• Python 模块 jwt


    • 1、jwt认证流程
      • 传统token方式和jwt认证方式有什么差异?
    • 2、jwt创建token
      • 2.1、原理
      • 2.2代码实现
    • 3、JWT校验token

     

    JSON Web Tokens ,是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。

    1、jwt认证流程 

    传统token方式和jwt认证方式有什么差异?

    • 传统token方式

    用户登录成功后,服务端生成一个随机的token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需要携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法

    • jwt方式

    用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需要携带token,服务端接收到token之后,通过jwt对token进行教研是否超时、是否合法。

    2、jwt创建token

    在加密的数据中
    如果  包含exp=过期时间,则会在一段时间内 token有效
    
    否则一值有效

    2.1、原理

    jwt的生成token格式如下,即:由。连接的三段字符组成

    eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU

     

     

    生成规则如下:

    第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段

    {

        "alg": "HS256",

        "typ": "JWT"

    }

    第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段。

    {

        "sub": "1234567890",

        "name": "John Doe",

        "iat": 1516239022

    }

    第三段SIGNATURE部分,把前两段的base秘闻通过.拼接起来,然后对其进行HS256加密,再然后对hs256秘闻进行base64url加密,最终得到token的第三段。

    base64url(
        HMACHSHA256(
            base64UrlEncode(header) + '.' + base64url(payload),
            your-256-bit-secret(秘钥加盐)
        )
    )

    最后基于三段字符通过.拼接起来就生成了jwt的token

    注意:base64url加密是先做base64加密。然后再讲-代替+以及_代替/

    2.2代码实现

    基于Python的pyjwt模块创建jwt的token

    • 安装

      pip3 install pyjwt
    • 实现

      import jwt
      import datetime
      from jwt import exceptions

      SALT = 'apple'


      def create_token():
      # 构造header
      headers = {
      'typ': 'jwt',
      'alg': 'HS256'
      }
      # 构造payload
      payload = {
      'user_id': 1, # 自定义用户ID
      'username': 'pig',
      'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
      }
      result = jwt.encode(payload=payload, key=SALT, algorithm='HS256', headers=headers).decode('utf8')
      return result


      if __name__ == '__main__':
      token = create_token()
      print(token)

    3、JWT校验token

     

    jwt验证tok一般在认证成功后,把jwt生成的token返回用户,以后用户再次访问的时候需要携带token,此时jwt需要对token进行超时及合法性校验。

    获取token之后会按照以下步骤进行校验:

    • 将token分割成header_segment、payload_segment、crypto_segment三部分

    Jwt_token =

    “eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7

    BaKW8V9ORUDPudB3ogJ_rhlZsTU”

    signing_input, crpyto_segment = jwt_token.rsplit(b'.',1)

    header_segement, payload_segment = signing_input.split(b'.',1)

    • 对第一部分header_segemnt 进行base64url解密,得到header
    • 对第二部分payload_segment进行base64url解密,得到payload
    • 对第三部分crypto_segment进行base64url解密,得到signature
    • 对第三部分signature部分数据进行合法性校验
      • 拼接前两段密文,即signing_input
      • 从第一段明文中获取加密算法,默认HS256
      • 使用算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较

     

    #!/usr/bin/env python
    # -*- coding:utf-8 -*-
    import jwt
    import datetime
    from jwt import exceptions

    JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


    def create_token(payload, timeout=20):
    """
    :param payload: 例如:{'user_id':1,'username':'wupeiqi'}用户信息
    :param timeout: token的过期时间,默认20分钟
    :return:
    """
    headers = {
    'typ': 'jwt',
    'alg': 'HS256'
    }
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


    def parse_payload(token):
    """
    对token进行和发行校验并获取payload
    :param token:
    :return:
    """
    result = {'status': False, 'data': None, 'error': None}
    try:
    verified_payload = jwt.decode(token, JWT_SALT, True)
    result['status'] = True
    result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
    result['error'] = 'token已失效'
    except jwt.DecodeError:
    result['error'] = 'token认证失败'
    except jwt.InvalidTokenError:
    result['error'] = '非法的token'
    return result

     

     

     

     

     

     

     

     

  • 相关阅读:
    vue element 关于表单数组循环、对象数据校验
    vue 解耦双向数据绑定,new Set() 去重数组/对象
    Vue-cli3.0搭建和一些坑
    微信小程序入门学习小结--全局设置、数据请求、双向绑定、页面路由跳转、模板抽取
    Vuex简单入门实例
    关于wamp的HTML, PHP, mysql 三者的操作与联系
    关于wamp的HTML, PHP, mysql 三者的操作与联系
    浏览器知识小整理
    HTML DOM textContent 与 innerHTML的区别
    T-SQL查询进阶--SQL Server中的事务与锁
  • 原文地址:https://www.cnblogs.com/ls-2018/p/11858551.html
Copyright © 2020-2023  润新知