[Python]JWT认证与pyjwt包简介

最新推荐文章于 2024-02-16 23:55:56 发布
最新推荐文章于 2024-02-16 23:55:56 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: Python Internet 文章标签: python jwt flask pyjwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwaysrun/article/details/130789403
版权

文章目录

JWT是一种JSON的行业标准,广泛应用在系统的用户认证方面。

JWT认证简介

JWT(JSON Web Tokens),是为了在网络应用环境间传递声明而执行的一种开放的行业标准(RFC7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

构成

JWT就是由三段信息构成,通过点号.连接的一段字符串,如:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoidGVzdCIsImV4cCI6MTY4NDQwOTE4MH0.K-nvXX3kS0I0RKny0J33tuns7SFttYhQwAUtqOS40aw

第一部分为头部(header,base64编码):

  • 声明类型:jwt;
  • 声明加密算法:如’HS256’。
    {
  'typ': 'JWT',
  'alg': 'HS256'   
}

第二部分为载荷(payload,base64编码),存放认证信息、有效期等:

{
    "user_id":"test",
    "exp":1684410152
}

第三部是签名(使用第一部分声明的算法进行HASH处理),Hash内容:

  • header (base64后的)
  • payload (base64后的)
  • secret:加密盐
HMACSHA256(
 base64UrlEncode(header) + "." + base64UrlEncode(payload),
 secret
)

载荷声明

标准中注册的payload声明 (建议但不强制使用) :

  • iss: jwt签发者;
  • sub: jwt所面向的用户;
  • aud: 接收jwt的一方;
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间;过期解码会抛出ExpiredSignatureError异常;
  • nbf: 定义在什么时间之前,该jwt都是不可用的;在此时间之前解码会抛出ImmatureSignatureError异常;
  • iat: jwt的签发时间;在此时间之前解码会抛出InvalidIssuedAtError异常;
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

注意:不要在jwt的payload部分存放敏感信息,该部分是客户端可加码的。

pyjwt

使用前先安装pip install pyjwt

编解码

在pyjwt中通过encode进行编码,通过decode进行解码。

import jwt

JWT_TOKEN_EXPIRE_SECONDS = 3600 * 2  # token有效时间 2小时
JWT_TOKEN_SECRET_SALT = 'salt.2023.05.18'
JWT_TOKEN_ALGORITHM = 'HS256'  # HASH算法


def generate_jwt_token(user: str) -> str:
    """根据用户id生成token"""
    data = {'user_id': user, 'exp': int(time.time()) + JWT_TOKEN_EXPIRE_SECONDS}
    print("generate data:", data)
    jwtToken = jwt.encode(data, JWT_TOKEN_SECRET_SALT, algorithm=JWT_TOKEN_ALGORITHM)
    return jwtToken


def verify_jwt_token(user: str, jwtToken: str) -> bool:
    """验证用户token"""
    data = {'user_id': user}
    try:
        payload = jwt.decode(jwtToken, JWT_TOKEN_SECRET_SALT, algorithms=[JWT_TOKEN_ALGORITHM])
        print("verify:", payload)
        exp = int(payload.pop('exp'))
        if time.time() > exp:
            print('已失效')
            return False
        return data == payload
    except jwt.exceptions.ExpiredSignatureError as ex:
        print('token签名过期:', ex)
    except jwt.PyJWTError as ex:
        print('token解析失败:', ex)

    return False

flask中验证

flask是一个轻量级的web框架,可方便与jwt结合进行验证。

先定义一个修饰器(token通过header来携带):

from flask import Flask, request
from functools import wraps

def request_token_validate(f):
    @wraps(f)
    def toValidate(*args, **kwargs):
        token = request.headers.get('Authorization')
        if not token:
            logger.error("token invalid")
            return {'data': 'Token invalid'}, status.HTTP_401_UNAUTHORIZED

        return f(*args, **kwargs)

    return toValidate

在需要的route上添加验证修饰器:

@app.route("/users", methods=["GET"])
@request_token_validate
def query_models():
    userList = []
    # get user list
    response_data = {"data": userList}
    return response_data, status.HTTP_200_OK
alwaysrun
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是 JWT -- JSON WEB TOKEN
qq_41288473的博客
03-05 220
1.什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2.JWT的由来 要说JWT,我们就应该先来讨论基于token的认证和传统的s
JWT(Json Web Token)工具JwtUtil.java
Daioo 随笔
01-05 3200
前言 原定方案,token 用的DES对称加密,然后为了加上有效期验证,最终改为JWT加密方式了 代码 Maven依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9....
Python用户认证JWT——PyJWT
XerCis的博客
09-08 3943
PyJWTPython编解码JWT的库。JWT是JSON Web Token,基于RFC7519,用于跨域认证 ,便于服务器集群认证。服务器认证后,生成一个JWT返回客户端,之后客户端与服务器通信都要发回这个 JSON,用于身份认证
PyJWT的使用
分享一点有用的知识
06-28 1335
PyJWT的使用
Python操作 JWT(python-jose)、哈希(passlib)、用户验证完整流程
Null的博客
01-18 6660
JWT 即JSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其中含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
Python PyJWT库:简化JSON Web Token的生成与验证
涛哥聊Python
12-07 2522
PyJWT是一个用于生成和验证JWTPython库,它实现了JWT标准(RFC 7519),提供了简单而强大的API。PyJWT是一款强大的Python库,为开发者提供了便捷而安全的JSON Web Token(JWT)生成和验证工具。通过深入了解PyJWT的核心概念、基本用法和高级选项,探索了其在实际应用中的广泛应用场景。在用户认证方面,PyJWT使得创建安全的认证系统变得轻而易举。通过生成JWT,用户可以方便地获得令牌,实现简单而高效的身份验证。
JWT详细介绍 Python实现
有勇气的牛排博客
12-01 2815
本文以python来进行实战演示JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自含的方式,用于以json的方式安全传输信息,并且通过数字签名来保证信息是信任的。jwt可以使用秘钥(HMAC算法)或RSA或ECDSA的公钥/私钥对其进行签名。
详解Django配置JWT认证方式
09-16
接下来,我们需要在`settings.py`中配置Django REST framework以支持JWT认证。在`REST_FRAMEWORK`配置项中,将`JWTAuthentication`添加到`DEFAULT_AUTHENTICATION_CLASSES`列表中: ```python REST_FRAMEWORK = { ...
Django+JWT实现Token认证的实现方法
09-19
在Django中实现JWT认证,我们可以使用PythonPyJWT库。首先,通过`pip install pyjwt`来安装这个库。PyJWT提供了创建、解码JWT的功能。下面是一个简单的使用示例: ```python import jwt encoded_jwt = jwt.encode...
Python库 | PyJWT-1.7.0-py2.py3-none-any.whl
03-23
综上所述,PyJWTPython开发中处理JWT不可或缺的工具,它简化了JWT的生成与验证流程,使得开发者能够轻松地在应用中实现安全的身份验证和授权功能。如果你在Python项目中涉及到用户认证或API权限控制,PyJWT库绝对...
django-jwt-auth:Django的JSON Web令牌认证支持
05-23
该项目是JoséPadilla(也是PyJWT的维护者)创建的( )的分支。 José似乎不再有时间进行django-jwt-auth的工作。 原始代码的新功能: 刷新令牌提供2种中间件Django 2.0以上更好的覆盖范围和装安装使用pip安装.....
python107web服务统一身份认证协议设计.zip
01-18
Python的`PyJWT`库可以帮助生成和验证JWT。 在这个压缩中,可能含了一个或多个示例,演示了如何使用Python实现这些协议中的一个或多个。通过解压并运行这些源代码,我们可以学习到如何在实际项目中设置和管理...
java如何利用JWT和注解,自定义参数的方式优雅实现小程序用户Id管理
猪大肠的博客
08-22 1941
在我们的开发项目中,经常需要用到用户ID,比如在小程序商城系统中,我们将商品加入购物车,这时前端就需要发送请求,携带上用户的ID。基本上很多种请求操作都需要携带用户ID,如果每个请求都需要我们往data中添加id的话,那样需要写很多重复代码,并且代码也不美观;所以我们可以利用JWT跟注解的方式来实现; 一、编写token管理器 1.1、导入jwt 在maven中加入该依赖 <dependency> <groupId>com.auth0<
PyJWT安装和用法示例
偷一个月亮
04-24 3330
0x01 简介 PyJWT是一个Python库,可用于编码和解码JSON Web令牌(JWT)。JWT是一种开放的行业标准(RFC 7519),用于在两方之间安全地表示索赔。 0x02 安装 pip3 install pyjwt 0x03 用法示例 jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') jwt.decode(...
PyJWT 详解
愿你饱经冷暖,仍保纯真
08-24 9546
1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/qq_15766181/article/details/80707923 https://blog.csdn.net/u011277123/article/details/78918390 ...
pyjwt,一个强大的 Python JWT解析校验库!
最新发布
m0_67847535的博客
02-16 1555
JSON Web Tokens(JWT)是一种用于安全传输信息的开放标准(RFC 7519),它可以在网络应用之间传递声明。PyJWTPython中用于创建、解析和验证JWT的库,它提供了丰富的功能和灵活性,能够轻松地在Python应用程序中实现JWT的各种功能。本文将深入探讨PyJWT库的各个方面,括基本概念、安装、创建、解析和验证JWT,以及高级功能和实际应用场景。
pyjwt,一个强大的 Python 库!
轻编程的博客
02-16 1271
PyJWT是一个用于创建、解析和验证JSON Web Tokens(JWT)的Python库。JWT是一种紧凑且自含的方式,用于在网络应用之间安全地传输信息。它由三部分组成:头部、载荷和签名。PyJWT库能够轻松地处理JWT,并在Python应用程序中实现身份验证和信息传输的安全性。除了使用默认的过期时间外,PyJWT还可以自定义过期时间处理逻辑,以满足特定的需求。例如,可以在解析JWT时检查过期时间,并根据情况进行处理。
PythonJWT
weixin_44454180的博客
12-26 2819
独立的JWT Python库 itsdangerous JSONWebSignatureSerializer TimedJSONWebSignatureSerializer (可设置有效期) pyjwt https://pyjwt.readthedocs.io/en/latest/ 安装 pip install pyjwt 实例: import jwt encoding_jwt = jwt.encode({'some':'payload'},'secret',algorithm='HS256') pr
python实现jwt(django,flask
帅泽泽的博客
03-16 1689
本文分别基于python及其框架django和flask框架实例实现jwt 1.python实现jwt 安装 pip3 install pyjwt 实现 import jwt import datetime from jwt import exceptions SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' de...
pythonjwt使用
09-26
PyJWT是一个用于编码和解码JWT(JSON Web Tokens)的Python库,它可以用于实现基于Token的用户认证授权。你可以通过使用pip install PyJWT命令来安装PyJWT库。在使用PyJWT时,你需要导入jwt模块和datetime模块,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值