JsonWebToken:pyjwt使用

最新推荐文章于 2024-02-16 08:46:04 发布
最新推荐文章于 2024-02-16 08:46:04 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Python 文章标签: jwt python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a232884c/article/details/118853420
版权

JsonWebToken:pyjwt使用

jwt官网:https://jwt.io/introduction(搜索jwt)

jwt认证过程:
在这里插入图片描述
单点登录是目前广泛使用JWT的一个特性

JSON Web Token structure

Header
Payload
Signature
形如:xxxxx.yyyyy.zzzzz

Header形如:
{
“alg”: “HS256”,
“typ”: “JWT”
}

第1段:Base64Url 加密

Payload形如:

There are three types of claims(声明): registered, public, and private claims.
Registered claims: 有用的可交互的声明,比如: iss (issuer,发行者), exp (expiration time,到期时间), sub (subject,主题), aud (audience,受众), and others.
{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}
可以存放如:id、exp(过期时间)等参数

Signature形如:

For example if you want to use the HMAC SHA256 algorithm, the signature will be created in the following way:

HMACSHA256(
base64UrlEncode(header) + “.” +
base64UrlEncode(payload),
secret)

只要加盐的盐不暴露,后端拿到前端传过来的token,后端根据第1和第2段来加盐加密,和前端传过来的第3段对比,相等即验证成功

注意:base64url加密是先做base64加密,然后再将 - 替代 + 及 _ 替代 /

python使用jwt
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
生成不重复的随机数,可以使用微秒级时间戳生成

time.time()获取的是秒级的时间戳,小数点后保留6位,最多可以保留到微秒级

import time
x = lambda : int(time.time()* 1000*1000)

安装pyjwt
在这里插入图片描述
Successfully installed pyjwt-2.1.0

pyjwt官方文档

https://pyjwt.readthedocs.io/en/stable/

pyjwt使用

import jwt
import datetime
from jwt import exceptions
import time
import uuid


# uuid.uuid1()获得的是uuid.UUID对象,盐要转换成str,str长度为36
# uuid.uuid1():基于MAC地址,时间戳,随机数来生成唯一的uuid,可以保证全球范围内的唯一性
def create_token():
    SALT = str(uuid.uuid1())
    print("盐:", SALT)
    globals()["salt"] = SALT
    # 构造header
    headers = {
        'alg': "HS512",
        'typ': "JWT"
    }
    # 构造payload
    fmt = "%Y-%m-%d %H:%M:%S"
    # 过期时间(北京时间)
    # expiration_time_str = (datetime.datetime.now() + datetime.timedelta(minutes=2)) \
    #     .strftime(fmt)
    # 过期时间戳,time.mktime():float
    # exp_timestamp = time.mktime(time.strptime(expiration_time_str, fmt))
    # now_time = datetime.datetime.strptime(expiration_time_str, fmt)
    # print("now_time:", now_time)
    # print("exp_timestamp", exp_timestamp)
    utc_now_str = (datetime.datetime.utcnow() + datetime.timedelta(minutes=20)).strftime(fmt)
    utc_now = datetime.datetime.strptime(utc_now_str, fmt)
    payload = {
        'sub': "x" + str(int(time.time())),
        'exp': utc_now
        # 'exp': exp_timestamp
    }
    print("payload", payload)
    result = jwt.encode(headers=headers, payload=payload, key=SALT, algorithm="HS512")
    return result

注意:pyjwt的payload中,过期时间必须是utc时间(官方文档中说明需要使用utc),而且直接传入datetime时间对象即可,或者传入时间戳也可以(秒级),然后在使用jwt.decode方法获取payload时,就可以拿到准确的过期时间戳(时间戳:秒级,10位,毫秒级是13位,jwt.decode是获取秒级的时间戳),如果在使用jwt.encode时,使用的是北京时间的过期日期或时间戳,那么jwt.decode获取的时间戳依旧会增加8小时,就与自己原本的需求不相符合了

一般在认证成功后,把jwt生成的token返回给用户,以后用户再次访问时候需要携带token,此时jwt需要对token进行超时合法性校验。

获取token之后,会按照以下步骤进行校验:

将token分割成 header_segment、payload_segment、crypto_segment 三部分

header_segment, payload_segment, crypto_segment = token.split(".")

对第一部分header_segment进行base64url解密,得到header

对第二部分payload_segment进行base64url解密,得到payload

对第三部分crypto_segment进行base64url解密,得到signature

对第三部分signature部分数据进行合法性校验

拼接前两段密文,即:signing_input
从第一段明文中获取加密算法,默认:HS256
使用 算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较。

def check_token(token):
    try:
        verified_payload = jwt.decode(token, globals()["salt"], algorithms="HS512")
        return verified_payload
    except:
        pass

if __name__ == '__main__':
    t = create_token()
    print(t)
    a = check_token(t)
    print(a)
    print("过期时间", datetime.datetime.fromtimestamp(a['exp']))

# 结果
# 在2021-07-18 15:36执行,过期时间+20mins,所以是2021-07-18 15:56:21: d916dac1-e79a-11eb-a95c-14f6d8e4b681
payload {'sub': 'x1626593781', 'exp': datetime.datetime(2021, 7, 18, 7, 56, 21)}
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ4MTYyNjU5Mzc4MSIsImV4cCI6MTYyNjU5NDk4MX0.y3a8dfHDyRurCFxPv3bu8407YBJsT02ZoeQIgl_8fo-tM3-2yqfZjiv9XCsEVmnXxCXIPy-j2zv5BJrf5gi3Lw
{'sub': 'x1626593781', 'exp': 1626594981}
过期时间 2021-07-18 15:56:21

完善token的校验

1 超过过期时间,但是校验token的盐没有问题,token也没有被修改过,就会报错:jwt.exceptions.ExpiredSignatureError: Signature has expired(token失效)

2 如果盐有问题,或者盐没问题,但是token被修改过,都会报错:jwt.exceptions.InvalidSignatureError: Signature verification failed(非法token)

tips:pyjwt校验时,如果同时存在上述1和2的错误,即签名不对,并且还过期了,优先提示的是 jwt.exceptions.InvalidSignatureError,签名错误,而非token过期

3 校验的token的格式不对:

3.1 前端传的token是"null",或者空字符串,或者"1.2"等等,只要不满足使用split(".")切割能够拿到3个segment,都会报错:jwt.exceptions.DecodeError: Not enough segments

3.2 前端传的token满足split(".")切割能够拿到3个segment,但是是乱写的,比如:"1.2.3"等等,会报错:jwt.exceptions.DecodeError: Invalid header padding,Invalid crypto padding等等,哪怕是1和2部分格式正确了,但是3不对(后端使用自身知晓的盐进行校验,和前端返回来的使用过盐拿到的3对不上,报错jwt.exceptions.InvalidSignatureError,签名无效)

查看源码,大致有如下的异常:
在这里插入图片描述
修改后的token校验:

def check_token(token):
    try:
        verified_payload = jwt.decode(token, globals()["salt"], algorithms="HS512")
        return verified_payload
    except exceptions.InvalidSignatureError:
        print({"code": "601", "error": "非法token!"})
    except exceptions.ExpiredSignatureError:
        print({"code": "602", "error": "token失效!"})
    except exceptions.DecodeError:
        print({"code": "603", "error": "token解析异常!"})
    except Exception as e:
        print({"code": "604", "error": "token错误!", "msg": str(e)})
小徐也要努力鸭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PyJWT 项目
08-24
PyJWT项目,使用pycharm导入资源,配置好运行环境,即可运行该项目。
python PyJWT 使用
极客点儿
01-16 9289
在程序开发中,用户认证授权是一个绕不过的重难点。以前的开发模式下,cookie 和 session 认证是主流,随着前后端分离的趋势,基于 Token 的认证方式成为主流,而 JWT 是基于 Token 认证方式的一种机制,是实现单点登录认证的一种有效方法 PyJWT 是一个用来编码和解码 JWTJSON Web Tokens) 的 Python 库,也可以用在 Flask 。,PyJWT 用来...
PyJWT 使用
dehaili6776的专栏
12-19 268
最近要用 Falsk 开发一个大点的后端,为了安全考虑,弃用传统的Cookie验证。转用JWT。 其实 Falsk 有一个 Falsk-JWT 但是我觉得封装的太高,还是喜欢通用的 PyJWTJWT官网 https://jwt.io/ 安装 pip install PyJWT 项目文档(英文) https://pyjwt.readthedocs.i...
PyJwt
qq_27664967的博客
03-16 337
pyjwt pyjwt是一个Python库,可用于编码和解码JSON Web令牌 安装 pip install pyjwt 用法示例 >>> import jwt >>> encoded_jwt = jwt.encode({"some": "payload","exp": datetime.datetime.utcnow() + datetime.timedelta(seconds=30)}, "secret", algorithm="HS256") >>&
pyjwt初学者简单理解
douding_798的博客
08-24 205
适配更多移动端。 针对浏览器同源机制,支持跨站传输 json-web-token token = header.payload.signature header:声明编码格式 payload:保存业务数据和有效期(格林威治时间) signature:签名。把header跟payload,以及secret-key进行加密,默认HS256(sha256)算法 python中的哈希模块:hashlib 哈希的作用之一:用来去重 ...
jsonwebtoken:锈中的JWT lib
02-05
jsonwebtoken:锈中的JWT lib
hapi-jsonwebtoken:使用身份验证插件的Hapi.js v17 +的JsonWebToken实现
05-15
hapi-jsonwebtoken Hapi.js v17 +的JsonWebToken实现,带有身份验证插件和服务器方法。 该库为每种身份验证策略提供了一种简单的方法,即使用一个配置对象将集成到您的代码中。 安装 $ npm install --save hapi-...
node-jsonwebtoken:node.js的JsonWebToken实现http:self-issued.infodocsdraft-ietf-oauth-json-web-token.html
02-20
jsonwebtoken 建造 相依性 的实现。 这是针对draft-ietf-oauth-json-web-token-08 。 它利用了 安装 $ npm install jsonwebtoken 迁移说明 用法 jwt.sign(有效载荷,secretOrPrivateKey,[选项,回调]) (异步...
jsonwebtoken-min:jsonwebtoken(https的一文件版本
05-07
超级紧凑的node-jsonwebtoken没有依赖项一文件版本的jsonwebtoken( ),而对像Parse.com这样的节点型服务器没有依赖性版本1.0.0安装只需将jwt.js包含在您的代码中var jws = require ( './jwt.js' ) ;用法与相同:) ...
egg-jsonwebtoken-demo:在egg使用egg-jwt+ioredis 实现token校验
04-29
jsonwebtoken-demo 快速开始 有关更多详细信息,请参见 。 发展 $ npm i $ npm run dev $ open http://localhost:7001/ 部署 $ npm start $ npm stop npm脚本 使用npm run lint检查代码样式。 使用npm test运行单元...
PyJWTJSON Web Token的一个Python实现-python
06-18
PyJWTJSON Web Token的一个Python实现 PyJWT RFC 7519 的 Python 实现。原始实现由 @progrium 编写。 安装 $ pip install PyJWT 用法 >>> 导入 jwt >>> 编码 = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicZb21lIjoicZGF5J9tG9tOvZOcZF5J9tG9tOvZOcF5J9tG9tOvZOvZF5J9tG9tOvZF5J9tG9tZOO jwt.decode(encoded, 'secret', algorithm=['HS256']) {'some': 'payload'} 文档 在 https://pyjwt.readthedocs.io/en/latest/ 在线查看完整文档克隆后可以从项目根目录运行测试: $ python setup.py test
PyJWT生成token
08-03
使用Pyjwt在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以查看本人博客https://blog.csdn.net/lwuis_/article/details/107771954。
pyjwt,一个强大的 Python 库!
最新发布
轻编程的博客
02-16 1126
PyJWT是一个用于创建、解析和验证JSON Web Tokens(JWT)的Python库。JWT是一种紧凑且自包含的方式,用于在网络应用之间安全地传输信息。它由三部分组成:头部、载荷和签名。PyJWT库能够轻松地处理JWT,并在Python应用程序中实现身份验证和信息传输的安全性。除了使用默认的过期时间外,PyJWT还可以自定义过期时间处理逻辑,以满足特定的需求。例如,可以在解析JWT时检查过期时间,并根据情况进行处理。
PyJwt使用
weixin_43950678的博客
11-07 2107
介绍 官网介绍https://jwt.io/introduction/ 什么是JSON Web令牌? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑而独立的方法,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密
pyjwt-用于实现JSON Web令牌的python
asd123_1_的博客
12-16 239
pyjwt是用于实现JSON Web令牌的python库。 FAQ 1、如何从x509证书中提取公钥/私钥? load_pem_x509_certificate()from的功能cryptography可用于从PEM格式的x509证书中提取公钥或私钥。 # Python 2 from cryptography.x509 import load_pem_x509_certificate from cryptography.hazmat.backends import...
pyjwt API
Claroja
08-12 132
import jwt key = 'secret' encoded = jwt.encode({'some': 'payload'}, key, algorithm='HS256') #在网络传输中这里需要decode 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg' decoded = jwt.decode(encoded, key, alg
PyJWT 详解
愿你饱经冷暖,仍保纯真
08-24 9530
1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/qq_15766181/article/details/80707923 https://blog.csdn.net/u011277123/article/details/78918390 ...
Pyjwt ,python jwt ,jwt
weixin_30399871的博客
01-04 412
pip install Pyjwt 不错的jwt 文章: https://www.cnblogs.com/wayneiscoming/p/7513487.html Sampleimport jwt import time secret="b'\x7d\xef\x87\xd5\xf8\xbb\xff\xfc\x80\x91\x06\x91\xfd\xfc\...
PYJWT使用
qq_36606793的博客
01-04 422
PYJWT使用HS256编码和解码令牌 使用HS256编码和解码令牌 import jwt import datetime dic = { 'exp': datetime.datetime.now() + datetime.timedelta(days=1000), # JWT的过期时间 'iat': datetime.datetime.now(), # JWT的签发时间 'iss': 'lianzong', # 签名 "aud": ["urn:foo", "ur
Failure to transfer io.jsonwebtoken:jjwt:pom:0.9.1 from http://maven.aliyun.com/nexus/content/groups/public was cached in the local repository, resolution will not be reattempted until the update interval of nexus-aliyun has elapsed or updates are forced. Original error: Could not transfer artifact io.jsonwebtoken:jjwt:pom:0.9.1 from/to nexus-aliyun (http://maven.aliyun.com/nexus/content/groups/public): maven.aliyun.com
07-23
这个问题可能是由于Maven在尝试从阿里云的Maven仓库下载io.jsonwebtoken:jjwt:pom:0.9.1时出现了错误。错误消息表明该文件在本地仓库中已经被缓存了,并且在更新间隔期内不会再次尝试下载,除非强制更新或等待更新间隔过去。 要解决这个问题,你可以尝试以下几种方法: 1. 强制更新:使用Maven命令`-U`或`--update-snapshots`来强制更新所有依赖项。例如:`mvn clean install -U`。 2. 清除本地仓库:删除本地Maven仓库中的相关缓存文件,然后重新构建项目。你可以在Maven的设置文件(settings.xml)中找到本地仓库的位置。默认情况下,它位于用户目录下的`.m2`文件夹中。 3. 检查网络连接:确保你的网络连接正常,并且可以访问阿里云的Maven仓库。有时候网络问题可能导致无法下载依赖项。 4. 更换镜像源:尝试使用其他可用的Maven镜像源来替代阿里云的源。你可以在Maven的设置文件中添加其他镜像源,并将其设置为首选源。 希望这些方法能够帮助你解决问题。如果问题仍然存在,请提供更多的错误信息和项目配置,以便我们能够更好地帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值