Python 详解PyJWT生成Token

最新推荐文章于 2024-05-11 16:59:01 发布
最新推荐文章于 2024-05-11 16:59:01 发布
阅读量4.9k 收藏 19
点赞数 4
分类专栏: Python 文章标签: python jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Disany/article/details/109346079
版权

JSON WEB Token(JWT),一种用以产生访问令牌(token)的开源标准;是目前Token鉴权机制下最流行的方案。 PyJWT是一个Python库,官方文档,安装如下:pip install pyjwt

jwt 编码

先上一张官方的图
在这里插入图片描述
我们参考上图来举个栗子!!!

import jwt
from datetime import datetime, timedelta

payload = {
    'exp': datetime.now() + timedelta(minutes=30),  # 令牌过期时间
    'username': 'BigFish' # 想要传递的信息,如用户名ID
}
key = 'SECRET_KEY'

encoded_jwt = jwt.encode(payload, key, algorithm='HS256')
print(encoded_jwt)
b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDM5MzA0NzMsInVzZXJuYW1lIjoiQmlnRmlzaCJ9.5eM02YL0xg1DiMZjx-muuYXahTm2etGOEeixFYYd7iI'

我们在jwt.encode函数中使用了三个参数:
1)第一个是payload,主要用来存放有效的信息,例如用户名,过期时间等想要传递的信息。payload字典内部官方指定有指定key,如exp用来指定token的生命周期。更多指定key参数可参考这里;
2)第二个key,一个秘钥字串,这个秘钥主要用在下文Signature签名中,服务端用来校验Token合法性,这个秘钥仅服务端知道,不能泄露。
3)第三个参数指定Signature签名所用的算法。

编码后的encoded_jwt就是我们要生成的Token。

感兴趣的话,我们进一步来了解下这串字符,观察JWT生成的Token'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDM5MzA0NzMsInVzZXJuYW1lIjoiQmlnRmlzaCJ9.5eM02YL0xg1DiMZjx-muuYXahTm2etGOEeixFYYd7iI'不难发现这是一条用两个点分割的长字符串,点分割成的三部分是:头信息(header), 消息体(payload)和签名(signature)。

①第一部分是对一个简单js对象的编码后的字符串,这个js对象是用来描述这个token类型以及使用的hash算法,我们对第一部分手动使用base64进行解码base64.b64decode('eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9')会得到b'{"typ":"JWT","alg":"HS256"}'

②第二部分是token的核心,这部分同样是对一个js对象的编码,包含了一些摘要信息。有一些是必须的,有一些是选择性的。base64解码得到b'{"exp":1603930473,"username":"BigFish"}'
exp是expires的简写,是用来指定token的生命周期。username是我们选择性添加的用户信息。当然iss也有同等功效(iss是issuer的简写,表明请求的实体,可以是发出请求的用户的信息)更多参数查看文档。

③未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名(signature)则通过私有的key计算而成
unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload)
signature = HMAC-SHA256(key, unsignedToken)

综上,JWT不会对结果进行加密,所以不要保存敏感信息在Header或者Payload中,服务端也主要依靠最后的Signature来验证Token是否有效以及有无被篡改。

jwt 解码

在这里插入图片描述
参看上图,jwt解码也很简单:

jwt.decode(encoded_jwt, 'SECRET_KEY', algorithms=['HS256'])

{'exp': 1603984192, 'username': 'BigFish'}

前面说过,JWT不会对结果进行加密,最后的Signature来验证Token是否有效以及有无被篡改。官网上也提供了jwt只解码而不验证的方法jwt.decode(encoded_jwt, verify=False)

JWT解码验证Token时候,我们一般用try…except…捕捉异常信息

其中常见的异常一般有:
exp指过期时间,在生成token时,可以设置该token的有效时间,如果我们设置30分钟过期,30分钟我们再解析此token会抛出jwt.exceptions.ExpiredSignatureError: Signature has expired
iss指的是该token的签发者,我们可以给他一个字符串。iss 在接收时如果不检验也没有问题,如果我们接收时需要检验但是又签名不一致,则会抛出jwt.exceptions.InvalidIssuerError: Invalid issuer
aud指定了接收者,接收者在接收时必须提供与token要求的一致的接收者(字符串),如果没写接收者或者接收者不一致会抛出jwt.exceptions.InvalidAudienceError: Invalid audience
iat指的是token的开始时间,如果当前时间在开始时间之前则抛出jwt.exceptions.InvalidIssuedAtError: Issued At claim (iat) cannot be in the future
nbf类似于token的 lat ,它指的是该token的生效时间,如果使用但是没到生效时间则抛出jwt.exceptions.ImmatureSignatureError: The token is not yet valid (nbf)
更多可查看API Reference

搬砖的Fish
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PyJWT生成token
08-03
使用Pyjwt在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以查看本人博客https://blog.csdn.net/lwuis_/article/details/107771954。
python+request 接口自动化 jwt Token封装实现
BenZ_X的专栏
12-21 1988
Token可以理解为一种特殊的加密密码或者暗号;只有暗号匹配才能通过,否则就是“敌人”;我们在登录XX站点,XX系统都需要输入自己的用户名和密码;但是在接口调用过程中,为了账号加密安全性,不能明文将账号密码放入到请求体或请求头中;所以需要一种加密方式—暗号,这种暗号格式可以自己定义,那么只有“自己人”知道;从而达到加密安全调用和请求对方接口;1、正常输入账号密码的请求过程:1)登录页面登录后,服务端会生成token返回给客户端并缓存;2)后续操作业务页面,会默认带上缓存的token
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析
最新发布
2401_84140580的博客
05-11 1652
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
Python爬虫——基于JWT的模拟登录爬取实战
Liu_Bruce的博客
04-04 991
JWT(Json Web Token)主要由三部分组成:Header, Payload, Signature
Python实现Token详解JWT
捷的博客
06-02 1万+
文章目录Python实现Token详解一、引言二、原理三、python实现JWT-token四、JWT - Json-Web-Token4.1具体组成4.2具体实现4.3校验JWT Python实现Token详解 一、引言 Token是目前广泛使用的一种保持会话状态的技术,与以前的cookie、session共同存在于如今各大网站架构中。本篇中,我们着重来讲解在python中,怎样实现token。 首先,我们来看一下session的主要缺点: 当我们在使用session保持会话状态,同时验证用户的合法性
pyjwt和djangorestframework-simplejwttoken
General_zy的博客
01-20 921
【代码】pyjwt模块。
FastAPI Security系列之生成token(基础篇)
Disany的博客
10-29 3141
安装依赖 pip install pyjwt # pip install python-multipart # OAuth2需要通过表单数据来发送信息 pyjwt生成Token细节可参考这篇文章:详解PyJWT生成Token 生成token的代码详解 from datetime import datetime, timedelta from typing import Optional from fastapi import Depends, FastAPI from fastapi.security
Python JWT的整体实现过程(详解
key_world的博客
11-12 4750
JWT 全称: json-web-token JWT的大白话解释: 现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。 1. 三大组成 header 在Python来看就是一个字典格式,元数据如下: {'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的类别 此处必须为 大写的 JWT 该部分数据需要转换成json串并用base64转码 payload
PyJWT 详解
愿你饱经冷暖,仍保纯真
08-24 9549
1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/qq_15766181/article/details/80707923 https://blog.csdn.net/u011277123/article/details/78918390 ...
15分钟详解 Python 安全认证的那些事儿~
chenchen5152的博客
04-24 789
系统安全可能往往是被大家所忽略的,我们的很多系统说是在互联网上"裸奔"一点都不夸张,很容易受到攻击,系统安全其实是一个复杂且庞大的话题,若要详细讲来估计用几本书的篇幅都讲不完,基于此本篇及下一篇会着重讲解在我们开发系统过程中遇到的一些安全校验机制,希望能起到抛砖引玉的作用,望各位在开发过程中多多思考不要只局限于功能实现上,共勉~ 在系统安全、身份验证以及权限授权方面通常来说有各种各样的处理方式,但大多都比较复杂。在很多框架和系统里,涉及安全和身份验证的工作往往都比较繁琐,并且代码量也巨大,基于此也出现了一些
python 产生tokentoken验证的方法
09-19
今天小编就为大家分享一篇python 产生tokentoken验证的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Python 如何实现Bearer模式的Token验证 Python源码
11-13
Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何...
rest-framework生成token
08-03
使用rest-framework在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以...
onenet对接tokenpython及QuecPython算法
08-03
总的来说,这个压缩包可能包含了一个Python脚本或函数,用于生成OneNet平台的访问token,以及一个适用于移远QuecPython模块的版本。这为开发者提供了便利,帮助他们快速集成OneNet服务,实现设备的安全连接和数据...
pyjwt,一个强大的 Python 库!
轻编程的博客
02-16 1325
PyJWT是一个用于创建、解析和验证JSON Web Tokens(JWT)的Python库。JWT是一种紧凑且自包含的方式,用于在网络应用之间安全地传输信息。它由三部分组成:头部、载荷和签名。PyJWT库能够轻松地处理JWT,并在Python应用程序中实现身份验证和信息传输的安全性。除了使用默认的过期时间外,PyJWT还可以自定义过期时间处理逻辑,以满足特定的需求。例如,可以在解析JWT时检查过期时间,并根据情况进行处理。
Python Pandas去重复数据drop_duplicates详解
热门推荐
Disany的博客
09-13 4万+
pandas.DataFrame.drop_duplicates DataFrame.drop_duplicates(subset = None,keep ='first',inplace = False ) 参数 subset:列标签,可选 keep: {‘first’, ‘last’, False}, 默认值 ‘first’ first:删除第一次出现的重复项。 last: ...
Python dataframe设置index
Disany的博客
11-28 2万+
DataFrame.set_index(keys, drop=True, append=False, inplace=False, verify_integrity=False) 其中: keys是列标签或数组列表,drop:删除要用作新索引的列,布尔值默认为True,append:boolean是否将列附加到现有索引默认为False,inplace修改DataFrame(不要创建新对象)默认...
Python 在图片上画点、圆和矩形实例
Disany的博客
07-08 1万+
画点、圆 import cv2 img = cv2.imread(img_path) # 读取图片 cv2.circle(img,(100,100),20,(0,0,255),-1) # cv2.circle(img, center, radius, color[, thickness[, lineType[, shift]]]) # cv2.circle(输入的图片data,圆心位置,圆的半径,圆的颜色,圆形轮廓的粗细(如果为正)负数(-1)表示要绘制实心圆,圆边界的类型,中心坐标和半径值中的小数位数)
python 生成token及验证
09-03
Python中,可以使用多种方式生成token以及验证token的有效性。 生成token可以使用Python标准库中的`secrets`模块,或者使用第三方库如`jwt`、`PyJWT`等。下面以`jwt`库为例,来生成token。 首先,我们需要安装`jwt`库,可以使用`pip`命令进行安装: ``` pip install PyJWT ``` 然后,我们可以使用以下代码生成token: ```python import jwt def generate_token(secret_key, payload): token = jwt.encode(payload, secret_key, algorithm='HS256') return token ``` 以上代码中,`secret_key`为密钥,`payload`为要附加在token中的信息。`jwt.encode()`函数将payload编码为token。 接下来,我们来验证token的有效性。可以使用以下代码: ```python import jwt def verify_token(token, secret_key): try: payload = jwt.decode(token, secret_key, algorithms=['HS256']) return True except jwt.ExpiredSignatureError: return False except jwt.InvalidTokenError: return False ``` 以上代码中,`jwt.decode()`函数将token解码为payload,并验证其有效性。如果token过期或者无效,将抛出相应的异常。 需要注意的是,生成token和验证token的过程中都需要使用相同的密钥`secret_key`。使用者在验证token时,应该提供正确的密钥。 希望以上回答对您有帮助!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值