JWT 到底是个什么串,里面包含了什么信息

13 篇文章 0 订阅

在开始之前先对 JWT 做个简单介绍:from: https://www.jianshu.com/p/164c3ff9033f
JWT生成的Token是一个用两个点(.)分割的长字符串;
分割成的三部分分别是Header头部,Payload负载,Signature签名 即 Header.Payload.Signature

JWT是不加密的,任何人都可以读的到其中的信息,其中第一部分 Header 和第二部分 Payload 只是对原始输入的信息转成了base64编码,第三部分Signature是用header+payload+secret_key进行加密的结果。
因为JWT不会对结果进行加密,所以不要保存敏感信息在Header或者Payload中,
服务端也主要依靠最后的 Signature 来验证Token是否有效以及有无被篡改。
可以直接用 base64 对 Header 和 Payload 进行解码得到相应的信息。

服务端在有秘钥的情况下可以直接对JWT生成的Token进行解密,解密成功说明Token正确,且数据没有被篡改。
当然我们前文说了JWT并没有对数据进行加密,如果没有secret_key也可以直接获取到Payload里边的数据,只是缺少了签名算法无法验证数据是否准确,pyjwt也提供了直接获取Payload数据的方法,如下

>>> 这里传了三部分内容给 JWT 的 encode 方法
>>> 第一部分是一个Json对象,称为Payload,主要用来存放有效的信息,例如用户名,过期时间等等所有你想要传递的信息
>>> 第二部分是一个秘钥字串,这个秘钥主要用在下文Signature签名中,服务端用来校验Token合法性,这个秘钥只有服务端知道,不能泄露
>>> 第三部分指定了Signature签名的算法
>>>
>>>
>>> import jwt
>>> import base64
>>>
>>> payload={"token_type":"access","user_id":"3","jti":"fba2ca559c214ada9cb903240dc4fa93","exp":1572603663}
>>> signing_key='dnB^kr8ho#shw$a8pqu3OAqFb@C8q&mZ'
>>> algorithm = 'HS256'
>>> token = jwt.encode(payload, signing_key, algorithm=algorithm)
>>> 
>>> token
'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwianRpIjoiZmJhMmNhNTU5YzIxNGFkYTljYjkwMzI0MGRjNGZhOTMiLCJ1c2VyX2lkIjoiMyIsImV4cCI6MTU3MjYwMzY2M30.F-zOc4Vxn-2i6zP1_Ej9M8hClngmeu0Ih9LI7iWTa_E'
>>> 
>>> jwt.decode(token, signing_key, algorithms=algorithm, verify=True)
{u'token_type': u'access', u'user_id': u'3', u'jti': u'fba2ca559c214ada9cb903240dc4fa93', u'exp': 1572603663}
>>> 
>>> 
>>> 服务端在有秘钥的情况下可以直接对JWT生成的Token进行解密,解密成功说明Token正确,且数据没有被篡改
>>> 当然我们前文说了JWT并没有对数据进行加密,如果没有secret_key也可以直接获取到Payload里边的数据,只是缺少了签名算法无法验证数据是否准确,
>>> pyjwt也提供了直接获取Payload数据的方法,如下
>>> jwt.decode(token, verify=False)
{u'token_type': u'access', u'user_id': u'3', u'jti': u'fba2ca559c214ada9cb903240dc4fa93', u'exp': 1572603663}
>>> 
>>> 修改 token, 然后再去 decode token 会报错 Signature verification failed
>>> token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwianRpIjoiZmJhMmNhNTU5YzIxNGFkYTljYjkwMzI0MGRjNGZhOTMiLCJ1c2VyX2lkIjoiMyIsImV4cCI6MTU3MjYwMzY2M31.F-zOc4Vxn-2i6zP1_Ej9M8hClngmeu0Ih9LI7iWTa_E'
>>> jwt.decode(token, signing_key, algorithms=algorithm, verify=True)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/root/myprojectenv/archiver_env/local/lib/python2.7/site-packages/jwt/api_jwt.py", line 92, in decode
    jwt, key=key, algorithms=algorithms, options=options, **kwargs
  File "/root/myprojectenv/archiver_env/local/lib/python2.7/site-packages/jwt/api_jws.py", line 156, in decode
    key, algorithms)
  File "/root/myprojectenv/archiver_env/local/lib/python2.7/site-packages/jwt/api_jws.py", line 223, in _verify_signature
    raise InvalidSignatureError('Signature verification failed')
jwt.exceptions.InvalidSignatureError: Signature verification failed
>>> 
>>> 
>>> --------------------------------------
root@robert-Ubuntu:/media/sf_WorkSpace/HelloNG/src/testcode/djangoTest/robappdj# python
Python 2.7.12 (default, Oct  8 2019, 14:14:10) 
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import base64
>>> base64.b64decode('eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9')
'{"alg":"HS256","typ":"JWT"}'
>>> 
>>> base64.b64decode('eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwidXNlcl9pZCI6IjIiLCJqdGkiOiJmYmEyY2E1NTljMjE0YWRhOWNiOTAzMjQwZGM0ZmE5MyIsImV4cCI6MTU3MjYwMzY2M30==')
'{"token_type":"access","user_id":"2","jti":"fba2ca559c214ada9cb903240dc4fa93","exp":1572603663}'
>>> 		
>>> 
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值