如何在 Go 后端安全获取并验证前端存储的 JWT？

浏览器的 localstorage 完全运行在客户端，无法被 go 服务端直接访问；必须通过 http 请求头（如 authorization）或 cookie 显式传递 token，服务端才能接收、解析和验证。

在 Go Web 开发中，一个常见误区是认为后端能“主动读取”前端浏览器的 localStorage 或 sessionStorage。这是不可能的——它们是纯客户端 JavaScript API，运行在沙盒化的浏览器环境中，不参与 HTTP 协议传输，服务端（包括 Go 的 http.Handler）在任何阶段都无法直接访问这些存储。

✅ 正确的数据传递方式

要让 Go 后端使用前端持有的 JWT，必须由前端显式发送该 Token。主流做法有两种：

1. 通过 Authorization 请求头（推荐）

前端在发起 API 请求（如 fetch 或 axios）时，手动将 Token 注入请求头：

// 前端示例（JavaScript）
const token = localStorage.getItem('auth_token');
fetch('/api/profile', {
  headers: {
    'Authorization': `Bearer ${token}`
  }
});

Go 后端则从 r.Header.Get("Authorization") 提取并解析：

func protectedHandler(w http.ResponseWriter, r *http.Request) {
    authHeader := r.Header.Get("Authorization")
    if authHeader == "" {
        http.Error(w, "Missing token", http.StatusUnauthorized)
        return
    }

    // 提取 Bearer token
    var tokenString string
    if strings.HasPrefix(authHeader, "Bearer ") {
        tokenString = authHeader[7:]
    } else {
        http.Error(w, "Invalid auth header format", http.StatusUnauthorized)
        return
    }

    // 使用 github.com/golang-jwt/jwt/v5 验证
    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
        return []byte("your-secret-key"), nil // 生产环境请使用 RSA 或安全密钥管理
    })
    if err != nil || !token.Valid {
        http.Error(w, "Invalid token", http.StatusUnauthorized)
        return
    }

    // Token 有效，渲染受保护内容
    tmpl.Execute(w, map[string]interface{}{"User": "Alice"})
}

2. 通过 Signed/Encrypted Cookie（适用于 SSR 场景）

若你使用 Go 渲染 HTML（服务端渲染），可让前端在登录后将 JWT 写入 httpOnly: false 的 Cookie，并配合签名/加密保障完整性：

// Go 后端设置带签名的 Cookie（使用 gorilla/securecookie）
var s = securecookie.New(
    securecookie.GenerateRandomKey(32), // hash key
    securecookie.GenerateRandomKey(32), // block key（启用 AES 加密时需要）
)

func loginHandler(w http.ResponseWriter, r *http.Request) {
    // ...验证用户凭据后生成 JWT
    jwtToken := generateJWT(user)

    // 将 JWT 存入加密 Cookie（客户端可读，但不可篡改）
    encoded, err := s.Encode("token", map[string]string{"jwt": jwtToken})
    if err == nil {
        http.SetCookie(w, &http.Cookie{
            Name:     "auth",
            Value:    encoded,
            Path:     "/",
            HttpOnly: false, // 允许 JS 读取（以便后续请求携带）
            Secure:   true,  // 仅 HTTPS
            SameSite: http.SameSiteLaxMode,
        })
    }
}

前端可通过 document.cookie 读取并用于后续请求（或直接由浏览器自动携带）。

❌ 为什么不能直接访问 localStorage？

• localStorage 是浏览器提供的 DOM API，生命周期与页面绑定，不参与网络通信；
• HTTP 协议本身不定义“读取客户端存储”的机制；
• Go 运行在服务端，与浏览器内存完全隔离——这既是安全边界，也是架构分层的基本原则。

? 关于 securecookie 与 JWT 的安全性对比

• gorilla/securecookie 提供 HMAC 签名（防篡改）+ 可选 AES 加密（防泄露），适合存储小量敏感状态（如用户 ID、角色）；
• JWT 本质是自包含令牌（self-contained），适合无状态鉴权，但需注意：payload 不应含敏感信息（除非加密 JWT），且必须严格校验 exp、iss、aud 等声明；
• 二者安全等级取决于实现：正确配置的 securecookie（强密钥 + 加密）与标准 JWT（RS256 签名 + 合理过期）在实践中安全性相当；
• 关键区别在于：JWT 可跨域、可传递给第三方服务；而 securecookie 仅限本域内服务端验证，更轻量可控。

? Session vs Token：性能与设计权衡

• Session（服务端存储）：状态集中、可随时失效、支持大数据（如用户偏好、临时缓存），但需维护 session 存储（Redis/memcached），增加架构复杂度；
• JWT/Cookie（客户端存储）：无状态、扩展性好、减少服务端存储压力，但 Token 一旦签发即不可撤销（需配合黑名单或短有效期）；
• 若你强调“利用客户端资源”且无需实时吊销，JWT + 短期有效期（如 15 分钟）+ Refresh Token 流程是成熟选择；
• 若需强会话控制（如管理员踢出用户）、存储大量上下文数据，或兼容传统表单提交，服务端 Session 仍是合理方案。

总之：不是“能不能”，而是“怎么传”。设计清晰的前后端协作契约（Token 放 Header 或 Signed Cookie），比试图突破同源限制更安全、更可持续。