Python 模块 jwt

• 1、jwt认证流程
  • 传统token方式和jwt认证方式有什么差异？
• 2、jwt创建token
  • 2.1、原理
  • 2.2代码实现
• 3、JWT校验token

 

JSON Web Tokens ,是一种开发的行业标准RFC 7519 ，用于安全的表示双方之间的声明。

1、jwt认证流程 

传统token方式和jwt认证方式有什么差异？

• 传统token方式

用户登录成功后，服务端生成一个随机的token给用户，并且在服务端（数据库或缓存）中保存一份token，以后用户再来访问时需要携带token，服务端接收到token之后，去数据库或缓存中进行校验token的是否超时、是否合法

• jwt方式

用户登录成功后，服务端通过jwt生成一个随机token给用户（服务端无需保留token），以后用户再来访问时需要携带token，服务端接收到token之后，通过jwt对token进行教研是否超时、是否合法。

2、jwt创建token

在加密的数据中
如果  包含exp=过期时间，则会在一段时间内 token有效

否则一值有效

2.1、原理

jwt的生成token格式如下，即：由。连接的三段字符组成

eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU

 

 

生成规则如下：

第一段HEADER部分，固定包含算法和token类型，对此json进行base64url加密，这就是token的第一段

{

    "alg": "HS256",

    "typ": "JWT"

}

第二段PAYLOAD部分，包含一些数据，对此json进行base64url加密，这就是token的第二段。

{

    "sub": "1234567890",

    "name": "John Doe",

    "iat": 1516239022

}

第三段SIGNATURE部分，把前两段的base秘闻通过.拼接起来，然后对其进行HS256加密，再然后对hs256秘闻进行base64url加密，最终得到token的第三段。

base64url(
    HMACHSHA256(
        base64UrlEncode(header) + '.' + base64url(payload),
        your-256-bit-secret(秘钥加盐)
    )
)

最后基于三段字符通过.拼接起来就生成了jwt的token

注意：base64url加密是先做base64加密。然后再讲-代替+以及_代替/

2.2代码实现

基于Python的pyjwt模块创建jwt的token

• 安装

  pip3 install pyjwt

• 实现

  import jwt
  import datetime
  from jwt import exceptions
  
  SALT = 'apple'
  
  
  def create_token():
  # 构造header
  headers = {
  'typ': 'jwt',
  'alg': 'HS256'
  }
  # 构造payload
  payload = {
  'user_id': 1, # 自定义用户ID
  'username': 'pig',
  'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
  }
  result = jwt.encode(payload=payload, key=SALT, algorithm='HS256', headers=headers).decode('utf8')
  return result
  
  
  if __name__ == '__main__':
  token = create_token()
  print(token)

3、JWT校验token

 

jwt验证tok一般在认证成功后，把jwt生成的token返回用户，以后用户再次访问的时候需要携带token，此时jwt需要对token进行超时及合法性校验。

获取token之后会按照以下步骤进行校验：

• 将token分割成header_segment、payload_segment、crypto_segment三部分

Jwt_token =

“eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7

BaKW8V9ORUDPudB3ogJ_rhlZsTU”

signing_input, crpyto_segment = jwt_token.rsplit(b'.',1)

header_segement, payload_segment = signing_input.split(b'.',1)

• 对第一部分header_segemnt 进行base64url解密，得到header
• 对第二部分payload_segment进行base64url解密，得到payload
• 对第三部分crypto_segment进行base64url解密，得到signature
• 对第三部分signature部分数据进行合法性校验
  • 拼接前两段密文，即signing_input
  • 从第一段明文中获取加密算法，默认HS256
  • 使用算法+盐 对signing_input 进行加密，将得到的结果和signature密文进行比较

 

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


def create_token(payload, timeout=20):
    """
:param payload:  例如：{'user_id':1,'username':'wupeiqi'}用户信息
:param timeout: token的过期时间，默认20分钟
:return:
    """
headers = {
        'typ': 'jwt',
'alg': 'HS256'
}
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


def parse_payload(token):
    """
    对token进行和发行校验并获取payload
:param token:
:return:
    """
result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result['status'] = True
result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
except jwt.DecodeError:
        result['error'] = 'token认证失败'
except jwt.InvalidTokenError:
        result['error'] = '非法的token'
return result