jwt揭秘（含源碼示例和視頻）

 JSON Web Tokens，是一種開發的行業標准 RFC 7519 ，用於安全的表示雙方之間的聲明。目前，jwt廣泛應用在系統的用戶認證方面，特別是現在前后端分離項目。

1. jwt認證流程

在項目開發中，一般會按照上圖所示的過程進行認證，即：用戶登錄成功之后，服務端給用戶瀏覽器返回一個token，以后用戶瀏覽器要攜帶token再去向服務端發送請求，服務端校驗token的合法性，合法則給用戶看數據，否則，返回一些錯誤信息。

傳統token方式和jwt在認證方面有什么差異？

• 傳統token方式

  用戶登錄成功后，服務端生成一個隨機token給用戶，並且在服務端(數據庫或緩存)中保存一份token，以后用戶再來訪問時需攜帶token，服務端接收到token之后，去數據庫或緩存中進行校驗token的是否超時、是否合法。

• jwt方式

  用戶登錄成功后，服務端通過jwt生成一個隨機token給用戶（服務端無需保留token），以后用戶再來訪問時需攜帶token，服務端接收到token之后，通過jwt對token進行校驗是否超時、是否合法。

2. jwt創建token

2.1 原理

jwt的生成token格式如下，即：由 . 連接的三段字符串組成。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

生成規則如下：

• 第一段HEADER部分，固定包含算法和token類型，對此json進行base64url加密，這就是token的第一段。
  

  {
    "alg": "HS256",
    "typ": "JWT"
  }

• 第二段PAYLOAD部分，包含一些數據，對此json進行base64url加密，這就是token的第二段
  

  {
    "sub": "1234567890",
    "name": "John Doe",
    "iat": 1516239022
    ...
  }

• 第三段SIGNATURE部分，把前兩段的base密文通過.拼接起來，然后對其進行HS256加密，再然后對hs256密文進行base64url加密，最終得到token的第三段。
  

  base64url(
      HMACSHA256(
        base64UrlEncode(header) + "." + base64UrlEncode(payload),
        your-256-bit-secret (秘鑰加鹽)
      )
  )

最后將三段字符串通過 .拼接起來就生成了jwt的token。

注意：base64url加密是先做base64加密，然后再將 - 替代 + 及 _ 替代 / 。

2.2 代碼實現

基於Python的pyjwt模塊創建jwt的token。

• 安裝
  

  pip3 install pyjwt

• 實現 
  

  import jwt
  import datetime
  from jwt import exceptions
  
  SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='
  
  def create_token():
      
      # 構造header
      headers = {
          'typ': 'jwt',
          'alg': 'HS256'
      }
      # 構造payload
      payload = {
          'user_id': 1, # 自定義用戶ID
          'username': 'wupeiqi', # 自定義用戶名
          'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超時時間
      }
  
      result = jwt.encode(payload=payload, key=SALT, algorithm="HS256", headers=headers).decode('utf-8')
      return result
  
  if __name__ == '__main__':
      token = create_token()
      print(token)

3. jwt校驗token

一般在認證成功后，把jwt生成的token返回給用戶，以后用戶再次訪問時候需要攜帶token，此時jwt需要對token進行超時及合法性校驗。

獲取token之后，會按照以下步驟進行校驗：

• 將token分割成 header_segment、payload_segment、crypto_segment 三部分

• 對第一部分header_segment進行base64url解密，得到header

• 對第二部分payload_segment進行base64url解密，得到payload

• 對第三部分crypto_segment進行base64url解密，得到signature

• 對第三部分signature部分數據進行合法性校驗

  • 拼接前兩段密文，即：signing_input

  • 從第一段明文中獲取加密算法，默認：HS256

  • 使用 算法+鹽 對signing_input 進行加密，將得到的結果和signature密文進行比較。

import jwt
import datetime
from jwt import exceptions

def get_payload(token):
    """
    根據token獲取payload
    :param token:
    :return:
    """
    try:
        # 從token中獲取payload【不校驗合法性】
        # unverified_payload = jwt.decode(token, None, False)
        # print(unverified_payload)

        # 從token中獲取payload【校驗合法性】
        verified_payload = jwt.decode(token, SALT, True)
        return verified_payload
    except exceptions.ExpiredSignatureError:
        print('token已失效')
    except jwt.DecodeError:
        print('token認證失敗')
    except jwt.InvalidTokenError:
        print('非法的token')
        
if __name__ == '__main__':
    token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU"
    payload = get_payload(token)

4. jwt實戰

4.1 django 案例

在用戶登錄成功之后，生成token並返回，用戶再次來訪問時需攜帶token。

此示例在django的中間件中對tokne進行校驗，內部編寫了兩個中間件來支持用戶通過兩種方式傳遞token。

• url傳參
  

• Authorization請求頭
  

 

源碼下載：https://pan.baidu.com/s/1ANibEXYocu6V1JfDUydRHw

4.2 django rest framework 案例

在用戶登錄成功之后，生成token並返回，用戶再次來訪問時需攜帶token。

此示例在drf的認證組件中對token進行校驗，內部編寫了兩個認證組件來支持用戶通過兩種方式傳遞token。

• url傳參

• Authorization請求頭

源碼下載：https://pan.baidu.com/s/14dxnH7YvVNVFwpHEjcBLbg

4.3 flask 案例

在用戶登錄成功之后，生成token並返回，用戶再次來訪問時需攜帶token。

此示例在flask的before_request中對token進行校驗，內部編寫了兩個函數來支持用戶通過兩種方式傳遞token。

• url傳參

• Authorization請求頭

源碼下載：https://pan.baidu.com/s/13w8on_OBBxAd1Pp4KXETaQ

特別提醒：示例源碼地址失效，加交流群或 聯系作者 武沛齊（QQ:424662508） 進行獲取。

JWT教學視頻