jwt原理和使用
JSON Web Tokens,是一種開發的行業標准RFC 7519,用於安全的表示雙方之間的聲明。目前,jwt廣泛的用在系統的用戶認證方面,特別是前后端分離項目。
1.jwt認證流程
在項目開發中,一般回按照上圖所示的過程進行認證,即:用戶登陸成功之后,服務端給用戶瀏覽器返回一個token,以后用戶瀏覽器要攜帶token再去向服務端發送請求,服務端校驗token的合法性,合法則給用戶看數據,否則,返回一些錯誤信息。
傳統token方式和jwt在認證方面有什么差異?
-
傳統token方式
-
用戶登陸成功后,服務器生成一個隨機token給用戶,並且在服務端(數據庫或緩存)中保留一份token,以后用戶再來訪問時需要攜帶token,服務端接受到token】之后,去數據庫或緩存中進行校驗token是否超時,是否合法。 -
jwt方式
-
用戶登陸成功后,服務端通過jwt生成一個隨機token給用戶(服務端無需保留token),以后用戶在來訪問時需要攜帶token,服務端接受到token之后,通過jwt對token進行校驗是否超時,是否合法。
2.jwt創建token
2.1原理
jwt生成的token格式如下,即:有.連接的三段字符串組成。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpva
G4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
生成規則如下:
-
第一段HEADER部分,固定包含算法和token類型,對此json進行base64url加密,這就是token的第一段。
{ "alg": "HS256", "typ": "JWT" } -
第二部分PLAYLOAD部分,包含一些數據,對此json進行base64url加密,這就是token的第二段。
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 ... } -
第三段SIGNATURE部分,把前兩段的base密文通過
·拼接起來,然后對其進行HS256加密,再然后對HS256密文進行base64url加密,最終得到token的第三段。base64url( HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), your-256-bit-secret (密鑰加鹽) ) )
最后將三段字符串通過·拼接起來就生成了jwt的token。
注意:base64url加密是先做base64加密,然后再將-代替+及-代替/。
2.2代碼實現
基於python的pyjwt模塊創建jwt的token。
-
安裝
pip3 install pyjwt -
實現
import jwt import datetime from jwt import exceptions SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' def create_token(): # 構造header headers = { 'typ': 'jwt', 'alg': 'HS256' } # 構造payload payload = { 'user_id': 1, # 自定義用戶ID 'username': 'wupeiqi', # 自定義用戶名 'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超時時間 } result = jwt.encode(payload=payload, key=SALT, algorithm="HS256", headers=headers).decode('utf-8') return result if __name__ == '__main__': token = create_token() print(token)
3.jwt校驗token
一般在認證成功后,把jwt生成的token返回給用戶,以后用戶再次訪問時需要攜帶token,此時要對token進行超時及合法性校驗。
獲取token之后,回按照一下步驟進行校驗:
-
將token分割成
header_segment、payload_segment、crypto_segment三部分jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" signing_input, crypto_segment = jwt_token.rsplit(b'.', 1) # 從右邊根據·切 header_segment, payload_segment = signing_input.split(b'.', 1) -
對第一部分
header_segment進行base64url解密,得到header -
對第二部分payload_segment進行base64url解密,得到payload
-
對第三部分crypto_segment進行base64url解密,得到
signature -
對第三部分
signature部分數據進行合法性校驗- 拼接前兩段密文,即:
signing_input - 從第一段明文中獲取加密算法,默認:
HS256 - 使用 算法+鹽 對
sign_input進行加密,將得到的結果和signature密文進行比較
- 拼接前兩段密文,即:
import jwt
import datetime
from jwt import exceptions
def get_payload(token):
"""
根據token獲取payload
param: token
return:
"""
try:
# 從token中獲取playload【不校驗合法性】
# unverified_payload = jwt.decode(token, None, False)
# print(unverified_payload)
# 從token中獲取payload【校驗合法性】
verified_payload = jwt.decode(token, SALT, True)
return verified_payload
except exceptions.ExpiredSignatureError:
print('token已失效')
except jwt.DecodeError:
print('token認證失敗')
except jwt.InvalidTokenError:
print('非法的token')
if __name__ == '__main__':
token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoi d3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU"
payload = get_payload(token)
4.jwt實戰
4.1django案例
在用戶登陸成功后,生成token並返回,用戶再次來訪問時需要攜帶token。
此示例在django的中間件中對token進行校驗,內部編寫了兩個中間件來支持用戶通過兩種方式傳遞token。
-
url傳參http://www.pythonav.con?token=eyJhbGciOiJIUzI1N...
-
Authorizationi`請求頭GET /something/ HTTP/1.1 Host: pythonav.com Authorization: JWT eyJhbGciOiAiSFMyNTYiLCAidHlwIj
源碼下載:https://pan.baidu.com/s/1ANibEXYocu6V1JfDUydRHw
4.2django REST framework案例
在用戶登陸成功后,生成token並返回,用戶再次來訪問時需要攜帶token
此示例在drf的認證組件中對token進行校驗,內部編寫了兩個認證組件來支持用戶通過兩種方式傳遞token
url傳參Authorization請求頭
源碼下載:https://pan.baidu.com/s/1ANibEXYocu6V1JfDUydRHw
4.3flask案例
在用戶登陸成功之后,生成token並返回,用戶再次來訪問時攜帶token。
此示例在flask的before_request中對token進行校驗,內部編寫了兩個函數來支持用戶通過兩種方式來傳遞token。
url傳參Authorization請求頭