JWT原理详解

最新推荐文章于 2024-08-14 12:00:04 发布
最新推荐文章于 2024-08-14 12:00:04 发布
阅读量820 收藏 1
点赞数
分类专栏: DRF框架源码剖析 文章标签: python jwt java django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happygjcd/article/details/105477996
版权

文章目录

JWT介绍

jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。与传统token认证的比较:面试的时候一定要提及到相比传统的token,JWT的token不用保存在服务端

传统token认证

用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。

jwt方式

用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。

JWT认证原理详解

在这里插入图片描述
用户登录成功后,首先服务端JWT要先生成token
jwt的生成token格式有’.'连接的三串字符组成。

生成规则如下:

  • 第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段。

    {
	 "alg": "HS256",
	 "typ": "JWT"
}

  • 第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段。token的超时时间也在这里

    {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
  ...
}

  • 第三段SIGNATURE(签名)部分,加了两次密,把前两段的base密文通过.拼接起来,然后对前两部分密文进行HS256加密以及加盐,再然后对hs256密文进行base64url加密,最终得到token的第三段。

    base64url(
    HMACSHA256(
      base64UrlEncode(header) + "." + base64UrlEncode(payload),
      your-256-bit-secret (秘钥加盐)
    )
)

以后用户再来访问的时候,服务端需要对token进行校验,

校验过程

  • 第一步,先把token按“.”分成三个部分。
  • 第二步,对token的第二部分进行base64url反解,获取token的超时时间,如果超时了,返回相应的错误信息,如果未超时进行下一步验证
  • 第三步,将前两部分拼接然后进行hash256加密成密文,把第三部分进行base64url解密,然后这两个密文相比较,如果相同就校验成功。为什么这么做呢。因为hash256,md5都是是不能反解的,base64url是可以反解的
DRF的JWT demo示例

首先安装pyjwt

pip install pyjwt

也可以安装pip install djangorestframework-jwt,但是一般不建议用这个,这个其实内部就是调用了pyjwt,它只能在DRF里面可以使用,pyjwt在flask里面也可以用。

使用示例
views.py

from rest_framework.views import APIView
from rest_framework.response import Response

from utils.jwt_auth import create_token
from extensions.auth import JwtQueryParamAuthentication, JwtAuthorizationAuthentication


class LoginView(APIView):
    def post(self, request, *args, **kwargs):
        """ 用户登录 """
        user = request.POST.get('username')
        pwd = request.POST.get('password')

        # 检测用户和密码是否正确,此处可以在数据进行校验。
        if user == 'wupeiqi' and pwd == '123':
            # 用户名和密码正确,给用户生成token并返回
            token = create_token({'username': 'wupeiqi'})
            return Response({'status': True, 'token': token})
        return Response({'status': False, 'error': '用户名或密码错误'})


class OrderView(APIView):
    # 通过url传递token
    authentication_classes = [JwtQueryParamAuthentication, ]

    # 通过Authorization请求头传递token
    # authentication_classes = [JwtAuthorizationAuthentication, ]

    def get(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({'data': '订单列表'})

    def post(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({'data': '添加订单'})

    def put(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({'data': '修改订单'})

    def delete(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({'data': '删除订单'})

jwt_auth.py书写token的生成以及解析的逻辑

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='


def create_token(payload, timeout=20):
    """
    :param payload:  例如:{'user_id':1,'username':'wupeiqi'}用户信息
    :param timeout: token的过期时间,默认20分钟
    :return:
    """
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    # 添加一个键值(token的过期时间)
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


def parse_payload(token):
    """
    对token进行和发行校验并获取payload
    :param token:
    :return:
    """
    result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result['status'] = True
        result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
    except jwt.DecodeError:
        result['error'] = 'token认证失败'
    except jwt.InvalidTokenError:
        result['error'] = '非法的token'
    return result

auth.py(书写认证的规则)

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from rest_framework.authentication import BaseAuthentication
from rest_framework import exceptions
from utils.jwt_auth import parse_payload


class JwtQueryParamAuthentication(BaseAuthentication):
    """
    用户需要在url中通过参数进行传输token,例如:
    http://www.pythonav.com?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU
    """

    def authenticate(self, request):
        token = request.query_params.get('token')
        payload = parse_payload(token)
        if not payload['status']:
            raise exceptions.AuthenticationFailed(payload)

        # 如果想要request.user等于用户对象,此处可以根据payload去数据库中获取用户对象。
        return (payload, token)


class JwtAuthorizationAuthentication(BaseAuthentication):
    """
    用户需要通过请求头的方式来进行传输token,例如:
    Authorization:jwt eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU
    """

    def authenticate(self, request):

        # 非登录页面需要校验token
        authorization = request.META.get('HTTP_AUTHORIZATION', '')
        auth = authorization.split()
        if not auth:
            raise exceptions.AuthenticationFailed({'error': '未获取到Authorization请求头', 'status': False})
        if auth[0].lower() != 'jwt':
            raise exceptions.AuthenticationFailed({'error': 'Authorization请求头中认证方式错误', 'status': False})

        if len(auth) == 1:
            raise exceptions.AuthenticationFailed({'error': "非法Authorization请求头", 'status': False})
        elif len(auth) > 2:
            raise exceptions.AuthenticationFailed({'error': "非法Authorization请求头", 'status': False})

        token = auth[1]
        result = parse_payload(token)
        if not result['status']:
            raise exceptions.AuthenticationFailed(result)

        # 如果想要request.user等于用户对象,此处可以根据payload去数据库中获取用户对象。
        return (result, token)
Charles-Su
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt 原理
weixin_48334703的博客
10-05 1897
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT(简介)
qq_65345936的博客
09-18 2099
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
每天搞懂一个小漏洞——jwt
qq_54030686的博客
01-17 3093
每天搞懂一个小漏洞——jwt jwt漏洞成因:用户成功登录后,服务端会返回一段加密后的数据用于替代cookie的作用,当下一次打开此登录页面时候,客户端会将这一段数据自动发送给服务器端,服务器端根据收到的这一段数据,返回不同的页面,基本功能与cookie类似 jwt和cookie都是成功登录后服务器端返回客户端的一段数据, 下次登录时避免重新输入账号密码之类,提高用户体验 cookie本身不具有危害性,但是通过其他手段xss等获取到对方相关网站的cookie后,即可实现免密码登录, jwt由于加密的特殊性可
JWT原理
子冉冰清的博客
09-26 6968
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT原理
COMEKING的博客
07-23 3312
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
jwt认证原理
weixin_52596593的博客
10-12 923
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
JWT原理介绍
每天学习一点点,成长一小步
05-15 471
1、JSON Web Token概念 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2、JSON Web Tokens使用场景 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点...
详解使用JWT实现单点登录(完全跨域方案)
10-16
本文将深入探讨JWT原理、使用场景以及其结构。 JWT的核心在于它是一个包含签名的加密字符串,这个字符串包含了用户的相关信息,如用户ID、角色等。当用户登录成功后,服务器会生成一个JWT并发送给客户端。客户端...
ASP.NET Core学习之使用JWT认证授权详解
10-14
ASP.NET Core是一个高度可移植和高性能的开源框架,用于构建基于云的应用程序。在现代Web开发中,认证和授权是确保应用安全的关键组件...理解JWT的工作原理和在ASP.NET Core中的实现,对于开发安全的Web服务至关重要。
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它简化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
详解SpringCloud服务认证(JWT
08-28
【SpringCloud服务认证(JWT详解】 在微服务架构中,服务认证是非常关键的一环,SpringCloud提供了多种认证方式,其中JWT(JSON Web Token)因其独特的优势被广泛应用。JWT是一种基于JSON的开放标准(RFC 7519)...
PHP jwt类库
07-31
JWT的工作原理 JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。每部分都由点(.)分隔,并以Base64URL编码。 - **Header**: 包含JWT类型(`typ`)和算法(`alg`),如`HS256`或`RS254`。...
jwt原理&现象及使用
m0_60375943的博客
11-17 3003
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1520
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
JWT介绍
weixin_47414034的博客
10-20 526
一旦用户登录了,后续的每一个请求都会包含JWT,服务器每次处理用户请求之前,都要先进行JWT安全校验,通过之后再处理请求。将header用base64加密,将payload也用base64加密,然后用点连接起来得到encodedString。再用header里面规定的加密算法(HS256)对encodedString进行加密,得到第三部分signature。第二个信息是算法的名称:(采用的加密算法),这里是HS256算法。包含两个信息,第一个信息是token的类型,这里是JWT。step2:加密和解密。
JWT原理解析与实现
weixin_46120888的博客
12-26 4428
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
JWT的工作原理
qq_24381917的博客
05-21 347
JWT的工作原理 参考地址: https://www.cnblogs.com/cjsblog/p/9277677.html https://jwt.io https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc 什么是JWT JWT: JSON Web token 用于json对象在各方之间安全的传输信息,它是安全可被信任的,因为它是数字签名的。JWT是目前最流行的跨域身份验证解决方案 JWT应用场景
GraphRAG:复杂查询的知识图谱新框架
最新发布
YeJuliaLi的博客
08-14 549
微软最近发布了名为 GraphRAG(Graphs + Retrieval Augmented Generation)的创新 RAG 框架,这是一个将文本提取、语义网络分析,与大语言模型(LLM)的提示和总结功能结合在一起的端到端系统,用于深入理解文本数据集。在对私有数据中的复杂文本信息进行文档分析时,GrahRAG 使用 LLM 生成的知识图谱来大幅提高问答性能。这里的私有数据集是指 LLM 没...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值