Python - 解析jwt

一、jwt认证流程

传统token方式和jwt认证方式有什么差异？

• 传统token方式

用户登录成功后，服务端生成一个随机的token给用户，并且在服务端（数据库或缓存）中保存一份token，以后用户再来访问时需要携带token，服务端接收到token之后，去数据库或缓存中进行校验token的是否超时、是否合法

• jwt方式

用户登录成功后，服务端通过jwt生成一个随机token给用户（服务端无需保留token）实际是保留在客户端的，以后用户再来访问时需要携带token，服务端接收到token之后，通过jwt对token进行教研是否超时、是否合法。

二、jwt创建token

1.原理

jwt的生成token格式如下，即：由。连接的三段字符组成 由.分割

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU

生成规则如下：

第一段header(头部)部分，固定包含算法和token类型，对此json进行base64url加密，这就是token的第一段

{

    "alg": "HS256",

    "typ": "JWT"

}

第二段payload(载荷)部分，包含一些数据，对此json进行base64url加密，这就是token的第二段。

{

    "sub": "1234567890",

    "name": "John Doe",

    "iat": 1516239022

}

第三段signature(签证)部分，把前两段的base秘闻通过.拼接起来，然后对其进行HS256加密，再然后对hs256秘闻进行base64url加密，最终得到token的第三段。

base64url(
    HMACHSHA256(
        base64UrlEncode(header) + '.' + base64url(payload),
        your-256-bit-secret(秘钥加盐)
    )
)

最后基于三段字符通过.拼接起来就生成了jwt的token

注意：base64url加密是先做base64加密。然后再讲-代替+以及_代替/

2.代码实现

安装

pip3 install pyjwt

实现

import jwt
import datetime
from jwt import exceptions

SALT = 'apple'


def create_token():
# 构造header
headers = {
'typ': 'jwt',
'alg': 'HS256'
}
# 构造payload
payload = {
'user_id': 1, # 自定义用户ID
'username': 'pig',
'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
}
result = jwt.encode(payload=payload, key=SALT, algorithm='HS256', headers=headers).decode('utf8')
return result


if __name__ == '__main__':
token = create_token()
print(token)

三、JWT校验token

wt验证tok一般在认证成功后，把jwt生成的token返回用户，以后用户再次访问的时候需要携带token，此时jwt需要对token进行超时及合法性校验。

获取token之后会按照以下步骤进行校验：

Jwt_token	= “eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU”

signing_input, crpyto_segment = jwt_token.rsplit(b'.',1)

header_segement, payload_segment = signing_input.split(b'.',1)

• 对第一部分header_segemnt 进行base64url解密，得到header
• 对第二部分payload_segment进行base64url解密，得到payload
• 对第三部分crypto_segment进行base64url解密，得到signature
• 对第三部分signature部分数据进行合法性校验
  • 拼接前两段密文，即signing_input
  • 从第一段明文中获取加密算法，默认HS256
  • 使用算法+盐 对signing_input 进行加密，将得到的结果和signature密文进行比较

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


def create_token(payload, timeout=20):
    """
:param payload:  例如：{'user_id':1,'username':'wupeiqi'}用户信息
:param timeout: token的过期时间，默认20分钟
:return:
    """
headers = {
        'typ': 'jwt',
'alg': 'HS256'
}
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


def parse_payload(token):
    """
    对token进行和发行校验并获取payload
:param token:
:return:
    """
result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result['status'] = True
result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
except jwt.DecodeError:
        result['error'] = 'token认证失败'
except jwt.InvalidTokenError:
        result['error'] = '非法的token'
return result