Token:
cookie和session的局限:session依赖cookie,如果客户端不是浏览器,cookie和session将同时失效。
token的出现就是解决的问题是客户端不支持cookie的情况。token也是随着移动端的崛起而崛起的。
token就是自定义的session,token会将数据的唯一标识发送给客户端,而且客户端如果存储服务器不再关注,减轻了服务器负担,客户端请求的时候没有带token就判断它是一个新用户。
JWT(Json web token ):
- 第一部分我们称它为头部(header)
- 第二部分我们称其为载荷(payload)
- 第三部分是签证(signature)
头部承载两部分信息,完整的头部信息如下:
{
'typ': 'JWT', # 声明类型
'alg': 'HS256' # 声明加密算法,这里是hash256
}
载荷分为三部分:
{
"sub": "1234567890", # 注册的声明
"name": "John Doe", # 公共的声明
"admin": true # 私有的声明
}
signature签证信息
这个签证信息由三部分组成:
- header (base64后的)
- payload (base64后的)
- secret
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
JWT长什么样?
代码实现:
def create_token(phone):
'''
创建token!!!
'''
# 第一部分头信息
# 申明类型,和加密方式
part1 = {'type': 'jwt', 'alg': 'hs256'}
part1_base64 = base64.b64encode(json.dumps(part1).encode()).decode()
# 第二部分是载荷
part2 = {'phone': phone}
part2_base64 = base64.b64encode(json.dumps(part2).encode()).decode()
# 第三部分是签证,是用来生成和验证token的数据
part3 = part1_base64 + '.' + part2_base64 + settings.SECRET_KEY
sha256 = hashlib.sha256()
sha256.update(part3.encode())
part3_sha256 = sha256.hexdigest()
token = part1_base64 + '.' + part2_base64 + '.' + part3_sha256
return token
def check_token(token):
'''
验证token
'''
data = token.split('.')
new_part3 = data[0] + '.' + data[1] + settings.SECRET_KEY
sha256 = hashlib.sha256()
sha256.update(new_part3.encode())
sign = sha256.hexdigest()
payload = json.loads(base64.b64decode(data[1].encode()))
phone = payload.get('phone')
if sign == data[2]:
return True, phone
else:
return False, phone
内部生成原理:对头部和载荷进行base64加密,第三部分的认证把头部和载荷拼接在一起再用hashlib256加密,最后生成一个完整的token。
验证token:用key重新生成sign,hashlib.sha256加密解密,核对sign和拿过来的签证部分,返回用户信息就可以了。
完整的jwt就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。