄 config/env.go
package config
var JwtSecret = []byte("your-super-secret-key")
✅ 4. JWT 발급 함수 작성
반응형
📄 utils/jwt.go
package utils
import (
"github.com/golang-jwt/jwt/v5"
"time"
"your_project/config"
)
func GenerateJWT(userID uint) (string, error) {
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
"user_id": userID,
"exp": time.Now().Add(time.Hour * 72).Unix(),
})
return token.SignedString(config.JwtSecret)
}
✅ 5. 로그인 API 작성
func Login(w http.ResponseWriter, r *http.Request) {
var req models.User
json.NewDecoder(r.Body).Decode(&req)
var user models.User
config.DB.Where("email = ? AND password = ?", req.Email, req.Password).First(&user)
if user.ID == 0 {
http.Error(w, "Invalid credentials", http.StatusUnauthorized)
return
}
token, err := utils.GenerateJWT(user.ID)
if err != nil {
http.Error(w, "Token error", http.StatusInternalServerError)
return
}
json.NewEncoder(w).Encode(map[string]string{"token": token})
}
✅ 6. 인증 미들웨어 작성
func JwtMiddleware(next http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
tokenStr := r.Header.Get("Authorization")
if tokenStr == "" {
http.Error(w, "No token provided", http.StatusUnauthorized)
return
}
token, err := jwt.Parse(tokenStr, func(token *jwt.Token) (interface{}, error) {
return config.JwtSecret, nil
})
if err != nil || !token.Valid {
http.Error(w, "Invalid token", http.StatusUnauthorized)
return
}
next(w, r)
}
}
✅ 7. 인증 API 보호 적용
r.HandleFunc("/users", JwtMiddleware(GetUsers)).Methods("GET")
r.HandleFunc("/users", JwtMiddleware(CreateUser)).Methods("POST")
✅ 8. Postman 테스트 팁
- /login 요청 후 받은 토큰을 저장
- 이후 API 요청 시
- Headers > Authorization: 토큰값
- 또는: Bearer <token> 형식으로 보내기
✅ 마무리
이제 우리의 Admin API는 로그인한 사용자만 접근 가능한 보안 구조로 전환되었습니다.
JWT는 Admin Dashboard와의 연동에서도 매우 유용하며, 추후 관리자 권한 분기 등도 쉽게 구현할 수 있습니다.
다음 글에서는 Swagger로 API 문서를 자동화하여 협업과 테스트 효율을 높이는 방법을 소개합니다.
GoJWT인증, Golang보안, RESTAPI인증, JWT로그인, GoLoginAPI, Go미들웨어, Go토큰인증, Go백엔드보안, AdminDashboard보안, GolangAuthentication