Python pyjwt库:一款轻松实现安全的JSON Web Token认证

最新推荐文章于 2025-03-17 08:59:12 发布
最新推荐文章于 2025-03-17 08:59:12 发布
阅读量1.5k 收藏 9
点赞数 20
文章标签: python 安全 json 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GitHub_miao/article/details/144573357
版权

cdb842b7cfaa4f4a5530dcfeddb15154.png

更多Python学习内容:ipengtao.com

随着现代Web应用的快速发展,安全性和用户认证成为了开发中的核心问题之一。JSON Web Token(JWT)作为一种轻量级的认证机制,广泛应用于API认证、分布式系统中的信息传递以及单点登录(SSO)等场景。JWT 的核心优势在于其轻量、跨平台以及能够将认证信息安全地嵌入到token中。PyJWT 是一个实现了JWT生成和验证的Python库,简单易用且功能全面。

安装

在开始使用 pyjwt 之前,需要安装该库。

可以通过以下命令安装:

pip install pyjwt

安装完成后,可以通过以下命令验证是否安装成功:

import jwt
print(jwt.__version__)

如果能够打印版本号,则说明安装成功。

主要功能

  • 生成JWT:支持自定义payload(有效载荷)和头部信息。

  • 签名和验证:支持多种签名算法(如HS256、RS256)。

  • Token过期控制:内置对 exp(过期时间)、iat(签发时间)和 nbf(生效时间)的支持。

  • 扩展功能:支持解码时的自定义验证。

这些功能使得 PyJWT 成为Python开发中实现JWT认证的理想选择。

基础用法

生成JWT

以下示例展示了如何使用 PyJWT 生成一个简单的JWT:

import jwt

# 定义密钥和payload
secret_key = "your_secret_key"
payload = {
    "user_id": 123,
    "username": "example_user"
}

# 生成JWT
token = jwt.encode(payload, secret_key, algorithm="HS256")
print(f"生成的JWT: {token}")

运行上述代码后会生成一个JWT字符串,该字符串可以作为API的认证凭据。

解码JWT

生成的JWT可以通过以下代码进行解码,以提取其中的有效载荷:

decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"])
print(f"解码后的内容: {decoded_payload}")

解码后的内容是一个字典,包含生成JWT时定义的所有信息。

添加Token过期时间

为了增强安全性,可以在JWT中添加过期时间(exp)字段:

import jwt
import datetime

# 定义带有过期时间的payload
payload = {
    "user_id": 123,
    "username": "example_user",
    "exp": datetime.datetime.utcnow() + datetime.timedelta(seconds=60)  # 1分钟后过期
}

token = jwt.encode(payload, secret_key, algorithm="HS256")
print(f"带有过期时间的JWT: {token}")

解码时,PyJWT 会自动验证Token是否过期:

try:
    decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"])
    print(f"有效载荷: {decoded_payload}")
except jwt.ExpiredSignatureError:
    print("Token已过期")

验证Token的生效时间

JWT还支持 nbf(Not Before)字段,用于控制Token的生效时间:

payload = {
    "user_id": 123,
    "username": "example_user",
    "nbf": datetime.datetime.utcnow() + datetime.timedelta(seconds=10)  # 10秒后生效
}

token = jwt.encode(payload, secret_key, algorithm="HS256")
print(f"带有生效时间的JWT: {token}")

try:
    decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"])
    print(f"有效载荷: {decoded_payload}")
except jwt.exceptions.ImmatureSignatureError:
    print("Token尚未生效")

高级用法

使用RS256非对称加密

在分布式系统中,使用非对称加密算法(如RS256)可以提高安全性:

from jwt import encode, decode

# 加载公钥和私钥
with open("private_key.pem", "r") as f:
    private_key = f.read()

with open("public_key.pem", "r") as f:
    public_key = f.read()

# 使用私钥签名
payload = {"user_id": 123, "username": "example_user"}
token = encode(payload, private_key, algorithm="RS256")

# 使用公钥验证
decoded_payload = decode(token, public_key, algorithms=["RS256"])
print(f"解码后的内容: {decoded_payload}")

自定义验证逻辑

可以在解码JWT时添加额外的验证逻辑,例如检查特定字段:

def custom_verification(decoded_payload):
    if "user_id" not in decoded_payload:
        raise ValueError("缺少user_id字段")

token = jwt.encode({"user_id": 123}, secret_key, algorithm="HS256")
decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"], options={"verify_exp": False})
custom_verification(decoded_payload)
print("自定义验证通过")

黑名单功能

在实际应用中,为了实现Token失效功能,可以维护一个黑名单:

blacklist = set()

# 添加到黑名单
blacklist.add("expired_token")

# 验证Token
token = "expired_token"
if token in blacklist:
    print("Token已失效")
else:
    print("Token有效")

实际应用

用户认证系统

以下是一个实现基于JWT的简单用户认证系统的示例:

from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)
secret_key = "your_secret_key"

@app.route("/login", methods=["POST"])
def login():
    username = request.json.get("username")
    if username:
        token = jwt.encode(
            {"username": username, "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=1)},
            secret_key,
            algorithm="HS256"
        )
        return jsonify({"token": token})
    return jsonify({"error": "用户名不能为空"}), 400

@app.route("/protected", methods=["GET"])
def protected():
    token = request.headers.get("Authorization").split()[1]
    try:
        decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"])
        return jsonify({"message": f"欢迎, {decoded_payload['username']}!"})
    except jwt.ExpiredSignatureError:
        return jsonify({"error": "Token已过期"}), 401
    except jwt.InvalidTokenError:
        return jsonify({"error": "无效的Token"}), 401

if __name__ == "__main__":
    app.run(debug=True)

单点登录(SSO)

在单点登录场景中,JWT可以用来安全传递用户身份信息:

# 生成SSO Token
sso_payload = {"user_id": 456, "roles": ["admin"]}
sso_token = jwt.encode(sso_payload, secret_key, algorithm="HS256")

# 在其他服务验证SSO Token
decoded_sso_payload = jwt.decode(sso_token, secret_key, algorithms=["HS256"])
print(f"SSO用户信息: {decoded_sso_payload}")

总结

PyJWT 是一个功能强大的库,为开发者提供了实现JWT认证的便捷工具。它支持多种签名算法,提供了Token过期、签发和生效时间的控制,以及灵活的自定义验证功能。无论是实现简单的用户认证,还是构建复杂的分布式系统,PyJWT 都能显著提升开发效率和安全性。

如果你觉得文章还不错,请大家 点赞、分享、留言 下,因为这将是我持续输出更多优质文章的最强动力!

我们还为大家准备了Python资料,感兴趣的小伙伴快来找我领取一起交流学习哦!

d2344e9ebf3809412d7ae0d0a2557bac.jpeg

往期推荐

Python基础学习常见的100个问题.pdf(附答案)

Python办公自动化完全指南(免费PDF)

Python Web 开发常见的100个问题.PDF

Beautiful Soup快速上手指南,从入门到精通(PDF下载)

124个Python案例,完整源代码!

80个Python数据分析必备实战案例.pdf(附代码),完全开放下载

120道Python面试题.pdf ,完全版开放下载

全网最全 Pandas的入门与高级教程全集,都在这里了!(PDF下载)

点击下方“阅读原文”查看更多

使用Python编程实现JWTJSON Web Token)的使用案例
DevSavantX的博客
09-13 305
使用Python编程实现JWTJSON Web Token)的使用案例JSON Web TokenJWT)是一种用于在网络应用间传递身份验证和声明信息的开放标准。它由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。头部包含了令牌的类型和使用的加密算法,载荷包含了用户的声明信息,签名用于验证令牌的真实性和完整性。在Python中,我们可以使用pyjwt轻松实现JWT的生成和验证。下面将介绍如何使用pyjwt创建JWT令牌,并对其进行验证。
Python-pythonjwt一个用来生成和验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成和验证 JSON Web Tokens的模块
Python JSON WEB TOKEN
weixin_44777680的博客
03-16 284
JSON Web Tokens ,是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。 1、jwt认证流程 传统token方式和jwt认证方式有什么差异? 传统token方式 用户登录成功后,服务端生成一个随机的token给用户,并且在服务端(数据或缓存)中保存一份token,以后用户再来访问时需要携带token,服务端接收到token之后,去数据或缓存中进行校验token的是否超时、是否合法 jwt方式 用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需
玩转JWTPyJWT是你的不二之选
最新发布
AIGC搞起
03-17 663
TokenJWT)作为一种轻量级、独立于平台的安全令牌,被广泛用于用户认证、信息传递和API授权。然而,手动处理JWT的生成、解析和验证不仅繁琐,还容易出错。它提供了简单易用的API,支持多种加密算法,能够高效地处理JWT的生成、解析和验证。7519标准,支持多种加密算法(如HS256、RS256等),能够轻松生成、解析和验证JWTPyJWT是一个流行的Python第三方,专门用于处理JSON Web TokenJWT)。在现代Web开发中,身份验证和信息交换是不可或缺的环节。指定允许的加密算法。
PythonJWT
weixin_44454180的博客
12-26 2875
独立的JWT Python itsdangerous JSONWebSignatureSerializer TimedJSONWebSignatureSerializer (可设置有效期) pyjwt https://pyjwt.readthedocs.io/en/latest/ 安装 pip install pyjwt 实例: import jwt encoding_jwt = jwt.encode({'some':'payload'},'secret',algorithm='HS256') pr
PyJWTPython 中的 JSON Web Token 实现
gitblog_00469的博客
09-03 409
PyJWTPython 中的 JSON Web Token 实现 pyjwtJSON Web Token implementation in Python项目地址:https://gitcode.com/gh_mirrors/py/pyjwt PyJWT 是一个用于编码和解码 JSON Web Tokens(JWT)的 Python ,该遵循开放行业标准 RFC 7519,它允许在两方之间...
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3849
一.python 对于 jwt实现, 目前已经存在了一些第三方的, 相信学习过 python 的程序猿都知道 itsdangerous 这个了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
Python PyJWT:简化JSON Web Token的生成与验证
涛哥聊Python
12-07 4565
PyJWT是一个用于生成和验证JWTPython,它实现JWT标准(RFC 7519),提供了简单而强大的API。PyJWT一款强大的Python,为开发者提供了便捷而安全JSON Web TokenJWT)生成和验证工具。通过深入了解PyJWT的核心概念、基本用法和高级选项,探索了其在实际应用中的广泛应用场景。在用户认证方面,PyJWT使得创建安全认证系统变得轻而易举。通过生成JWT,用户可以方便地获得令牌,实现简单而高效的身份验证。
Flask + PyJWT 实现基于Json Web Token的用户认证授权.zip
06-29
Flask是一个轻量级的Web应用框架,使用Python语言编写。它基于Werkzeug WSGI工具包和Jinja2模板引擎。Flask的设计理念是简单、灵活和可扩展,它不会强制开发者遵循特定的方式去组织应用程序,因此给开发者提供了高度...
pyjwtPython中的JSON Web令牌实现
02-05
JSON Web TokenJWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在Python中,`pyjwt`实现JWT...
Python:使用PyJWT实现JSON Web Tokens加密解密
nnn0245的博客
09-22 293
ython:使用PyJWT实现JSON Web Tokens加密解密
PyJWT:探索JSON Web TokenPython
资源摘要信息:"PyJWTJSON Web Token的一个Python实现-python" 知识点: 1. PyJWT的定义和用途: PyJWT是一个Python,用于处理JSON Web Tokens(JWT)。JWT是一种开放标准(RFC 7519),用于在网络应用环境间...
Python web 开发json web token 方式生成token
weixin_30878501的博客
12-01 230
github 上面有提供开源的第三方插件 https://github.com/GetBlimp/django-rest-framework-jwt 中文的使用文档: http://getblimp.github.io/django-rest-framework-jwt/ 第一步: 安装:pip install djangorestframework-jwt 第二步:配...
JWTPython
极地星辰
07-12 325
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 JWTPython前言独立的JWT Python项目封装 前言 独立的JWT Python itsdangerous JSONWebSignatureSerializer TimedJSONWebSignatureSerializer (可设置有效期) pyjwt https://pyjwt.readthedocs.io/en/latest/ 安装 $ pip install pyjwt 用例 >&
python自带jwt使用
yutaixin的博客
11-29 2348
import jwt import time #加密 jwt.encode({payload},key,algorithm) #key:自定义的字节串或字符串 #payload:具体内容自己添加,分为公有声明和私有声明,字典类型 #algorithm:使用的哈希算法 #返回值为字节串 #示例: key = xxx exp = yyy now_time = time.time() token = ...
python JWT
youhebuke225的博客
08-26 458
JSON Web Tokens(JWT)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。JWT 通常用于在用户和服务器之间安全地传输信息,例如用户身份验证信息。在 Python 中,处理 JWT 最常用的之一是PyJWT
pyjwt,一个强大的 Python JWT解析校验
m0_67847535的博客
02-16 2452
JSON Web Tokens(JWT)是一种用于安全传输信息的开放标准(RFC 7519),它可以在网络应用之间传递声明。PyJWTPython中用于创建、解析和验证JWT,它提供了丰富的功能和灵活性,能够轻松地在Python应用程序中实现JWT的各种功能。本文将深入探讨PyJWT的各个方面,包括基本概念、安装、创建、解析和验证JWT,以及高级功能和实际应用场景。
pyjwt,一个强大的 Python
涛哥聊Python
02-25 1056
PyJWT是一个用于创建、解析和验证JSON Web Tokens(JWT)的PythonJWT是一种紧凑且自包含的方式,用于在网络应用之间安全地传输信息。它由三部分组成:头部、载荷和签名。PyJWT能够轻松地处理JWT,并在Python应用程序中实现身份验证和信息传输的安全性。除了使用默认的过期时间外,PyJWT还可以自定义过期时间处理逻辑,以满足特定的需求。例如,可以在解析JWT时检查过期时间,并根据情况进行处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值