Python - 模塊 jwt

 

• 1、jwt認證流程
  • 傳統token方式和jwt認證方式有什么差異？
• 2、jwt創建token
  • 2.1、原理
  • 2.2代碼實現
• 3、JWT校驗token

 

JSON Web Tokens ,是一種開發的行業標准RFC 7519 ，用於安全的表示雙方之間的聲明。

1、jwt認證流程 

傳統token方式和jwt認證方式有什么差異？

• 傳統token方式

用戶登錄成功后，服務端生成一個隨機的token給用戶，並且在服務端（數據庫或緩存）中保存一份token，以后用戶再來訪問時需要攜帶token，服務端接收到token之后，去數據庫或緩存中進行校驗token的是否超時、是否合法

• jwt方式

用戶登錄成功后，服務端通過jwt生成一個隨機token給用戶（服務端無需保留token），以后用戶再來訪問時需要攜帶token，服務端接收到token之后，通過jwt對token進行教研是否超時、是否合法。

2、jwt創建token

在加密的數據中
如果  包含exp=過期時間，則會在一段時間內 token有效

否則一值有效

 

2.1、原理

jwt的生成token格式如下，即：由。連接的三段字符組成

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU

 

 

生成規則如下：

第一段HEADER部分，固定包含算法和token類型，對此json進行base64url加密，這就是token的第一段

{

    "alg": "HS256",

    "typ": "JWT"

}

第二段PAYLOAD部分，包含一些數據，對此json進行base64url加密，這就是token的第二段。

{

    "sub": "1234567890",

    "name": "John Doe",

    "iat": 1516239022

}

第三段SIGNATURE部分，把前兩段的base秘聞通過.拼接起來，然后對其進行HS256加密，再然后對hs256秘聞進行base64url加密，最終得到token的第三段。

base64url(
    HMACHSHA256(
        base64UrlEncode(header) + '.' + base64url(payload),
        your-256-bit-secret(秘鑰加鹽)
    )
)

最后基於三段字符通過.拼接起來就生成了jwt的token

注意：base64url加密是先做base64加密。然后再講-代替+以及_代替/

2.2代碼實現

基於Python的pyjwt模塊創建jwt的token

• 安裝

  pip3 install pyjwt

• 實現

  import jwt
  import datetime
  from jwt import exceptions
  
  SALT = 'apple'
  
  
  def create_token():
  # 構造header
  headers = {
  'typ': 'jwt',
  'alg': 'HS256'
  }
  # 構造payload
  payload = {
  'user_id': 1, # 自定義用戶ID
  'username': 'pig',
  'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
  }
  result = jwt.encode(payload=payload, key=SALT, algorithm='HS256', headers=headers).decode('utf8')
  return result
  
  
  if __name__ == '__main__':
  token = create_token()
  print(token)

3、JWT校驗token

 

jwt驗證tok一般在認證成功后，把jwt生成的token返回用戶，以后用戶再次訪問的時候需要攜帶token，此時jwt需要對token進行超時及合法性校驗。

獲取token之后會按照以下步驟進行校驗：

• 將token分割成header_segment、payload_segment、crypto_segment三部分

Jwt_token =

“eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7

BaKW8V9ORUDPudB3ogJ_rhlZsTU”

signing_input, crpyto_segment = jwt_token.rsplit(b'.',1)

header_segement, payload_segment = signing_input.split(b'.',1)

• 對第一部分header_segemnt 進行base64url解密，得到header
• 對第二部分payload_segment進行base64url解密，得到payload
• 對第三部分crypto_segment進行base64url解密，得到signature
• 對第三部分signature部分數據進行合法性校驗
  • 拼接前兩段密文，即signing_input
  • 從第一段明文中獲取加密算法，默認HS256
  • 使用算法+鹽 對signing_input 進行加密，將得到的結果和signature密文進行比較

 

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


def create_token(payload, timeout=20):
    """
:param payload:  例如：{'user_id':1,'username':'wupeiqi'}用戶信息
:param timeout: token的過期時間，默認20分鍾
:return:
    """
headers = {
        'typ': 'jwt',
'alg': 'HS256'
}
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


def parse_payload(token):
    """
    對token進行和發行校驗並獲取payload
:param token:
:return:
    """
result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result['status'] = True
result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
except jwt.DecodeError:
        result['error'] = 'token認證失敗'
except jwt.InvalidTokenError:
        result['error'] = '非法的token'
return result