Python - 解析jwt

一、jwt認證流程

傳統token方式和jwt認證方式有什么差異？

• 傳統token方式

用戶登錄成功后，服務端生成一個隨機的token給用戶，並且在服務端（數據庫或緩存）中保存一份token，以后用戶再來訪問時需要攜帶token，服務端接收到token之后，去數據庫或緩存中進行校驗token的是否超時、是否合法

• jwt方式

用戶登錄成功后，服務端通過jwt生成一個隨機token給用戶（服務端無需保留token）實際是保留在客戶端的，以后用戶再來訪問時需要攜帶token，服務端接收到token之后，通過jwt對token進行教研是否超時、是否合法。

二、jwt創建token

1.原理

jwt的生成token格式如下，即：由。連接的三段字符組成 由.分割

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU

生成規則如下：

第一段header(頭部)部分，固定包含算法和token類型，對此json進行base64url加密，這就是token的第一段

{

    "alg": "HS256",

    "typ": "JWT"

}

第二段payload(載荷)部分，包含一些數據，對此json進行base64url加密，這就是token的第二段。

{

    "sub": "1234567890",

    "name": "John Doe",

    "iat": 1516239022

}

第三段signature(簽證)部分，把前兩段的base秘聞通過.拼接起來，然后對其進行HS256加密，再然后對hs256秘聞進行base64url加密，最終得到token的第三段。

base64url(
    HMACHSHA256(
        base64UrlEncode(header) + '.' + base64url(payload),
        your-256-bit-secret(秘鑰加鹽)
    )
)

最后基於三段字符通過.拼接起來就生成了jwt的token

注意：base64url加密是先做base64加密。然后再講-代替+以及_代替/

2.代碼實現

安裝

pip3 install pyjwt

實現

import jwt
import datetime
from jwt import exceptions

SALT = 'apple'


def create_token():
# 構造header
headers = {
'typ': 'jwt',
'alg': 'HS256'
}
# 構造payload
payload = {
'user_id': 1, # 自定義用戶ID
'username': 'pig',
'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
}
result = jwt.encode(payload=payload, key=SALT, algorithm='HS256', headers=headers).decode('utf8')
return result


if __name__ == '__main__':
token = create_token()
print(token)

三、JWT校驗token

wt驗證tok一般在認證成功后，把jwt生成的token返回用戶，以后用戶再次訪問的時候需要攜帶token，此時jwt需要對token進行超時及合法性校驗。

獲取token之后會按照以下步驟進行校驗：

Jwt_token	= “eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU”

signing_input, crpyto_segment = jwt_token.rsplit(b'.',1)

header_segement, payload_segment = signing_input.split(b'.',1)

• 對第一部分header_segemnt 進行base64url解密，得到header
• 對第二部分payload_segment進行base64url解密，得到payload
• 對第三部分crypto_segment進行base64url解密，得到signature
• 對第三部分signature部分數據進行合法性校驗
  • 拼接前兩段密文，即signing_input
  • 從第一段明文中獲取加密算法，默認HS256
  • 使用算法+鹽 對signing_input 進行加密，將得到的結果和signature密文進行比較

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


def create_token(payload, timeout=20):
    """
:param payload:  例如：{'user_id':1,'username':'wupeiqi'}用戶信息
:param timeout: token的過期時間，默認20分鍾
:return:
    """
headers = {
        'typ': 'jwt',
'alg': 'HS256'
}
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


def parse_payload(token):
    """
    對token進行和發行校驗並獲取payload
:param token:
:return:
    """
result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result['status'] = True
result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
except jwt.DecodeError:
        result['error'] = 'token認證失敗'
except jwt.InvalidTokenError:
        result['error'] = '非法的token'
return result