介紹
jwt(JSON Web Tokens)榛做,在用戶認證當中常用的方式秒拔,在如今的前后端分離項目當中應用廣泛
傳統(tǒng)token和jwt區(qū)別
傳統(tǒng)token:服務端會對登錄成功的用戶生成一個隨機token返回敬肚,同時也會在本地保留對應的token(如在數據庫中存入:token淹魄、用戶名籍铁、過期時間等)郁妈,當用戶再次訪問時浑玛,會攜帶之前的token給服務端進行校驗,服務端則通過與本地保留的token進行對比噩咪,若尋找到符合條件的token數據顾彰,則校驗成功
jwt:服務端會對登錄成功的用戶生成一個隨機token返回,但并不會在服務端本地保留(這是jwt和傳統(tǒng)token最大的區(qū)別)胃碾,而當用戶再次訪問時涨享,服務端會基于jwt對token進行校驗和解碼(由于jwt是基于base64url編碼,因此是可以反向解碼的仆百,所以一定要小心token泄漏的問題厕隧,以及不要在token中存放敏感數據,可以在:https://jwt.io/里解碼基于jwt生成的token)
安裝
pip install pyjwt
簡單示例
import jwt
import time
headers = {
"alg": "HS256",
"typ": "JWT"
}
# 設置headers儒旬,即加密算法的配置
salt = "asgfdgerher"
# 隨機的salt密鑰栏账,只有token生成者(同時也是校驗者)自己能有,用于校驗生成的token是否合法
exp = int(time.time() + 1)
# 設置超時時間:當前時間的100s以后超時
payload = {
"name": "dawsonenjoy",
"exp": exp
}
# 配置主體信息栈源,一般是登錄成功的用戶之類的挡爵,因為jwt的主體信息很容易被解碼,所以不要放敏感信息
# 當然也可以將敏感信息加密后再放進payload
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
# 生成token
print(token)
info = jwt.decode(token, salt, True, algorithm='HS256')
# 解碼token甚垦,第二個參數用于校驗
# 第三個參數代表是否校驗茶鹃,如果設置為False,那么只要有token艰亮,就能夠對其進行解碼
print(info)
time.sleep(2)
# 等待2s后再次驗證token闭翩,因超時將導致驗證失敗
try:
info = jwt.decode(token, salt, True, algorithm='HS256')
print(info)
except Exception as e:
print(repr(e))
info = jwt.decode(token, '', False, algorithm='HS256')
# 第三個參數設置為False,不進行校驗迄埃,直接解碼token
print(info)
結果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1NzgzODUwMDl9.pL2zyBUvlJA6blZG_8W9CwXEgFFKkhE-IOSC8WX9MYE
{'name': 'dawsonenjoy', 'exp': 1578385009}
ExpiredSignatureError('Signature has expired',)
{'name': 'dawsonenjoy', 'exp': 1578385009}
可以看到第一次校驗是成功的疗韵,到了第二次解密時因為已經過期,從而拋出過期異常侄非,第三次因為不進行校驗蕉汪,所以直接給出解碼信息
jwt生成token所需字段
生成token時流译,首先需要傳入一些字段,主要包括:
- headers:主要配置一些加密的算法
- payload:規(guī)范當中有以下標準字段者疤,但不是絕對:
iss: jwt簽發(fā)者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時間福澡,這個過期時間必須要大于簽發(fā)時間
nbf: 定義在什么時間之前,該jwt都是不可用的.
iat: jwt的簽發(fā)時間
jti: jwt的唯一身份標識驹马,主要用來作為一次性token,從而回避重放攻擊革砸。
參考鏈接:http://www.reibang.com/p/671cc06679f6
- secret_key:簽名密鑰,示例代碼里寫的是salt糯累,用于校驗token的有效算利、合法性
jwt生成token過程
由上面的簡單示例可以看出,jwt生成的token主要有三部分寇蚊,用.隔開笔时,分別代表:編碼后的headers、payload仗岸,以及校驗字段允耿。
具體過程:
- 通過對
headers的json數據進行base64url編碼生成第一部分 - 通過對
payload的json數據進行base64url編碼生成第二部分 - 將第一部分和第二部分通過
.拼接起來,然后對拼接后的內容結合簽名密鑰進行HS256加密生成密文(加密算法可以自己選扒怖,默認HS256)较锡,然后再進行base64url編碼,從而生成第三部分 - 三個部分通過
.拼接起來盗痒,作為token
base64url編碼:先進行base64編碼蚂蕴,然后將其中的
+替換成-、/替換成_俯邓,并且最后一般會將=都去掉
這里簡單模擬一下jwt的生成(參照了一下源碼):
import jwt
import time
import json
import base64
import hashlib
import hmac
headers = {
"typ": "JWT",
"alg": "HS256"
}
salt = "asgfdgerher"
exp = time.time() + 1
payload = {
"name": "dawsonenjoy",
"exp": exp
}
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
# 實際生成
first = base64.urlsafe_b64encode(json.dumps(headers, separators=(',', ':')).encode('utf-8').replace(b'=', b'')).decode('utf-8').replace('=', '')
# 模擬第一部分生成
second = base64.urlsafe_b64encode(json.dumps(payload, separators=(',', ':')).encode('utf-8').replace(b'=', b'')).decode('utf-8').replace('=', '')
# 模擬第二部分生成
first_second = f"{first}.{second}"
# 拼接前兩部分
third = base64.urlsafe_b64encode(hmac.new(salt.encode('utf-8'), first_second.encode('utf-8'), hashlib.sha256).digest()).decode('utf-8').replace('=', '')
# 模擬第三部分生成
my_token = ".".join([first, second, third])
print(token)
print(my_token)
print(token == my_token)
# 可以看出結果是一樣的
# 結果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1Nzg1NTQxMjcuOTkwNDQ0N30.0XYnGgXXb3HrJzfoYsu-9IfqJs4GwTvf6H8uYIH78LY
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1Nzg1NTQxMjcuOTkwNDQ0N30.0XYnGgXXb3HrJzfoYsu-9IfqJs4GwTvf6H8uYIH78LY
True
可以看出整體生成的就是一樣的(畢竟就是參照源碼寫的)
jwt校驗和解碼過程
- 對于獲取到的
token骡楼,首先基于.將其切割成三個部分 - 對第二段進行base64url解碼,并獲取payload信息稽鞭,檢查token是否超時
- 將第一段和第二段拼接鸟整,并結合簽名密鑰進行HS256加密(默認HS256,選擇和加密時一樣的算法就行了)朦蕴,生成校驗字段
- 將第三段進行base64url解碼篮条,判斷是否和上一步生成的校驗字段相同,相同則說明token有效
jwt常見異常處理
jwt校驗拋出的異常類基本都在jwt和jwt.exceptions下吩抓,舉例:
import jwt
import time
from jwt import exceptions
headers = {
"alg": "HS256",
"typ": "JWT"
}
salt = "asgfdgerher"
exp = int(time.time() - 1)
# 設置立即失效
payload = {
"name": "dawsonenjoy",
"exp": exp
}
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
try:
info = jwt.decode(token, salt, True, algorithm='HS256')
print(info)
except exceptions.ExpiredSignatureError:
print('token已失效')
except jwt.DecodeError:
print('token認證失敗')
except jwt.InvalidTokenError:
print('非法的token')
WEB開發(fā)中簡單示例
基于傳統(tǒng)token
首先我們來看看使用傳統(tǒng)的token的示例(這里基于flask涉茧,使用全局字典模擬數據庫來演示):
# 基于傳統(tǒng)token實現(xiàn)用戶校驗
from flask import Flask, request
import json
import uuid
app = Flask(__name__)
# 這里用全局字典模擬數據庫:
# user_table表里存放用戶名、密碼用于用戶登錄校驗
# user_token表里存放token疹娶,用于token校驗
# user_info_table存放用戶信息
db_source = {
'user_table': {
'dawsonenjoy': {
'pwd': '111111'
}
},
'user_token': {},
'user_info_table': {
'dawsonenjoy': {
'age': 18
}
}
}
@app.route('/login', methods=['POST'])
def login():
'''用戶登錄伴栓,用戶名密碼驗證成功將會生成對應token,并將token保存以及返回給用戶'''
username = request.form.get('username', None)
pwd = request.form.get('password', None)
if (not username) or (not pwd):
return json.dumps({'status': 1, 'code': '400', 'msg': '用戶或密碼不允許為空!'}, ensure_ascii=False)
if not db_source['user_table'].get(username, None):
return json.dumps({'status': 1, 'code': '401', 'msg': '用戶不存在钳垮!'}, ensure_ascii=False)
if db_source['user_table'][username]['pwd'] != pwd:
return json.dumps({'status': 1, 'code': '402', 'msg': '用戶名或密碼錯誤除师!'}, ensure_ascii=False)
# 當登錄校驗通過,則為用戶存入token扔枫,并返回token
token = str(uuid.uuid4())
db_source['user_token'][token] = username
return json.dumps({'status': 1, 'code': '200', 'data': {'token': token}})
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用戶信息,需要和本地保存的token進行校驗'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允許為空锹安!'}, ensure_ascii=False)
if not db_source['user_token'].get(token, None):
return json.dumps({'status': 1, 'code': '501', 'msg': 'token校驗失敹碳觥!'}, ensure_ascii=False)
# 當token校驗成功則返回用戶信息
username = db_source['user_token'][token]
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True, port=5000)
基于jwt
為了更好地對比(主要是懶得再寫代碼)叹哭,這里就基于前面代碼該進成基于jwt版本的校驗忍宋,代碼示例如下:
# 基于jwt實現(xiàn)的用戶校驗
from flask import Flask, request
import jwt
from jwt import exceptions
import json
import time
app = Flask(__name__)
# 這里用全局字典模擬數據庫:
# user_table表里存放用戶名、密碼用于用戶登錄校驗
# 因為jwt校驗無需在服務端存儲风罩,所以user_token表也就不需要
# user_info_table存放用戶信息
db_source = {
'user_table': {
'dawsonenjoy': {
'pwd': '111111'
}
},
'user_info_table': {
'dawsonenjoy': {
'age': 18
}
}
}
SECRET_KEY = "asgfddasdasdasgerher"
# 定義簽名密鑰糠排,用于校驗jwt的有效、合法性
def create_token(name):
'''基于jwt創(chuàng)建token的函數'''
global SECRET_KEY
headers = {
"alg": "HS256",
"typ": "JWT"
}
exp = int(time.time() + 20)
payload = {
"name": name,
"exp": exp
}
token = jwt.encode(payload=payload, key=SECRET_KEY, algorithm='HS256', headers=headers).decode('utf-8')
# 返回生成的token
return token
def validate_token(token):
'''校驗token的函數超升,校驗通過則返回解碼信息'''
global SECRET_KEY
payload = None
msg = None
try:
payload = jwt.decode(token, SECRET_KEY, True, algorithm='HS256')
# jwt有效入宦、合法性校驗
except exceptions.ExpiredSignatureError:
msg = 'token已失效'
except jwt.DecodeError:
msg = 'token認證失敗'
except jwt.InvalidTokenError:
msg = '非法的token'
return (payload, msg)
@app.route('/login', methods=['POST'])
def login():
'''用戶登錄,用戶名密碼驗證成功將會生成對應token室琢,但不需要在本地保存乾闰,直接返回給用戶'''
username = request.form.get('username', None)
pwd = request.form.get('password', None)
if (not username) or (not pwd):
return json.dumps({'status': 1, 'code': '400', 'msg': '用戶或密碼不允許為空!'}, ensure_ascii=False)
if not db_source['user_table'].get(username, None):
return json.dumps({'status': 1, 'code': '401', 'msg': '用戶不存在盈滴!'}, ensure_ascii=False)
if db_source['user_table'][username]['pwd'] != pwd:
return json.dumps({'status': 1, 'code': '402', 'msg': '用戶名或密碼錯誤涯肩!'}, ensure_ascii=False)
# 當登錄校驗通過,則為用戶創(chuàng)建并返回token
token = create_token(username)
# 注意這里不存入本地了
return json.dumps({'status': 1, 'code': '200', 'data': {'token': token}})
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用戶信息巢钓,需要token校驗'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允許為空病苗!'}, ensure_ascii=False)
payload, msg = validate_token(token)
# 直接對token進行合法性校驗
if msg:
return json.dumps({'status': 1, 'code': '500', 'msg': msg}, ensure_ascii=False)
username = payload['name']
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True, port=5000)
其他相關庫
itsdangerous
一個基于jwt再封裝了一層的庫,方便我們對jwt的使用症汹,簡單示例:
# pip install itsdangerous
from itsdangerous import TimedJSONWebSignatureSerializer as TJWSS, SignatureExpired, BadData
import time
salt = "adsafergberhere"
payload = {
"name": "dawsonenjoy",
}
tjwss = TJWSS(salt, 1)
# 實例化jwt序列化對象硫朦,設置salt和超時時間,這里設置1s后超時
token = tjwss.dumps(payload).decode()
# 編碼payload數據烈菌,生成token
data = tjwss.loads(token)
# 校驗和解碼token
print(data)
time.sleep(2)
# 2s后讓token超時
try:
print(tjwss.loads(token))
except SignatureExpired:
print("token超時")
except BadData:
print("認證失敗")
djangorestframework-jwt
DFM框架中的jwt插件阵幸,安裝:
pip install djangorestframework
pip install djangorestframework-jwt
參考:
http://www.reibang.com/p/740a0320f960
http://www.reibang.com/p/a399b98ab05b
