目录
1、JWT
1.1、JWT概述
1.2、token的生成
1.3、token校验
1.4、flask项目中实现JWT认证
1、JWT
1.1、JWT概述
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成,分别是头部、负载和签名。
头部(Header)是一个 JSON 对象,描述了使用的算法和类型。它通常包含两个字段:算法(alg)和类型(typ)。
负载(Payload)也是一个 JSON 对象,用于存储用户的相关信息。它可以包含一些预定义的字段,如过期时间(exp)、发布时间(iat)等,也可以包含一些自定义字段。
签名(Signature)使用指定的算法对头部和负载进行加密,生成一段字符串。这个字符串可以用于验证数据的完整性。
1、传统的token认证流程
- 用户登录:用户输入用户名和密码,向服务器发送登录请求。
- 生成token:服务器验证用户名和密码的正确性,如果验证通过,则生成一个随机字符串作为token,并将这个token与用户ID等关键信息关联起来(例如,将token和用户ID作为键值对存储在Redis等缓存中)。
- 返回token:服务器将生成的token返回给客户端,客户端将token保存在cookie或localStorage中。
- 携带token:当客户端需要访问需要认证的接口时,会在请求头中携带这个token。
- 验证token:服务器在接收到请求后,会从请求头中提取token,并根据token在缓存中查找对应的用户信息。如果找到了对应的用户信息,则说明用户已经登录且token有效;否则,说明用户未登录或token已过期。
2、传统token认证流程和JWT的对比
- 存储方式:传统token方式需要将token保存在服务器端(如Redis),而JWT则将token的所有信息都包含在token本身中,无需在服务器端保存。
- 安全性:JWT通过签名机制来确保数据的完整性和防止篡改,而传统token方式则更依赖于服务器端的验证。
- 应用场景:JWT更适用于分布式系统或跨域请求的场景,而传统token方式则更适用于传统的Web应用。
1.2、token的生成
jwt的生成token格式如下,即:由 . 连接的三段字符串组成。
eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9.eyJ1c2VybmFtZSI6ImxqIiwiZXhwIjoxNzE2NzkyODI4fQ.WrT1XY8CC1vFo8tPpt0ZrDjje5ooD8hTOvIW42Z2WEo
1、生成规则如下:
- token组成:将三段字符串通过 . 拼接起来就生成了jwt的token。
- 第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段。
headers = {'typ': 'jwt','alg': 'HS256'
}- 第二段PAYLOAD部分,包含一些数据,对此PAYLOAD进行base64url加密,这就是token的第二段
payload = {'user_id':1,'username':'张三', 'role':'admin','exp': "XXX"...........
}
- 第三段SIGNATURE部分,把前两段的base密文通过.拼接起来,然后对其进行HS256加密,再然后对hs256密文进行base64url加密,最终得到token的第三段。
base64url(HMACSHA256(base64UrlEncode(headers) + "." + base64UrlEncode(payload),secret # 秘钥加盐)
)注意:base64url加密是先做base64加密,然后再把 - 替换 + _ 替换 / 。
2、代码实现:
- 使用的库是:pyjwt模块。
- 安装库:
pip install pyjwt
代码实现:
import jwt
import datetime# 秘钥加盐
SALT = 'adasfasfgthfafklsaj?lkasld;)(hjasgbsvbfjh='def create_token():# headerheaders = {'typ': 'jwt','alg': 'HS256'}# payloadpayload = {'user_id': 1, # 自定义用户ID'username': '张三', # 自定义用户名'role': "admin", # 自定义角色'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=2) # 过期时间(2个小时)}result = jwt.encode(headers=headers, payload=payload, key=SALT, algorithm=["HS256"])return resultif __name__ == '__main__':token = create_token()print(token)1.3、token校验
获取token之后,会按照以下步骤(主要是进行超时和合法性校验)进行校验:
- 将token分割成 header_segment、payload_segment、crypto_segment 三部分
- 对第一部分header_segment进行base64url解密,得到header
- 对第二部分payload_segment进行base64url解密,得到payload
- 对第三部分crypto_segment进行base64url解密,得到signature后进行合法性校验。
-
- 拼接前两段密文,即:signing_input
- 从第一段明文中获取加密算法,默认:HS256
- 使用 算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较。
代码实现:
import jwt# 秘钥加盐
SALT = 'adasfasfgthfafklsaj?lkasld;)(hjasgbsvbfjh='def get_payload(token):try:# 校验token合法性和是否超时verified_payload = jwt.decode(jwt=token, key=SALT, verify=True, algorithms=["HS256"])return verified_payloadexcept jwt.ExpiredSignatureError:print("token已过期")except jwt.DecodeError:print('token认证失败')except jwt.InvalidTokenError:print('非法的token')if __name__ == '__main__':token = "eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Ilx1NWYyMFx1NGUwOSIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcxNzQwMDIwMn0.iXqTAykKdA8ln0WMCsdhcc3Je0l4qOvYoxctkjEmhHs"payload = get_payload(token)print(payload)1.4、flask项目中实现JWT认证
项目的目录结构如下:
1、app.py文件
#!/usr/bin/env python
# -*- coding:utf-8 -*-import base64
from flask import Flask, request, jsonify, g
from utils.jwt_auth import create_token, check_tokenapp = Flask(__name__)# 通过url传递token
# 每一个请求前都进行token的验证
# @app.before_request
# def jwt_query_params_auth():
# if request.path == '/login/':
# return
# token = request.args.get('token')
# result = check_token(token)
# if not result['status']:
# return jsonify(result)
# g.user_info = result['info']# 通过Authorization请求头传递token@app.before_request
def jwt_authorization_auth():if request.path == '/login/':return# 在实际项目中Authorization的组成一般是: Bearer toeknauthorization = request.headers.get('Authorization', '')token = ""# 对head进行解密if authorization:# 获取token信息token = authorization.split(" ")[1]# 获取token中的header加密部分encoded_header = token.split(".")[0]# 注意:我们需要替换字符并确保字符串长度是 4 的倍数padded = encoded_header + '=' * (-len(encoded_header) % 4)# 对header进行base64url解密header = base64.urlsafe_b64decode(padded.replace('-', '+').replace('_', '/')).decode('utf-8')print(header)result = check_token(token)if not result['status']:return jsonify(result)g.user_info = result['info']@app.route('/login/', methods=['POST'])
def login():user = request.form.get('username')pwd = request.form.get('password')print(user)# 检测用户和密码是否正确,此处可以在数据进行校验。if user == '张三' and pwd == '123456':# 用户名和密码正确,给用户生成token并返回token = create_token({'user_id':1, 'username':'张三', 'role':'admin'})return jsonify({'status': True, 'token': token})return jsonify({'status': False, 'error': '用户名或密码错误!'})@app.route('/info/')
def order():print(g.user_info)return jsonify(g.user_info)if __name__ == '__main__':app.run(debug=True)
2、jwt_auth.py文件
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime# 秘钥加盐
SALT = 'adasfasfgthfafklsaj?lkasld;)(hjasgbsvbfjh='def create_token(payload, timeout=60):""":function: 创建token:param payload: 例如:{'user_id':1,'username':'张三', 'role':'admin'}用户信息:param timeout: token的过期时间,默认60分钟:return:"""headers = {'typ': 'jwt','alg': 'HS256'}payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)result = jwt.encode(headers=headers, payload=payload, key=SALT, algorithm="HS256")return resultdef check_token(token):""":function: 检验token的合法性和是否过期:param token: 用户token信息:return: 返回检验结果"""result = {'status': False, 'info': None, 'msg': None}try:print(token)verified_payload = jwt.decode(jwt=token, key=SALT, verify=True, algorithms=["HS256"])result['status'] = Trueresult['info'] = verified_payloadexcept jwt.ExpiredSignatureError:result['msg'] = 'token已失效'except jwt.DecodeError:result['msg'] = 'token认证失败'except jwt.InvalidTokenError:result['msg'] = '非法的token'return result
)
)
可以更新显示)
