python自定义JWT类

最新推荐文章于 2024-07-30 20:18:55 发布
最新推荐文章于 2024-07-30 20:18:55 发布
阅读量511 收藏
点赞数
分类专栏: JWT 文章标签: JWT python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_yutaixin/article/details/102886988
版权

python自定义JWT

jwt说明

json web token:用于跨域时代替cookies&session技术,解决http无状态问题,保持会话状态
存储位置为ctrl+shift+i下的存储-本地存储中

实现步骤: 三大组成
header: 明确了算法和token种类,格式为字典,{‘alg’:‘HS256’,‘typ’:‘JWT’},alg代表要使用的算法,typ表名该token的类别,最后需转成json串并用base64加密
payload: 格式为字典:分为公有声明和私有申明
公共声明:JWT提供了内置关键字用于描述常见的问题,用户可根据自己需求添加key,{‘exp’:xxx #token的过期时间,‘iss’:xxx}, #指明此token的签发者(中大厂)
私有申明:用户根据自己业务需求添加的字典
username uid等,e.g. {‘username’:'yutaiixn“},最后需转成json串并用base64加密
signature签名: 用自定义(公司)的key, 对base64后的header + ‘.’ + base64后的payload进行hmac(封装了加盐后进行hash算法加密的库)计算:HS256(自定义的key , base64后的header + ‘.’ + base64后的payload)

jwt结果格式: base(header) + b’.’ +base(payload) +b’.’ + base64(sign)

详细代码

import json
import base64
import copy
import hmac

class Jwt():
	def __init__(self):
		pass
		
	#自定义base64加密方法
	#信息转成base64通过querystring的形式在url上传递,'+'和'/'在url中不能出现,urlsafe_b64encode()作用同b64encode(),会将+替换成-,/替换成_
	#base64加密时会自动将空的部分用‘=’代替,传递时将‘=’省略(replace()),传回时decode的时候再加上
	@staticmethod
	def b64encode(j_s):
		return base64.urlsafe_b64encode(j_s).replace(b'=',b'')

	#自定义base64解密方法
	def b64decode(b_s):
		#补全签发时替换掉的等号,找规律:肯定能被4整除,替换掉的‘=’个数是:4 - 总长 % 4
		rem  = len(b_s) % 4
		if rem > 0:
			b_s += b'=' * (4-rem)
		return base64.urlsafe_b64decode(b_s)
		
	@staticmethod
	def encode(payload,key,exp=300):	#假设payload传过来的就是个字典, {'username':'Terry'} 
		
		#header
		header = {'typ': 'JWT', 'alg': 'HS256'}
		#将header转换成json串,由于字典是无序的,需要用sort_keys保证最后字符串的输出顺序是有序的。
		#并用seperator保证json串比较瘦,多余的空格一律不要,seperator第一个''为键值对间分隔符,第二个''为key和值间分隔符
		header_json = json.dumps(header,sort_keys=True,seperator=(',',':'))
		#用base64加密,json串是字符串,base64的参数需要是字节串
		header_bs = Jwt.b64encode(header_json.encode())
		
		#payload
		#将用户传递来的参数payload深拷贝出来一份,不污染原先的参数payload
		my_payload = copy.deepcopy(payload)
		#添加token过期时间
		my_payload['exp'] = time.time() + int(exp)
		#生成json串
		payload_json = json.dumps(my_payload,sort_keys=True,separators=(',',':'))
		#用base64加密
		payload_bs =  Jwt.b64encode(payload_json.encode())

		#sign
		#key和payload一样是用户传进来,并确定用户传进来的key是字符串
		if isinstance(key,str):
			key = key.encode()
		#用自定义的key(该key保证了jwt非常可靠), 对base64后的header + '.' + base64后的payload进行hmac计算
		hm = hmac.new(key,header_bs + b'.' + payload_bs,digestmod='SHA256')
		#将sign用base64加密,需先根据需求转为二进制(digest())或十六进制(hexdigest())
		hm_bs =  Jwt.b64encode(hm.digest())

		#Jwt结果格式:base(header) + '.' +base(payload) +'.' + base64(sign)
		return header_bs + b'.' + payload_bs +b'.' + hm_bs

		@staticmethod
		def decode(jwt_s,key):
			#校验token
			#1.检查签名:签名是用前两项拼出来的【取出前两项base64串(结果中每一项有'.'隔开),再做一次hmac签名,与第三部分进行比较,若两者相等,校验成功,失败raise】
			#2. 检查时间戳是否过期【过期raise】
			#3.return payload明文,即payload字典对象
			header_bs,payload_bs,sign_bs = jwt_s.split(b'.')
			if isinstance(key,str):
				key = key.encode()
			hm = hmac.new(key,header_bs + b'.' + payload_bs,digestmod='SHA256')
			new_sign_bs = Jwt.b64encode(hm.digest())
			if new_sign_bs != sign_bs:
				raise
			#检查payload中的时间
			payload_json = Jwt.b64decode(payload_bs)
			#json字符串 -> python对象
			payload = json.loads(payload_json)
			exp = payload['exp']
			now_t = time.time()
			if now_t > exp:
				#过期
				raise
			return payload

	
	if __name__ == '__main__':
		#生成门票
		s = Jwt.encode({'username':'Terry'},'123456',100)
		#将门票加个key,做校验,然后打印出结果
		d = Jwt.decode(s,'123456')	#结果格式{'exp':xxx,'username':'Terry'}
		print(s)
		print(d)
俞泰鑫
关注
专栏目录
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析(3)
m0_63174529的博客
04-27 1053
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析(1)
m0_63174529的博客
04-27 949
如果需要传递私密数据, 解决办法是,对 payload 的数据进行加密,从而杜绝非法破译者看到 payload 内的任何信息,但是目前加密payload的操作不是很普及,在不加密 payload 的前提下, jwt 比较适合进行非受信任端的身份验证, 此时即使接收方破译了 token, 看到了 payload 的数据, 也不会造成太大的影响,简而言之, 除非额外对 payload 加密过, 否则就不要在 jwt 中传递不可被第三方获知的私密数据。1)JWT 的签名算法有三种。
Python-pythonjwt一个用来生成和验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成和验证 JSON Web Tokens的模块
Python JWT 介绍
m0_56477185的博客
02-27 3649
JWT 全称: json-web-token JWT的大白话解释: 现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。 1. 三大组成 JWT和cookie、session相比: 第一部分 header 在Python来看就是一个字典格式,元数据如下: {'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的别 此处必须为 大写的
Python使用JWT的详细教程
最新发布
hhq2002322的博客
07-30 634
JWT(JSON Web Tokens)是一种用于在网络应用环境间安全地传输信息的简洁的、URL安全的令牌标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3655
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
python中的 JWT
weixin_34355881的博客
12-12 530
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业...
python实现JWT
weixin_30535843的博客
04-08 517
python实现JWT 一、常见的几种实现认证的方法 1.1basic auth 1.2cookie 1.3token json web token--一种基于token的json格式web认证方法。基本原理是,第一次认证通过用户名和面膜,服务端签发一个json格式的token,后续客户端的请求都带着这个token,服务端仅需要解析这个token,来判断客户端的身份和合法性。jwt协议只...
pythonJWT用户认证的实现
09-16
### PythonJWT用户认证的实现 #### 一、引言:为什么需要用户认证? 在前后端分离的应用场景中,用户认证变得尤为重要。由于HTTP协议本身是无状态的(stateless),这意味着服务器不会记住客户端的每一次请求。...
PyPI 官网下载 | python_jwt-3.1.0-py2.py3-none-any.whl
02-09
4. **自定义验证逻辑**:开发者还可以根据需求添加额外的验证逻辑,比如检查JWT中的特定声明或实现自定义的验证回调函数。 5. **扩展功能**:除了基本的JWT操作,`python_jwt`库还支持一些高级特性,如JWT刷新、...
python实现jwt(django,flask)
帅泽泽的博客
03-16 1740
本文分别基于python及其框架django和flask框架实例实现jwt 1.python实现jwt 安装 pip3 install pyjwt 实现 import jwt import datetime from jwt import exceptions SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' de...
PyJWT 项目
08-24
PyJWT项目,使用pycharm导入资源,配置好运行环境,即可运行该项目。
JWT详细介绍 Python实现
有勇气的牛排博客
12-01 3099
本文以python来进行实战演示JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于以json的方式安全传输信息,并且通过数字签名来保证信息是信任的。jwt可以使用秘钥(HMAC算法)或RSA或ECDSA的公钥/私钥对其进行签名。
pythonjwt的使用
qq_31466841的博客
04-02 2794
JWT是什么? JWT是json web token的缩写,一种基于token的json格式web认证方法,说白了就是一个很长的字符串 JWT原理是什么? 基本的原理是,第一次认证通过用户名密码,服务端签发一个json格式的token。后续客户端的请求都携带这个token,服务端仅需要解析这个token,来判别客户端的身份和合法性 JWT的作用和特点 由于http协议是无状态的,所以客户...
Python3 实现 JWT
m0_61632496的博客
12-05 1288
""" python 实现jwt """ import time import json import copy import base64 import hmac class Jwt: def __init__(self): pass @staticmethod def base64_encode(string): """ 功能函数: base64编码 :param string: 预编码字符串 .
cookie、session、token的区别----接口测试(python)中的jwt key 部分Django源码分析
tchtest的博客
07-09 424
1、Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2、Session session 从字面上讲,就是会话。这个就
Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 6968
JWT 即JSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其中包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
117、JWTPython库pyjwt
limengshi138392的博客
07-01 3409
独立的JWT Python库 itsdangerous JSONWebSignatureSerializer TimedJSONWebSignatureSerializer (可设置有效期) pyjwt https://pyjwt.readthedocs.io/en/latest/ 安装pyjwt $ pip install pyjwt 用例 >&g...
Django Rest Framework JWT 自定义登陆响应
该文主要讨论如何在使用Django Rest Framework JWT进行登录认证时自定义登录成功和失败的响应体。 在开发基于Django的前后端分离项目时,经常使用JWT(JSON Web Tokens)作为身份验证机制。Django Rest Framework ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值