JWT介绍
jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。与传统token认证的比较:面试的时候一定要提及到相比传统的token,JWT的token不用保存在服务端
传统token认证
用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。
jwt方式
用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。
JWT认证原理详解
用户登录成功后,首先服务端JWT要先生成token
jwt的生成token格式有’.'连接的三串字符组成。
生成规则如下:
-
第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段。
{ "alg": "HS256", "typ": "JWT" }
-
第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段。token的超时时间也在这里
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 ... }
-
第三段SIGNATURE(签名)部分,加了两次密,把前两段的base密文通过.拼接起来,然后对前两部分密文进行HS256加密以及加盐,再然后对hs256密文进行base64url加密,最终得到token的第三段。
base64url( HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), your-256-bit-secret (秘钥加盐) ) )
以后用户再来访问的时候,服务端需要对token进行校验,
校验过程:
- 第一步,先把token按“.”分成三个部分。
- 第二步,对token的第二部分进行base64url反解,获取token的超时时间,如果超时了,返回相应的错误信息,如果未超时进行下一步验证
- 第三步,将前两部分拼接然后进行hash256加密成密文,把第三部分进行base64url解密,然后这两个密文相比较,如果相同就校验成功。为什么这么做呢。因为hash256,md5都是是不能反解的,base64url是可以反解的
DRF的JWT demo示例
首先安装pyjwt
pip install pyjwt
也可以安装pip install djangorestframework-jwt
,但是一般不建议用这个,这个其实内部就是调用了pyjwt,它只能在DRF里面可以使用,pyjwt在flask里面也可以用。
使用示例:
views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from utils.jwt_auth import create_token
from extensions.auth import JwtQueryParamAuthentication, JwtAuthorizationAuthentication
class LoginView(APIView):
def post(self, request, *args, **kwargs):
""" 用户登录 """
user = request.POST.get('username')
pwd = request.POST.get('password')
# 检测用户和密码是否正确,此处可以在数据进行校验。
if user == 'wupeiqi' and pwd == '123':
# 用户名和密码正确,给用户生成token并返回
token = create_token({'username': 'wupeiqi'})
return Response({'status': True, 'token': token})
return Response({'status': False, 'error': '用户名或密码错误'})
class OrderView(APIView):
# 通过url传递token
authentication_classes = [JwtQueryParamAuthentication, ]
# 通过Authorization请求头传递token
# authentication_classes = [JwtAuthorizationAuthentication, ]
def get(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({'data': '订单列表'})
def post(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({'data': '添加订单'})
def put(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({'data': '修改订单'})
def delete(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({'data': '删除订单'})
jwt_auth.py书写token的生成以及解析的逻辑
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions
JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='
def create_token(payload, timeout=20):
"""
:param payload: 例如:{'user_id':1,'username':'wupeiqi'}用户信息
:param timeout: token的过期时间,默认20分钟
:return:
"""
headers = {
'typ': 'jwt',
'alg': 'HS256'
}
# 添加一个键值(token的过期时间)
payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
return result
def parse_payload(token):
"""
对token进行和发行校验并获取payload
:param token:
:return:
"""
result = {'status': False, 'data': None, 'error': None}
try:
verified_payload = jwt.decode(token, JWT_SALT, True)
result['status'] = True
result['data'] = verified_payload
except exceptions.ExpiredSignatureError:
result['error'] = 'token已失效'
except jwt.DecodeError:
result['error'] = 'token认证失败'
except jwt.InvalidTokenError:
result['error'] = '非法的token'
return result
auth.py(书写认证的规则)
#!/usr/bin/env python
# -*- coding:utf-8 -*-
from rest_framework.authentication import BaseAuthentication
from rest_framework import exceptions
from utils.jwt_auth import parse_payload
class JwtQueryParamAuthentication(BaseAuthentication):
"""
用户需要在url中通过参数进行传输token,例如:
http://www.pythonav.com?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU
"""
def authenticate(self, request):
token = request.query_params.get('token')
payload = parse_payload(token)
if not payload['status']:
raise exceptions.AuthenticationFailed(payload)
# 如果想要request.user等于用户对象,此处可以根据payload去数据库中获取用户对象。
return (payload, token)
class JwtAuthorizationAuthentication(BaseAuthentication):
"""
用户需要通过请求头的方式来进行传输token,例如:
Authorization:jwt eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU
"""
def authenticate(self, request):
# 非登录页面需要校验token
authorization = request.META.get('HTTP_AUTHORIZATION', '')
auth = authorization.split()
if not auth:
raise exceptions.AuthenticationFailed({'error': '未获取到Authorization请求头', 'status': False})
if auth[0].lower() != 'jwt':
raise exceptions.AuthenticationFailed({'error': 'Authorization请求头中认证方式错误', 'status': False})
if len(auth) == 1:
raise exceptions.AuthenticationFailed({'error': "非法Authorization请求头", 'status': False})
elif len(auth) > 2:
raise exceptions.AuthenticationFailed({'error': "非法Authorization请求头", 'status': False})
token = auth[1]
result = parse_payload(token)
if not result['status']:
raise exceptions.AuthenticationFailed(result)
# 如果想要request.user等于用户对象,此处可以根据payload去数据库中获取用户对象。
return (result, token)