耿直boy6

python实现JWT

python实现JWT

一、常见的几种实现认证的方法

1.1basic auth

1.2cookie

1.3token

json web token--一种基于token的json格式web认证方法。基本原理是,第一次认证通过用户名和面膜,服务端签发一个json格式的token,后续客户端的请求都带着这个token,服务端仅需要解析这个token,来判断客户端的身份和合法性。jwt协议只是规范了这个协议的格式,分为三个部分

1.3.1header头部

{
    'type':'JWT',   #声名类型,这里是JWT
    'alg':'HS256'  #声名加密的算法,通常为 HMAC  SHA256
}

再将其解析base64编码

1.3.2payload载荷

payload是放置实际有效信息的地方。jwt定义了几种内容,包括:

  标准中注册的声明,如签发者,接收者,有效时间(exp),时间戳(iat,issued at)等;为官方建议但非必须
  公共声明
  私有声明

  

#一个常见的payload
{
    'user_id':12345,
    'user_role':admin,
    'iat':14234234
}

 

// 包括需要传递的用户信息;
{ "iss": "Online JWT Builder",       #该JWT的签发者,是否使用是可选的;
  "iat": 1416797419,                #在什么时候签发的(UNIX时间),是否使用是可选的;
  "exp": 1448333419,                #什么时候过期,这里是一个Unix时间戳,是否使用是可选的;
  "aud": "www.gusibi.com",           #接收该JWT的一方,是否使用是可选的;
  "sub": "uid",                        #该JWT所面向的用户,是否使用是可选的;
  "nickname": "goodspeed", 
  "username": "goodspeed", 
  "scopes": [ "admin", "user" ] 
}            

  

 

1.3.3signature

  原理

// 根据alg算法与私有秘钥进行加密得到的签名字串;
// 这一段是最重要的敏感信息,只能在服务端解密;
HMACSHA256(  
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    SECREATE_KEY
)

 

第三部分是个签证信息,有三部分组成:
header(base64后的)
payload(base64后的)
secret

存储了序列化的secreate key和salt key。这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,
然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

 示例图:

 

二、认证需求

目标场景是一个前后端分离的后端系统,用于运维工作,虽在内网使用,也有一定的保密性要求
    API为restful+json的无状态接口,要求认证也是相同模式
    可横向扩展
    较低数据库压力
    证书可注销
    证书可自动延期
这样就选择JWT

 

三、JWT实现

如何生成token

import jwt
import time

# 使用 sanic 作为restful api 框架 
def create_token(request):
    grant_type = request.json.get('grant_type')
    username = request.json['username']
    password = request.json['password']
    if grant_type == 'password':
        account = verify_password(username, password)
    elif grant_type == 'wxapp':
        account = verify_wxapp(username, password)
    if not account:
        return {}
    payload = {
        "iss": "gusibi.com",
         "iat": int(time.time()),
         "exp": int(time.time()) + 86400 * 7,
         "aud": "www.gusibi.com",
         "sub": account['_id'],
         "username": account['username'],
         "scopes": ['open']
    }
    token = jwt.encode(payload, 'secret', algorithm='HS256')
    return True, {'access_token': token, 'account_id': account['_id']}
    

def verify_bearer_token(token):
    #  如果在生成token的时候使用了aud参数,那么校验的时候也需要添加此参数
    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])
    if payload:
        return True, token
    return False, token
View Code

 

如何解析token

四、优化

总结

我们做了一个JWT的认证模块:
(access token在以下代码中为'token',refresh token在代码中为'rftoken')

首次认证
client -----用户名密码-----------> server

client <------token、rftoken----- server

access token存续期内的请求
client ------请求(携带token)----> server

client <-----结果----------------- server

access token超时
client ------请求(携带token)----> server

client <-----msg:token expired--- server

重新申请access token
client -请求新token(携带rftoken)-> server

client <-----新token-------------- server

rftoken token超时
client -请求新token(携带rftoken)-> server

client <----msg:rftoken expired--- server

如果设计一个针对此认证的前端,需要:

存储access token、refresh token

访问时携带access token,自动检查access token超时,超时则使用refresh token更新access token;状态延期用户无感知

用户登出直接抛弃access token与refresh token

  

posted on 2019-04-08 15:20  猫巴  阅读(3049)  评论(0编辑  收藏  举报

导航

原文:https://www.cnblogs.com/djfboai/ 版权声明:本文为博主原创文章,转载请附上博文链接!