GinミドルウェアでのJWT認証によるAPIの保護
9月 19, 2025
# Misc
Min-jun Kim
Dev Intern · Leapcell
はじめに
現代のWeb開発において、API(Application Programming Interface)の保護は最優先事項です。特にRESTful APIは、シングルページアプリケーション、モバイルアプリ、マイクロサービスアーキテクチャのバックボーンとして機能することがよくあります。このセキュリティの重要な側面は、ユーザーを効果的かつ効率的に認証および認可することです。ここでJSON Web Token(JWT)が役立ちます。JWTは、2者間で転送されるクレームを表現するためのコンパクトでURLセーフな手段を提供し、ステートレスでスケーラブルな認証アプローチを提供します。この記事では、広く使用されているGoのWebフレームワークであるGinを活用して、そのミドルウェア内で直接JWTトークンの発行と検証を実装し、Goアプリケーションを保護するための実用的で堅牢なソリューションを提供する方法について説明します。
JWTとGinミドルウェアの理解
実装に入る前に、関連するコアコンセプトを明確に理解しましょう。
- JSON Web Token(JWT): JWTは、2者間で情報をJSONオブジェクトとして安全に送信するための、コンパクトで自己完結型の方法を定義するオープンスタンダード(RFC 7519)です。この情報は、デジタル署名されているため、検証および信頼できます。JWTは通常、ヘッダー、ペイロード、署名の3つの部分で構成されます。
- ヘッダー: トークンのタイプ(JWT)と署名アルゴリズム(例:HMAC SHA256またはRSA)を含みます。
- ペイロード: クレームを含みます。クレームは、エンティティ(通常はユーザー)と追加データに関するステートメントです。標準クレームには、
iss(発行者)、exp(有効期限)、sub(件名)、aud(対象者)が含まれます。カスタムクレームを追加することもできます。 - 署名: エンコードされたヘッダー、エンコードされたペイロード、秘密鍵、およびヘッダーで指定されたアルゴリズムを使用してデジタル署名を作成します。この署名は、JWTの送信者を検証し、メッセージが改ざんされていないことを確認するために使用されます。
- Ginミドルウェア: Ginのコンテキストでは、ミドルウェアは、最終的なリクエストハンドラーの前または後に実行される関数のチェーンです。ミドルウェアは、ログ記録、認証、認可、リクエスト解析、エラー処理など、さまざまなタスクを実行できます。モジュール化された再利用可能なコードを可能にし、複数のルートに適用される機能を一元化します。
GinミドルウェアにJWTを実装することには、いくつかの利点があります。
- 一元化された認証: 認証ロジックは1か所で行われ、複数のルートハンドラーでの繰り返しを防ぎます。
- ステートレス: JWTはステートレス認証を可能にし、サーバーサイドセッションの必要性をなくし、スケーラビリティを向上させます。
- 分離されたロジック: 認証と認可はビジネロジックから分離され、コードをよりクリーンで保守しやすくします。
GinミドルウェアでのJWTの実装
私たちの実装は、2つの主要な段階を含みます。ユーザーログイン成功時のJWTの発行と、保護されたAPIリクエストのJWTの検証です。
1. プロジェクトセットアップと依存関係
まず、新しいGoモジュールを初期化し、必要な依存関係をインストールします。
go mod init your-module-name go get github.com/gin-gonic/gin go get github.com/golang-jwt/jwt/v5
2. JWTクレームの定義
jwt.RegisteredClaimsを埋め込み、ユーザー固有の情報を持つカスタムClaims構造体を作成します。
package main import "github.com/golang-jwt/jwt/v5" // MyCustomClaims defines the JWT claims structure type MyCustomClaims struct { Username string `json:"username"` jwt.RegisteredClaims }
3. JWT秘密鍵
トークンの署名と検証には秘密鍵が必要です。本番環境では、これは強力でランダムに生成されたキーであり、環境変数などの安全な場所に保存されるべきです。
// Replace with a strong, securely stored secret in production var jwtSecret = []byte("supersecretkeythatshouldbesecretandlong")
4. JWTトークンの発行
この関数は、ユーザーログイン成功後に呼び出されます。ユーザー名を受け取り、署名付きJWTを生成します。
package main import ( t"time" "github.com/golang-jwt/jwt/v5" ) // GenerateToken generates a new JWT token for a given username func GenerateToken(username string) (string, error) { expirationTime := time.Now().Add(24 * time.Hour) // Token valid for 24 hours claims := &MyCustomClaims{ Username: username, RegisteredClaims: jwt.RegisteredClaims{ ExpiresAt: jwt.NewNumericDate(expirationTime), IssuedAt: jwt.NewNumericDate(time.Now()), NotBefore: jwt.NewNumericDate(time.Now()), Issuer: "your-app-issuer", Subject: username, ID: "", // Optional: unique identifier for the token Audience: []string{"your-app-audience"}, }, } token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims) ttokenString, err := token.SignedString(jwtSecret) if err != nil { return "", err } return tokenString, nil }
ログインルートでの使用例:
package main import ( "net/http" "github.com/gin-gonic/gin" ) // LoginInput defines the expected input for a login request type LoginInput struct { Username string `json:"username" binding:"required"` Password string `json:"password" binding:"required"` } // LoginHandler handles user authentication and token issuance func LoginHandler(c *gin.Context) { var input LoginInput if err := c.ShouldBindJSON(&input); err != nil { c.JSON(http.StatusBadRequest, gin.H{"error": err.Error()}) return } // In a real application, you'd verify credentials against a database if input.Username == "user" && input.Password == "password" { // Dummy credentials token, err := GenerateToken(input.Username) if err != nil { c.JSON(http.StatusInternalServerError, gin.H{"error": "Failed to generate token"}) return } c.JSON(http.StatusOK, gin.H{"token": token}) } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid credentials"}) } }
5. JWT検証ミドルウェア
これは、認証システムのコアです。このGinミドルウェアは、保護されたルートへのリクエストをインターセプトし、JWTを抽出し、その署名を検証し、クレームを解析します。
package main import ( "fmt" "net/http" "strings" "github.com/gin-gonic/gin" "github.com/golang-jwt/jwt/v5" ) // AuthMiddleware is a Gin middleware to verify JWT tokens func AuthMiddleware() gin.HandlerFunc { return func(c *gin.Context) { authHeader := c.GetHeader("Authorization") if authHeader == "" { c.JSON(http.StatusUnauthorized, gin.H{"error": "Authorization header required"}) c.Abort() return } // Expected format: Bearer <token> headerParts := strings.Split(authHeader, " ") if len(headerParts) != 2 || headerParts[0] != "Bearer" { c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid Authorization header format"}) c.Abort() return } tokenString := headerParts[1] token, err := jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) { // Validate the signing method if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok { return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"]) } return jwtSecret, nil }) if err != nil { // Handle various JWT errors if ve, ok := err.(*jwt.ValidationError); ok { if ve.Errors&jwt.ValidationErrorMalformed != 0 { c.JSON(http.StatusUnauthorized, gin.H{"error": "That's not even a token"}) c.Abort() return } else if ve.Errors&(jwt.ValidationErrorExpired|jwt.ValidationErrorNotValidYet) != 0 { c.JSON(http.StatusUnauthorized, gin.H{"error": "Token is either expired or not active yet"}) c.Abort() return } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Couldn't handle this token"}) c.Abort() return } } c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid token"}) c.Abort() return } if claims, ok := token.Claims.(*MyCustomClaims); ok && token.Valid { // Token is valid, store claims in context for downstream handlers c.Set("username", claims.Username) c.Next() // Proceed to the next handler } else { c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid token claims"}) c.Abort() } } }
6. Ginルートへのミドルウェアの統合
最後に、AuthMiddlewareをGinルーターに統合します。
package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { r := gin.Default() // Public route for login r.POST("/login", LoginHandler) // Protected routes that require JWT authentication protected := r.Group("/api") protected.Use(AuthMiddleware()) // Apply the authentication middleware { protected.GET("/profile", func(c *gin.Context) { // Access username from context after successful authentication username, _ := c.Get("username") c.JSON(http.StatusOK, gin.H{"message": "Welcome to your profile, " + username.(string)}) }) protected.GET("/dashboard", func(c *gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "This is your dashboard!"}) }) } r.Run(":8080") // Listen and serve on 0.0.0.0:8080 }
アプリケーションシナリオ
GinミドルウェアによるこのJWT認証パターンは、以下に最適です。
- RESTful API: Webおよびモバイルアプリケーションのエンドポイントを保護します。
- マイクロサービス: サービス間のリクエストを認証します。
- シングルページアプリケーション(SPA): React、Angular、Vue.jsなどのフロントエンドフレームワークのステートレス認証メカニズムを提供します。
- ゲートウェイ: APIゲートウェイの場合、特定のサービスにリクエストをルーティングする前の初期認証レイヤーとして機能できます。
結論
Ginミドルウェアを使用したJWTの発行と検証の実装は、Goアプリケーションでユーザーを認証し、APIエンドポイントを保護するための強力でスケーラブルで安全な方法を提供します。認証ロジックを一元化し、JWTの自己完結型の性質を活用することで、堅牢でパフォーマンスの高いWebサービスを構築できます。このアプローチにより、最終的に開発者は自信を持って安全で効率的なGoベースのAPIバックエンドを構築できるようになります。
Share this article
![x](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g><g fill="%23000000"><path d="M0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g></svg>){kind=small}
![facebook](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g><g fill="%233b5998"><path d="M0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g></svg>){kind=small}
![linkedin](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g><g fill="%23007fb1"><path d="M0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g></svg>){kind=small}
![reddit](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g><g fill="%23FF4500"><path d="M0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g></svg>){kind=small}
![telegram](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g><g fill="%2349a9e9"><path d="M0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g></svg>){kind=small}
