Golang实现Web身份认证与权限控制需安全处理密码、会话或JWT及RBAC校验：密码用bcrypt哈希存储；session用HttpOnly+Secure Cookie管理；JWT需签名密钥保密、存必要字段并维护黑名单；权限通过requireRole中间件统一校验。

使用 Golang 实现 Web 应用的身份认证（用户登录）与权限控制，核心在于安全地处理凭证、管理会话或令牌、并校验用户访问资源的合法性。不依赖框架也能做到简洁可靠，关键在选对方案、守住安全边界。

密码存储与验证：永远别存明文

用户注册和登录时，密码必须哈希后存储，推荐使用 bcrypt（Go 标准库 golang.org/x/crypto/bcrypt 提供）。

• 注册时：用 bcrypt.GenerateFromPassword(pwd, bcrypt.DefaultCost) 生成哈希，存入数据库
• 登录时：用 bcrypt.CompareHashAndPassword(hash, inputPwd) 校验，不手动比对字符串（防时序攻击）
• 避免使用 MD5、SHA 等无盐哈希；bcrypt 自带 salt，无需额外处理

会话管理：基于 HTTP-only Cookie 的服务端 Session

适合传统服务端渲染应用。用 gorilla/sessions 或原生 net/http + 安全 cookie 配合内存/Redis 存储 session 数据。

• 创建 session store 时启用 Secure（HTTPS）、HttpOnly（防 XSS 读取）、SameSite=Strict 或 Lax
• 登录成功后：生成唯一 session ID，将 userID 和角色（如 role: "admin"）写入 session，不存密码或敏感字段
• 每次请求通过 session.Get("userID") 获取当前用户，为空则重定向到登录页

Token 认证（JWT）：适合前后端分离场景

用 golang-jwt/jwt/v5 生成和校验 token，注意规避常见陷阱：

立即学习“go语言免费学习笔记（深入）”；

• 签名密钥（SigningKey）必须足够长且保密，禁用 HS256 时用硬编码弱密钥
• token 中只放必要字段（如 sub 用户 ID、role、exp），不放密码、权限列表等可变数据
• 服务端需维护“已注销 token 黑名单”（如 Redis 存 token_jti: expireAt），或采用短生命周期 + refresh token 机制
• API 请求头带 Authorization: Bearer xxx，中间件解析并校验签名、过期时间、黑名单

权限控制：基于角色（RBAC）的中间件封装

把权限判断逻辑从业务 handler 中抽离，统一用中间件处理：

• 定义角色常量：const RoleAdmin = "admin"; const RoleUser = "user"
• 写一个 requireRole(roles ...string) 中间件：从 session 或 JWT 提取用户角色，检查是否在允许列表中
• 路由注册时链式使用：http.HandleFunc("/admin/users", requireRole(RoleAdmin)(adminUsersHandler))
• 更细粒度控制可扩展为 “资源+操作” 模型（如 can("delete", "post")），用策略函数或规则引擎（如 casbin）实现

不复杂但容易忽略：所有登录接口必须限流（如用 golang.org/x/time/rate），表单提交加 CSRF Token（session 场景），密码错误提示统一为“用户名或密码错误”，避免泄露账号存在性。