jwt的解密和RSA签名验证

已于 2023-07-20 14:39:49 修改
阅读量4k 收藏 5
点赞数 2
分类专栏: 技术 文章标签: python jwt rsa web service base64
于 2020-04-26 18:46:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boweiqiang/article/details/105774631
版权

在读本文之前需要了解的知识点:

PKI体系:Public Key Infrastructure

公钥:用来加密和验签(验签的过程其实就是用公钥解密出签名内容,与原签名内容对比是否一致)

私钥:用来解密和签名(签名的过程其实就是用私钥加密签名内容,然后将签名与签名内容一同发给对方)

关于加密与签名的区别,请参考我的另外一篇博文:接口安全:谈谈加密与签名的区别_签名和加密的区别_boweiqiang的博客-CSDN博客

为了 理解jwt的验签过程,自己写的测试验证代码如下:

#!/usr/bin/env python
# -*- encoding: utf-8 -*-
'''
@File : jwt_test.py
@Contact : boweiqiang@163.com
@MTime : 2020-04-26 11:32
@Author: boweiqiang
@Version: 1.0
@Desciption:
jwt的签名算法JWT 的签名算法有三种:
1.对称加密HMAC【哈希消息验证码】  HS256/HS384/HS512
2.非对称加密RSASSA【RSA签名算法】RS256/RS384/RS512
3.ECDSA【椭圆曲线数据签名算法】 ES256/ES384/ES512,RSA签名
这里实验的是RSA签名和验签的过程
注意:本文中用的jwt是:https://pypi.org/project/jwt/,安装方法为:pip3 install jwt
注意与python-jwt区别:https://pypi.org/project/python-jwt/,安装方法为:pip install python_jwt
'''
import time

import base64
from Crypto.PublicKey import RSA
from jwt import JWT, jwk_from_pem

print('-----------生成RSA密钥对--------------')
rsa_key = RSA.generate(1024)
rsa_private_key = rsa_key.export_key()
rsa_public_key = rsa_key.public_key().export_key()
print(rsa_private_key.decode('utf-8'))
print(rsa_public_key.decode('utf-8'))

print('-----------生成jwt--------------')
exp_time = int(time.time() + 60)
payload_origin = {'userId': 123456, 'name': 'mogui', 'exp': exp_time}
jwt_pri_key = jwk_from_pem(rsa_private_key)

jwt = JWT()
jwt_token = jwt.encode(payload_origin, jwt_pri_key, alg='RS256', optional_headers={'ent': 'esign'})
print('token:', jwt_token)

# # 事先准备好经过rsa私钥加签过的jwt token
# jwt_token = 'eyJhbGciOiJSUzI1NiJ9.eyJvcGVyYXRpb25Vc2VySWQiOiJlZTgzMjYyYThkNGIxMWU3YTdiMzZjOTJiZjMxNjA3YiIsInBob25lIjoiMTU3NTcxNjA1MzEiLCJsb2dpbk5hbWUiOiIxNTc1NzE2MDUzMSIsIm5hbWUiOiLmtYvor5XmlLkxIiwiZXhwIjoxNTg3NzA5OTY3LCJyb2xlTmFtZXMiOiJjY-i_kOiQpeS6uuWRmCzku5PnrqHlkZgs5ZWG5ZOB566h55CG5ZGYLOacuuaehOi0n-i0o-S6uizmtYvor5XlkZgs57O757uf566h55CG5ZGYLOiuouWNleeuoeeQhizotYTmlpnnrqHnkIblkZgifQ.Ugzrowz1TD38IK5yuHAxoCURGxByBm0Ep9JtvitijhFw3MGqooaRDxKIOUk6aAFVuV6zfpY7y23oCk3-KsBvVR1oVLIAWSxiRJlVs-sne2vTEplH2xuzQv2N1HuAGvrbYlhMu2rIqitP7D5xQjVruBTmalO9TZUgsc8ONIMBZH4'
# print('token:', jwt_token)
# # 将事先准备好的公钥标准化
# rsa_public_key_str = 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC84nyOnK4BGDuk/EsKNxgTjoeLqSmHWR++H0VgLdfk+as8tuBLD0HSv42wYWfBi+ICqwo+ylHFD9TM6Xx2J2ojxO6uHirCgmsdD9WzCAqannNU3YuNjFYBJI+b7N23IaAfB4ZRQKr4h0ZO2f4ruW8JUUSbMZunhtBTErurRfqK7QIDAQAB'
# if isinstance(rsa_public_key_str, str):
#     rsa_public_key = rsa_public_key_str.encode()
# if not rsa_public_key.startswith(b'-'):
#     rsa_public_key = b'-----BEGIN PUBLIC KEY-----\n' + rsa_public_key + b'\n-----END PUBLIC KEY-----'

print('-----------base64解密jwt中的header和payload--------------')
# 知识点:jwt token分为三个部分,用.分隔:header, payload, signature
jwt_token_parts = jwt_token.split('.')
header = jwt_token_parts[0]
payload = jwt_token_parts[1]
signature = jwt_token_parts[2]
print('header:', header)
print('payload:', payload)
print('sign:', signature)

'''
知识点:jwt三个部分其实都是base64加密的字符串,并且是urlsafe的base64加密字符串
知识点:什么是urlsafe的base64?标准的Base64并不适合直接放在URL里传输,因为URL编码器会把标准Base64中的“/”和“+”字符变为形如“%XX”的形式,而这些“%”号在存入数据库时还需要再进行转换,因为ANSI SQL中已将“%”号用作通配符。
为解决此问题,可采用一种用于URL的改进Base64编码,它去除了在末尾填充'='号,并将标准Base64中的“+”和“/”分别改成了“-”和“_”,这样就免去了在URL编解码和数据库存储时所要作的转换,避免了编码信息长度在此过程中的增加,并统一了数据库、表单等处对象标识符的格式。
如果要解密urlsafe的base64加密字符串,可以用python系统lib已经封装好的urlsafe_b64decode方法,当然我们也可以先转成标准的base64,再decode
'''

# python中有urlsafe_b64decode方法,里面封装了对从-到+,从_到/的转换
# jwt中把=给trim了,需要重新补回来,否则base64解码时会报错incorrect padding
header_padded = header + '=' * (4 - len(header) % 4)
payload_padded = payload + '=' * (4 - len(header) % 4)
print('padded header:', header_padded)
print('padded payload:', payload_padded)

text_header = base64.urlsafe_b64decode(header_padded)
text_payload = base64.urlsafe_b64decode(payload_padded)
print('header_text:', text_header.decode('utf-8'))
print('payload_text:', text_payload.decode('utf-8'))

print('--------------自行写将urlsafe的base64字符串转化为标准base64编码------------------')
# 自行写代码将urlsafe的base64字符串转化为标准base64编码
standard_base64_str_header = header.replace('-', '+').replace('_', '/') + '=' * (4 - len(header) % 4)
print('header_std:', standard_base64_str_header)

standard_base64_str_payload = payload.replace('-', '+').replace('_', '/') + '=' * (4 - len(payload) % 4)
print('payload_std', standard_base64_str_payload)
print('--------------------------------')

print('--------------行base64解密,在不验签的情况下就可以解密出明文,所以jwt作用不是防泄密,而是防篡改-------------------')
# 进行base64解密,在不验签的情况下就可以解密出明文,所以jwt作用不是防泄密,而是防篡改
text_header = base64.b64decode(standard_base64_str_header.encode('utf-8'))
print('header_text:', text_header.decode('utf-8'))

text_payload = base64.b64decode(standard_base64_str_payload.encode('utf-8'))
print('payload_text:', text_payload.decode('utf-8'))
print('--------------------------------')

print('-----------用公钥验证jwt--------------')

print('1. 用jwt库里封装好的方法解密和验签,如果验证失败,会抛出异常')
rsa_public_key_obj = RSA.importKey(rsa_public_key)
jwt_pub_key = jwk_from_pem(rsa_public_key_obj.export_key())
jwt_pub_key = jwk_from_pem(rsa_public_key)

try:
    payload_json = jwt.decode(jwt_token, key=jwt_pub_key, do_time_check=True)
    # payload_json = jwt.decode(jwt_token, key=jwt_pub_key, do_time_check=False)
    print('验签成功:', payload_json)
except Exception as e:
    print('验签失败:', e)

print('2. 自行用RSA公钥进行验证,如果验证失败,结果是False')
from Crypto import Hash
from Crypto.Hash import SHA256
from Crypto.Signature import PKCS1_v1_5

# 用utf-8和ascii都可以,base64中没有双字节的字符,所以encode出来的都是一样的
message = '{}.{}'.format(header, payload)
print('message(header.payload):', message)
print('signature:', signature)
message_bytes = message.encode('ascii')
# signature_bytes = base64.urlsafe_b64decode(signature.encode('ascii') + b'=' * (4 - len(signature) % 4))
signature_bytes = base64.urlsafe_b64decode((signature + '=' * (4 - len(signature) % 4)).encode('ascii'))

rsa_public_key_obj = RSA.importKey(rsa_public_key)
verifier = PKCS1_v1_5.new(rsa_public_key_obj)
message_hash = Hash.SHA256.new(message_bytes)
print('message_hash hex:', message_hash.hexdigest())
verify_result = verifier.verify(message_hash, signature_bytes)
print('RSA验签结果:', verify_result)

boweiqiang
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JWT使用公钥解密
silenceyobbo的博客
07-15 8360
添加JWT工具包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.5</version> </dependency> <dependency> ...
JWT加密解密
weixin_49588744的博客
04-16 752
加密方式一般分为两种:对称加密与非对称加密 对称加密:秘钥数量为一个 优点:加密效率高、对方使用相同的秘钥解密 缺点:不安全(相对于非对称加密) 非对称加密:秘钥数量为两个(公钥和私钥) 公钥:任何人都可以持有,一般用于加密作用 私钥:只有自己持有,一般用于数字签名签名的数据证明是私钥持有人发送来的。私钥签名的数据,私钥持有人无法否认自己发送的消息 优点:安全线高 缺点:公钥加密的数据只有对应的私钥才能解开、加密效率低一般不做大数据加密使用 对称加密与非对称加密使用情况: 一般配合对称加密使用,建立之初先
jwt解密
神zhi殇的博客
11-02 6464
文章目录认识JWT什么是JWTJWT的原理HeaderPayloadSignatureJWT解码 认识JWT 什么是JWTJWT全称是JSON Web Token是一个开放标准(RFC 7519),目前最流行的跨域身份验证解决方案。 它定义了一种经过加密的格式,放在json对象在请求中传递,用于验证请求是否被允许访问。 JWT的原理 服务器经过认证以后,会生成加密串返回前台,结构如下图: JSON Web Token由三部分组成,它们之间用.连接。 * Header 头部 * Payload
JWT登录校验流程
m0_73966521的博客
08-03 1080
但是传统的会话技术对用户的掌控能力更强,就是我可以直接在我的数据库中将session设置为失效,你直接就登录不了,不过对比于jwt,我们必须会设置一个过期时间,只有等过期时间过去了,你才不能登录。就是当你登录成功之后,系统会给你下发一个令牌,这个令牌肯定会比较复杂,拼接你的账号密码这些然后经过加密算法算出来一个字符串三个部分,三个部分就是我上面说的请求头,负载,签名。记住这个我们需要判断,这个路径是不是登录方法,如果是登录方法,我们都还没给他令牌,肯定。
JWT的加密解密
weixin_53520295的博客
06-13 2069
JWT的加密解密
基于.net4.0实现IdentityServer4客户端JWT解密
10-17
综上所述,本知识点讲述了在.NET 4.0环境下,如何手动实现JWT解密,以及实现过程中所涉及的关键技术和步骤。这一过程不仅需要对JWT结构有清晰的理解,还要熟悉.NET环境中相关的加密和解密技术,包括对公钥的处理和...
JwtRsa使用
weixin_41245089的博客
03-05 8935
1.jwt和使用Rsa加密: JWT的token包含三部分数据: Header:头部,通常头部有两部分信息: - 声明类型type,这里是JWT(type=jwt) - 加密算法,自定义(rs256/base64/hs256) 我们会对头部进...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
这个信息可以被验证和信任,因为它是数字签名的。JWT 在 OAuth 2.0 中扮演了重要的角色,尤其是在授权令牌的生成和验证上。 OAuth 2.0 是一个授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。OAuth ...
JWT+RSA 登录 注销 续租 请求 流程图 + 代码
10-28
JWT(JSON Web Tokens)与RSA是一种常见的用于身份验证和授权的技术组合。JWT是轻量级的身份验证机制,而RSA是一种非对称加密算法,用于确保数据传输的安全性。在这个场景中,JWT+RSA通常用于构建安全的登录、注销、...
基于SpringBoot+SpringSecurity+JWT+RSA加密算法签名 Auth权限认证搭建教程
m0_47224541的博客
11-19 1891
基于SpringBoot+SpringSecurity+JWT+RSA加密算法签名 Auth权限认证 搭建教程 一名本科在读软件工程大三学生 —— Liujian 微笑面对生活,生活也会微笑面对你。 目录(文章过长 使用 Ctrl+F 搜索): 1、导入jar包(maven构件项目导入其坐标) 2、创建数据库、数据表及数据库连接URL(JDBC - MySQL) 3、创建实体类User、JwtUser及Dao层 4、实现UserDetailsService接口 5、编写RSA工具类 6、Token工具
破解JWT令牌
cullen2012的博客
09-11 2842
For Educational Purposes Only! Intended for 仅用于教育目的! 旨在用于Hackers Penetration testers.黑客渗透测试人员。 问题 (Issue) The algorithm HS256 uses the secret key to sign and verify each message. The algorithm RS...
JWT使用RSA解密
底层码农
08-07 4596
JWT使用RSA解密
解密JWT(JSON Web Token):深入剖析与全面解读
m0_72410588的博客
07-25 3114
JWT是一种开放标准(RFC 7519),用于在各个应用之间安全地传输信息。它以简洁、自包含的方式在用户和服务器之间传递被声明的信息。JWT通常用于身份验证和信息交换,尤其在分布式系统中广泛使用。
JWT解密:探秘令牌魔法与Java的完美交互
学而时习之,不亦说乎?温故而知新,可以为师矣!
12-19 1908
本文将深入研究JWT(JSON Web Token)以及其与Java的紧密整合。我们将揭示JWT的工作原理、为什么它成为身份验证的瑞士军刀,以及在Java中如何轻松使用JWT实现安全、高效的身份验证和授权。
JWT的编码以及解码
qq_59066017的博客
10-27 1659
原文链接:https://blog.csdn.net/m0_60489526/article/details/120118912。//获取签名秘钥,并采取HS256的加密算法进行签名。// 使用基本型的编码器和解码器 对数据进行编码和解码。//根据name和type取出相应的value。//解析token中的数据载体部分。* 秘钥用于signature(签名)部分的加密和解密。// 5.对编码后的字符串进行解码。// 6.打印输出解码后的字符串。// 3.输出编码后的字符串。// 2.对字符串进行编码。
JWT的加密解密原理,token登出、改密失效、自动续期
热门推荐
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
JWT 介绍和使用,对称加密,非对称加密,RSA, Tocken
weixin_44917365的博客
04-06 1824
有状态登录:服务器当中记录每一次的登录信息,从而根据客户端发送的数据来判断登录过来的用户是否合法。无状态登录:服务器当中不记录用户的登录信息,而是将登录成功后的合法用户信息以token方式保存到客户端当中,用户每次请求都携带token信息。
JSON Web Tokens (JWT) 在线解密工具
weixin_44090040的博客
10-11 1102
JSON Web Tokens (JWT) 在线解密
jwt rsa256加解密
最新发布
08-20
JWT(Json Web Tokens)是一种开放标准,用于在各方之间安全地传输信息,特别适合于无状态的API通信。JWT通常包含三个部分:头部(Header)、载荷(Payload)和签名(Signature),其中签名使用了RS256(一种基于RSA算法的加密哈希函数)。 **加解密过程**: 1. **生成JWT**: 服务端将需要传递的数据(如用户ID、过期时间等)放入payload,并使用私钥对整个JSON结构进行编码,然后使用HS256(HMAC SHA-256)对编码后的字符串做签名,最后得到完整的JWT字符串。 2. **验证JWT**: 客户端收到JWT后,首先会尝试解析头部和签名。客户端通常存储公钥,使用公钥解码签名验证数据未被篡改。如果验证通过,再用相同的方式,用客户端已知的私钥(或服务端发送给客户端的密钥)去解码payload。 3. **解密payload**: 使用私钥解码payload,获取原始数据,客户端和服务端就可以根据这些数据进行交互。 **相关问题--:** 1. JWTRSA的区别是什么? 2. 为什么选择使用RS256而不是其他哈希算法? 3. 在JWT验证过程中,如何处理私钥的安全管理?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值