JWT介紹和base64編碼解碼

JWT認證

　　在用戶注冊或登錄后，我們想記錄用戶的登錄狀態，或者為用戶創建身份認證的憑證。我們不再使用Session認證機制，而使用Json Web Token（本質就是token）認證機制。

　　Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標准（(RFC 7519).該token被設計為緊湊且安全的，特別適用於分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。

JWT構成

　　JWT就是一段字符串，由三段信息構成的，將這三段信息文本用  .鏈接一起就構成了Jwt字符串。就像這樣: 

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

　　第一部分我們稱它為頭部（header),第二部分我們稱其為載荷（payload, 類似於飛機上承載的物品)，第三部分是簽證（signature).

　　1、頭部（header)

　　　　jwt的頭部承載兩部分信息：

　　　　　　聲明類型，這里是jwt

　　　　　　聲明加密的算法 通常直接使用 HMAC SHA256

　　　　完整的頭部就像下面這樣的JSON：

{
  'typ': 'JWT',
  'alg': 'HS256'
}

　　　　然后將頭部進行base64加密（該加密是可以對稱解密的),構成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

　　2、載荷（payload）

　　　　2.1、載荷就是存放有效信息的地方。這個名字像是特指飛機上承載的貨品，這些有效信息包含三個部分

　　　　　　標准中注冊的聲明

　　　　　　公共的聲明

　　　　　　私有的聲明

　　　　2.2、標准中注冊的聲明 (建議但不強制使用) ：

　　　　　　　　iss: jwt簽發者

　　　　　　　　sub: jwt所面向的用戶

　　　　　　　　aud: 接收jwt的一方

　　　　　　　　exp: jwt的過期時間，這個過期時間必須要大於簽發時間

　　　　　　　　nbf: 定義在什么時間之前，該jwt都是不可用的.

　　　　　　　　iat: jwt的簽發時間

　　　　　　　　jti: jwt的唯一身份標識，主要用來作為一次性token,從而回避時序攻擊。

　　　　2.3、公共的聲明 

　　　　　　公共的聲明可以添加任何的信息，一般添加用戶的相關信息或其他業務需要的必要信息.但不建議添加敏感信息，因為該部分在客戶端可解密.

　　　　2.4、私有的聲明 

　　　　　　 私有聲明是提供者和消費者所共同定義的聲明，一般不建議存放敏感信息，因為base64是對稱解密的，意味着該部分信息可以歸類為明文信息

　　　　定義一個payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

　　　　然后將其進行base64加密，得到JWT的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

　　3、簽證（signature)

　　　　JWT的第三部分是一個簽證信息，這個簽證信息由三部分組成：

　　　　　　header (base64后的)

　　　　　　payload (base64后的)

　　　　　　secret

　　　　這個部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過header中聲明的加密方式進行加鹽secret組合加密，然后就構成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

　　將這三部分用.連接成一個完整的字符串,構成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

　　注意：secret是保存在服務器端的，jwt的簽發生成也是在服務器端的，secret就是用來進行jwt的簽發和jwt的驗證，所以，它就是你服務端的私鑰，在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味着客戶端是可以自我簽發jwt了。

　　關於簽發和核驗JWT，我們可以使用Django REST framework JWT擴展來完成。

　　文檔網站：http://getblimp.github.io/django-rest-framework-jwt/

base64編碼和解碼

　　base64編碼和解碼，只是編碼和解碼，不能叫加密

　　編碼

import base64
s = b'''{"name":"lqz","age":19}'''
res = base64.b64encode(s)
print(res)  # eyJuYW1lIjoibHF6IiwiYWdlIjoxOX0=

　　解碼

s=b'eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9'
res=base64.b64decode(s)
print(res)