碼上快樂

相關內容    簡體    繁體

JsonWebToken

本文轉載自   查看原文   2019-02-21 17:50   795 

JsonWebToken

 

概述

如果各位不了解 JWT,不要緊張,它並不可怕。

JSON Web Token(JWT)是一個非常輕巧的規范。這個規范允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。

讓我們來假想一下一個場景。在A用戶關注了B用戶的時候,系統發郵件給B用戶,並且附有一個鏈接“點此關注A用戶”。鏈接的地址可以是這樣的

https://www.xxxx.com/make-friend/?from_user=B&target_user=A

 

組成

一個JWT實際上就是一個字符串,它由三部分組成,頭部載荷簽名

載荷(Payload)

我們先將上面的添加好友的操作描述成一個JSON對象。其中添加了一些其他的信息,幫助今后收到這個JWT的服務器理解這個JWT。

{
    "iss": "LiuzhichaoJWT",
    "iat": int(time.time()),
    "exp": expire_time,
    "aud": "luffy",
    "sub": "target@example.com",
    "from_user": "B",
    "target_user": "A"
}

這里面的前五個字段都是由JWT的標准所定義的。

  • iss: 該JWT的簽發者

  • sub: 該JWT所面向的用戶

  • aud: 接收該JWT的一方

  • exp(expires): 什么時候過期,這里是一個Unix時間戳

  • iat(issued at): 在什么時候簽發的

這些定義都可以在標准中找到。

將上面的JSON對象進行[base64編碼]可以得到下面的字符串。這個字符串我們將它稱作JWT的Payload(載荷)。

 

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUu
Y29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
# 載荷
expire_time = int(time.time() + 10)

payload = {
    "iss": "LiuzhichaoJWT",
    "iat": int(time.time()),
    "exp": expire_time,
    "aud": "luffy",
    "sub": "target@example.com",
    "from_user": "B",
    "target_user": "A"
}

json_payload = base64.urlsafe_b64encode(json.dumps(payload).encode("utf-8"))

print(json_payload)

頭部(Header)

JWT還需要一個頭部,頭部用於描述關於該JWT的最基本的信息,例如其類型以及簽名所用的算法等。這也可以被表示成一個JSON對象。

{
    "typ": "JWT",
    "alg": "HS256"
}

在這里,我們說明了這是一個JWT,並且我們所用的簽名算法(后面會提到)是HS256算法。

對它也要進行Base64編碼,之后的字符串就成了JWT的Header(頭部)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
import json
import base64


headers = {
    "typ": "JWT",
    "alg": "HS256"
}

base64.urlsafe_b64encode(json.dumps(headers).encode("utf-8")).replace(b'=', b'')

簽名(簽名)

將上面的兩個編碼后的字符串都用句號 .連接在一起(頭部在前),就形成了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwI
joxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV
91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

最后,我們將上面拼接完的字符串用HS256算法進行加密。在加密的時候,我們還需要提供一個密鑰(secret)。如果我們用 `liuzhichao` 作為密鑰的話,那么就可以得到我們加密后的內容

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
# 密鑰
key = "liuzhichao"

string = b".".join([header_string, json_payload])

# 簽名
sign = base64.urlsafe_b64encode(hmac.new(key.encode("utf-8"), string, hashlib.sha256).digest())

print(sign)

這一部分又叫做簽名

 

 最后將這一部分簽名也拼接在被簽名的字符串后面,我們就得到了完整的JWT

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyL
CJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIj
oiQSJ9.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

於是,我們就可以將郵件中的URL改成

https://www.xxx.com/make-friend/?
jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MT
Q0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV9
1c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

這樣就可以安全地完成關注好友的操作了!

且慢,這里大家思考下有什么問題沒有:

  • 簽名的目的是什么?
  • Base64是一種編碼,是可逆的,那么信息不就被暴露了嗎?

簽名的目的

最后一步簽名的過程,實際上是對頭部以及載荷內容進行簽名。一般而言,加密算法對於不同的輸入產生的輸出總是不一樣的。對於兩個不同的輸入,產生同樣的輸出的概率極其地小(有可能比我成世界首富的概率還小)。所以,我們就把“不一樣的輸入產生不一樣的輸出”當做必然事件來看待吧。

所以,如果有人對頭部以及載荷的內容解碼之后進行修改,再進行編碼的話,那么新的頭部和載荷的簽名和之前的簽名就將是不一樣的。而且,如果不知道服務器加密的時候用的密鑰的話,得出來的簽名也一定會是不一樣的。

 

 

服務器應用在接受到JWT后,會首先對頭部和載荷的內容用同一算法再次簽名。那么服務器應用是怎么知道我們用的是哪一種算法呢?別忘了,我們在JWT的頭部中已經用 alg字段指明了我們的加密算法了。

如果服務器應用對頭部和載荷再次以同樣方法簽名之后發現,自己計算出來的簽名和接受到的簽名不一樣,那么就說明這個Token的內容被別人動過的,我們應該拒絕這個Token,返回一個HTTP 401 Unauthorized響應。

信息會暴露?

是的。

所以,在JWT中,不應該在載荷里面加入任何敏感的數據。在上面的例子中,我們傳輸的是用戶的User ID。這個值實際上不是什么敏感內容,一般情況下被知道也是安全的。

但是像密碼這樣的內容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中,那么懷有惡意的第三方通過Base64解碼就能很快地知道你的密碼了。

 

認證

import json
import hmac
import base64
import hashlib

# 獲取到 `token`
token = token.encode(settings.DEFAULT_CHARSET)

signing_input, crypto_segment = token.rsplit(b'.', 1)
header_segment, payload_segment = signing_input.split(b'.', 1)

header_data = base64.urlsafe_b64decode(header_segment)
header = json.loads(header_data.decode(settings.DEFAULT_CHARSET))

payload = base64.urlsafe_b64decode(payload_segment)

signature = base64.urlsafe_b64decode(crypto_segment)

# return payload, signing_input, header, signature
alg = header.get('alg')

if not alg:
    print("沒有算法")
    raise ValueError("alg is not null")

key = settings.SECRET_KEY.encode(encoding=settings.DEFAULT_CHARSET)

if hmac.compare_digest(signature, hmac.new(key, signing_input, hashlib.sha256).digest()):
    print("驗證通過")
    print(payload)
else:
    print("驗證失敗")

拓展

# 為什么進行簽名校驗?

```
簽名算法共同的特點是整個過程是不可逆的, 在 jwt 中,消息體是透明的,使用簽名可以保證消息不被篡改。
```

# jwt 支持續簽么?

```
不支持,一旦過期時間被修改,整個`jwt`串就變了
```

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 node jsonwebtoken nodejs jsonwebtoken運用 jsonwebtoken和express-jwt的使用 node使用JsonWebToken 生成token,完成用戶登錄、登錄檢測 使用 io.jsonwebtoken 實現token的生成與解碼 JWT | io.jsonwebtoken.security.WeakKeyException: The signing key's size is 1024 bits which is not se jwt token校驗失敗 io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted. SpringSecurity整合JWT一些異常了解及處理io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature解決及UnsupportedJwtException:Signed Claims JWSs are not supported
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM