Python - 模块 jwt

 

  • 1、jwt认证流程
    • 传统token方式和jwt认证方式有什么差异?
  • 2、jwt创建token
    • 2.1、原理
    • 2.2代码实现
  • 3、JWT校验token

 

JSON Web Tokens ,是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。

1、jwt认证流程 

传统token方式和jwt认证方式有什么差异?

  • 传统token方式

用户登录成功后,服务端生成一个随机的token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需要携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法

  • jwt方式

用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需要携带token,服务端接收到token之后,通过jwt对token进行教研是否超时、是否合法。

2、jwt创建token

在加密的数据中
如果  包含exp=过期时间,则会在一段时间内 token有效

否则一值有效

 

2.1、原理

jwt的生成token格式如下,即:由。连接的三段字符组成

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU

 

 

生成规则如下:

第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段

{

    "alg": "HS256",

    "typ": "JWT"

}

第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段。

{

    "sub": "1234567890",

    "name": "John Doe",

    "iat": 1516239022

}

第三段SIGNATURE部分,把前两段的base秘闻通过.拼接起来,然后对其进行HS256加密,再然后对hs256秘闻进行base64url加密,最终得到token的第三段。

base64url(
    HMACHSHA256(
        base64UrlEncode(header) + '.' + base64url(payload),
        your-256-bit-secret(秘钥加盐)
    )
)

最后基于三段字符通过.拼接起来就生成了jwt的token

注意:base64url加密是先做base64加密。然后再讲-代替+以及_代替/

2.2代码实现

基于Python的pyjwt模块创建jwt的token

  • 安装

    pip3 install pyjwt
  • 实现

    import jwt
    import datetime
    from jwt import exceptions

    SALT = 'apple'


    def create_token():
    # 构造header
    headers = {
    'typ': 'jwt',
    'alg': 'HS256'
    }
    # 构造payload
    payload = {
    'user_id': 1, # 自定义用户ID
    'username': 'pig',
    'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
    }
    result = jwt.encode(payload=payload, key=SALT, algorithm='HS256', headers=headers).decode('utf8')
    return result


    if __name__ == '__main__':
    token = create_token()
    print(token)

3、JWT校验token

 

jwt验证tok一般在认证成功后,把jwt生成的token返回用户,以后用户再次访问的时候需要携带token,此时jwt需要对token进行超时及合法性校验。

获取token之后会按照以下步骤进行校验:

  • 将token分割成header_segment、payload_segment、crypto_segment三部分

Jwt_token =

“eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7

BaKW8V9ORUDPudB3ogJ_rhlZsTU”

signing_input, crpyto_segment = jwt_token.rsplit(b'.',1)

header_segement, payload_segment = signing_input.split(b'.',1)

  • 对第一部分header_segemnt 进行base64url解密,得到header
  • 对第二部分payload_segment进行base64url解密,得到payload
  • 对第三部分crypto_segment进行base64url解密,得到signature
  • 对第三部分signature部分数据进行合法性校验
    • 拼接前两段密文,即signing_input
    • 从第一段明文中获取加密算法,默认HS256
    • 使用算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较

 

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


def create_token(payload, timeout=20):
"""
:param payload: 例如:{'user_id':1,'username':'wupeiqi'}用户信息
:param timeout: token的过期时间,默认20分钟
:return:
"""
headers = {
'typ': 'jwt',
'alg': 'HS256'
}
payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
return result


def parse_payload(token):
"""
对token进行和发行校验并获取payload
:param token:
:return:
"""
result = {'status': False, 'data': None, 'error': None}
try:
verified_payload = jwt.decode(token, JWT_SALT, True)
result['status'] = True
result['data'] = verified_payload
except exceptions.ExpiredSignatureError:
result['error'] = 'token已失效'
except jwt.DecodeError:
result['error'] = 'token认证失败'
except jwt.InvalidTokenError:
result['error'] = '非法的token'
return result

 

 

 

 

 

 

 

 

posted @ 2019-11-14 16:56  慕沁  阅读(5292)  评论(0编辑  收藏  举报