Django基於JWT實現微信小程序的登錄和鑒權

什么是JWT?

JWT，全稱Json Web Token，用於作為JSON對象在各方之間安全地傳輸信息。該信息可以被驗證和信任，因為它是數字簽名的。

與Session的區別

一、Session是在服務器端的，而JWT是在客戶端的，這點很重要。
二、流程不同：

JWT使用場景

• 大量需要進行跨域的站點
• 服務器運算能力較差、存儲空間較小

JWT的原理

JWT 的原理是，服務器認證以后，生成一個 JSON 對象，發回給用戶，就像下面這樣。

{
  "姓名": "張三",
  "角色": "管理員",
  "到期時間": "2018年7月1日0點0分"
}

以后，用戶與服務端通信的時候，都要發回這個 JSON 對象。服務器完全只靠這個對象認定用戶身份。為了防止用戶篡改數據，服務器在生成這個對象的時候，會加上簽名（詳見后文）。

服務器就不保存任何 session 數據了，也就是說，服務器變成無狀態了，從而比較容易實現擴展。

JWT數據的格式

實際的 JWT 大概就像下面這樣。

它是一個很長的字符串，中間用點（.）分隔成三個部分。注意，JWT 內部是沒有換行的，這里只是為了便於展示，將它寫成了幾行。

JWT 的三個部分依次如下。

• Header（頭部）
• Payload（負載）
• Signature（簽名）

Header

Header 部分是一個 JSON 對象，描述 JWT 的元數據，通常是下面的樣子。

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代碼中，alg屬性表示簽名的算法（algorithm），默認是 HMAC SHA256（寫成 HS256）；typ屬性表示這個令牌（token）的類型（type），JWT 令牌統一寫為JWT。

最后，將上面的 JSON 對象使用 Base64URL 算法（詳見后文）轉成字符串。

Payload

Payload 部分也是一個 JSON 對象，用來存放實際需要傳遞的數據。JWT 規定了7個官方字段，供選用。

• iss (issuer)：簽發人
• exp (expiration time)：過期時間
• sub (subject)：主題
• aud (audience)：受眾
• nbf (Not Before)：生效時間
• iat (Issued At)：簽發時間
• jti (JWT ID)：編號

除了官方字段，你還可以在這個部分定義私有字段，下面就是一個例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意，JWT 默認是不加密的，任何人都可以讀到，所以不要把秘密信息放在這個部分。

這個 JSON 對象也要使用 Base64URL 算法轉成字符串。

Signature

Signature 部分是對前兩部分的簽名，防止數據篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有服務器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認是 HMAC SHA256），按照下面的公式產生簽名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出簽名以后，把 Header、Payload、Signature 三個部分拼成一個字符串，每個部分之間用"點"（.）分隔，就可以返回給用戶。

Base64URL

前面提到，Header 和 Payload 串型化的算法是 Base64URL。這個算法跟 Base64 算法基本類似，但有一些小的不同。

JWT 作為一個令牌（token），有些場合可能會放到 URL（比如 api.example.com/?token=xxx）。Base64 有三個字符+、/和=，在 URL 里面有特殊含義，所以要被替換掉：=被省略、+替換成-，/替換成_ 。這就是 Base64URL 算法。

JWT的使用方式

客戶端收到服務器返回的 JWT，可以儲存在 Cookie 里面，也可以儲存在 localStorage。

此后，客戶端每次與服務器通信，都要帶上這個 JWT。你可以把它放在 Cookie 里面自動發送，但是這樣不能跨域，所以更好的做法是放在 HTTP 請求的頭信息Authorization字段里面。

Authorization: Bearer <token>

另一種做法是，跨域的時候，JWT 就放在 POST 請求的數據體里面。

JWT 的幾個特點

（1）JWT 默認是不加密，但也是可以加密的。生成原始 Token 以后，可以用密鑰再加密一次。

（2）JWT 不加密的情況下，不能將秘密數據寫入 JWT。

（3）JWT 不僅可以用於認證，也可以用於交換信息。有效使用 JWT，可以降低服務器查詢數據庫的次數。

（4）JWT 的最大缺點是，由於服務器不保存 session 狀態，因此無法在使用過程中廢止某個 token，或者更改 token 的權限。也就是說，一旦 JWT 簽發了，在到期之前就會始終有效，除非服務器部署額外的邏輯。

（5）JWT 本身包含了認證信息，一旦泄露，任何人都可以獲得該令牌的所有權限。為了減少盜用，JWT 的有效期應該設置得比較短。對於一些比較重要的權限，使用時應該再次對用戶進行認證。

（6）為了減少盜用，JWT 不應該使用 HTTP 協議明碼傳輸，要使用 HTTPS 協議傳輸。

內容說明

以上主要內容轉載於廖雪峰的網絡日志

實例：使用Django完成微信小程序的JWT登錄及鑒權

網上目前已經有了一些文章來說明了，可是我在查閱的時候發現大多講得不是很清楚。

基本了解

通過之前的內容鋪墊，相信讀者對於JWT都有了一定的了解，總的來說，便是JWT是保存在用戶端的Token機制。

需要注意的是：JWT默認是無加密的，只是使用了一層Base64編碼，所以我們不能將重要信息，如密碼等放入header和payload字段中。

開始

對於Django來說，這里我們使用djangorestframework-jwt庫

安裝命令：

pip install djangorestframework-jwt

注意djangorestframework-jwt庫默認將settings里的SECRET_KEY當中jwt加密秘鑰。

首先我們先去我們的project下的settings文件內設置jwt庫的一些參數

import datetime

# 在末尾添加上
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',# JWT認證，在前面的認證方案優先
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), #JWT_EXPIRATION_DELTA 指明token的有效期
}

登錄函數的實現：

'''
登錄函數：
'''
def get_user_info_func(user_code):
    api_url = 'https://api.weixin.qq.com/sns/jscode2session?appid={0}&secret={1}&js_code={2}&grant_type=authorization_code'
    get_url = api_url.format(App_id,App_secret,user_code)
    r = requests.get(get_url)
    return r.json()


@require_http_methods(['POST'])
def user_login_func(request):
    try:
        user_code = request.POST.get('user_code')
        print(user_code)
        if user_code == None:
            print(request.body)
            json_data =  json.loads(request.body)
            user_code = json_data['user_code']
            print(user_code)
    except:
        return JsonResponse({'status':500,'error':'請輸入完整數據'})
    try:
        json_data = get_user_info_func(user_code)
        #json_data = {'errcode':0,'openid':'111','session_key':'test'}
        if 'errcode' in json_data:
            return JsonResponse({'status': 500, 'error': '驗證錯誤：' + json_data['errmsg']})
        res = login_or_create_account(json_data)
        return JsonResponse(res)
    except:
        return JsonResponse({'status':500,'error':'無法與微信驗證端連接'})


def login_or_create_account(json_data):
    openid = json_data['openid']
    session_key = json_data['session_key']

    try:
        user = User.objects.get(username=openid)
    except:
        user = User.objects.create(
            username=openid,
            password=openid,
        )
    user.session_key = session_key
    user.save()

    try:
        jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
        jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
        payload = jwt_payload_handler(user)
        token = jwt_encode_handler(payload)
        res = {
            'status': 200,
            'token': token
        }
    except:
        res = {
            'status': 500,
            'error': 'jwt驗證失敗'
        }
    return res

視圖函數：

'''
視圖樣例：
'''
from django.http import JsonResponse
from account.models import *
from rest_framework_jwt.views import APIView
from rest_framework import authentication
from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):

    def has_object_permission(self, request, view, obj):
        if request.method in ['GET','POST']:
            return True
        return obj.user == request.user

class test_view(APIView):
    http_method_names = ['post']  #限制api的訪問方式
    authentication_classes = (authentication.SessionAuthentication,JSONWebTokenAuthentication)
    permission_classes = (IsAuthenticated,IsOwnerOrReadOnly)       #權限管理

    def post(self,request):                                        #視圖函數
        user = request.user.username
        U = User.objects.get(username=user)
        json_data = json.loads(request.body)
        try:
            test = json_data['']
        except:
            return JsonResponse({'status':500,'errmsg':'參數不全'})
        try:
            U.sex = sex
            U.weight = weight
            U.height = height
            U.save()
        except:
            return JsonResponse({'status': 500, 'errmsg': '數據庫錯誤'})
        return JsonResponse({'status':200})

urls.py:

urlpatterns = [
    re_path('^$', index),
    re_path('^login$',login),                                 # 登錄
    re_path('^test$',test_view.as_view())
]

從一道CTF引發的對JWT安全的簡單思考

引例

題目：2019ISCC Web6

解題關鍵：

改題的加密方式為：RS256，是一種非對稱加密，分有公鑰和私鑰。

其中：

• 私鑰加密
• 公鑰解密

當公鑰泄露時，將JWT中的Header部分算法改為對稱加密，攻擊者本地使用泄露的公司進行Token偽造，將獲取到的Token發送給驗證端時，會使用公鑰按照Header中的算法進行解密，而在原來的Header中算法為RS256，需要私鑰加密生成Token，可是當我們修改為對稱加密的HS256時，我們便可以成功偽造Token，且服務端也可以正常驗證。

產生這一問題的主要原因便是，HWT的Header段是可控制的，通常只經過一層base64編碼處理，也就是說解密算法可有用戶控制。

防御：保護公鑰不泄露，將Header段經RSA等方法加密。

其他問題

• 密鑰可控
• 密鑰爆破

特殊情況，不做深入，感興趣的可見https://www.anquanke.com/post/id/145540#h3-9