flask 之JWT认证实现

最新推荐文章于 2024-09-26 15:29:21 发布
最新推荐文章于 2024-09-26 15:29:21 发布
阅读量1.8k 收藏 18
点赞数 33
分类专栏: flask 文章标签: python flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liujunxhu/article/details/139419345
版权

目录

1、JWT

1.1、JWT概述

1.2、token的生成

1.3、token校验

1.4、flask项目中实现JWT认证

1、JWT

1.1、JWT概述

JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成,分别是头部、负载和签名。

头部(Header)是一个 JSON 对象,描述了使用的算法和类型。它通常包含两个字段:算法(alg)和类型(typ)。

负载(Payload)也是一个 JSON 对象,用于存储用户的相关信息。它可以包含一些预定义的字段,如过期时间(exp)、发布时间(iat)等,也可以包含一些自定义字段。

签名(Signature)使用指定的算法对头部和负载进行加密,生成一段字符串。这个字符串可以用于验证数据的完整性。

1、传统的token认证流程

  1. 用户登录:用户输入用户名和密码,向服务器发送登录请求。
  2. 生成token:服务器验证用户名和密码的正确性,如果验证通过,则生成一个随机字符串作为token,并将这个token与用户ID等关键信息关联起来(例如,将token和用户ID作为键值对存储在Redis等缓存中)。
  3. 返回token:服务器将生成的token返回给客户端,客户端将token保存在cookie或localStorage中。
  4. 携带token:当客户端需要访问需要认证的接口时,会在请求头中携带这个token。
  5. 验证token:服务器在接收到请求后,会从请求头中提取token,并根据token在缓存中查找对应的用户信息。如果找到了对应的用户信息,则说明用户已经登录且token有效;否则,说明用户未登录或token已过期。

2、传统token认证流程和JWT的对比

  1. 存储方式:传统token方式需要将token保存在服务器端(如Redis),而JWT则将token的所有信息都包含在token本身中,无需在服务器端保存。
  2. 安全性:JWT通过签名机制来确保数据的完整性和防止篡改,而传统token方式则更依赖于服务器端的验证。
  3. 应用场景:JWT更适用于分布式系统或跨域请求的场景,而传统token方式则更适用于传统的Web应用。

1.2、token的生成

jwt的生成token格式如下,即:由 . 连接的三段字符串组成。

eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9.eyJ1c2VybmFtZSI6ImxqIiwiZXhwIjoxNzE2NzkyODI4fQ.WrT1XY8CC1vFo8tPpt0ZrDjje5ooD8hTOvIW42Z2WEo

1、生成规则如下:

  • token组成:将三段字符串通过 . 拼接起来就生成了jwt的token。
  • 第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段。
headers = {
    'typ': 'jwt',
    'alg': 'HS256'
}
  • 第二段PAYLOAD部分,包含一些数据,对此PAYLOAD进行base64url加密,这就是token的第二段
payload = {
    'user_id':1,
    'username':'张三', 
    'role':'admin',
    'exp': "XXX"
    ...........
}
  • 第三段SIGNATURE部分,把前两段的base密文通过.拼接起来,然后对其进行HS256加密,再然后对hs256密文进行base64url加密,最终得到token的第三段。
base64url(
    HMACSHA256(
      base64UrlEncode(headers) + "." + base64UrlEncode(payload),
      secret # 秘钥加盐
    )
)

注意:base64url加密是先做base64加密,然后再把 - 替换 + _ 替换 / 。

2、代码实现:

  • 使用的库是:pyjwt模块。
  • 安装库:

pip install pyjwt

代码实现:

import jwt
import datetime

# 秘钥加盐
SALT = 'adasfasfgthfafklsaj?lkasld;)(hjasgbsvbfjh='

def create_token():
    # header
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    # payload
    payload = {
        'user_id': 1,  # 自定义用户ID
        'username': '张三',  # 自定义用户名
        'role': "admin", # 自定义角色
        'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=2)  # 过期时间(2个小时)
    }
    result = jwt.encode(headers=headers, payload=payload, key=SALT, algorithm=["HS256"])
    return result

if __name__ == '__main__':
    token = create_token()
    print(token)

1.3、token校验

获取token之后,会按照以下步骤(主要是进行超时和合法性校验)进行校验:

  • 将token分割成 header_segment、payload_segment、crypto_segment 三部分
  • 对第一部分header_segment进行base64url解密,得到header
  • 对第二部分payload_segment进行base64url解密,得到payload
  • 对第三部分crypto_segment进行base64url解密,得到signature后进行合法性校验。
    • 拼接前两段密文,即:signing_input
    • 从第一段明文中获取加密算法,默认:HS256
    • 使用 算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较。

代码实现:

import jwt

# 秘钥加盐
SALT = 'adasfasfgthfafklsaj?lkasld;)(hjasgbsvbfjh='

def get_payload(token):
    try:
        # 校验token合法性和是否超时
        verified_payload = jwt.decode(jwt=token, key=SALT, verify=True, algorithms=["HS256"])
        return verified_payload
    except jwt.ExpiredSignatureError:
        print("token已过期")
    except jwt.DecodeError:
        print('token认证失败')
    except jwt.InvalidTokenError:
        print('非法的token')

if __name__ == '__main__':
    token = "eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Ilx1NWYyMFx1NGUwOSIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcxNzQwMDIwMn0.iXqTAykKdA8ln0WMCsdhcc3Je0l4qOvYoxctkjEmhHs"
    payload = get_payload(token)
    print(payload)

1.4、flask项目中实现JWT认证

项目的目录结构如下:

1、app.py文件

#!/usr/bin/env python
# -*- coding:utf-8 -*-

import base64
from flask import Flask, request, jsonify, g
from utils.jwt_auth import create_token, check_token

app = Flask(__name__)

# 通过url传递token
# 每一个请求前都进行token的验证
# @app.before_request
# def jwt_query_params_auth():
#     if request.path == '/login/':
#         return
#     token = request.args.get('token')
#     result = check_token(token)
#     if not result['status']:
#         return jsonify(result)
#     g.user_info = result['info']


# 通过Authorization请求头传递token


@app.before_request
def jwt_authorization_auth():
    if request.path == '/login/':
        return
    # 在实际项目中Authorization的组成一般是: Bearer toekn
    authorization = request.headers.get('Authorization', '')
    token = ""
    # 对head进行解密
    if authorization:
        # 获取token信息
        token = authorization.split(" ")[1]
        # 获取token中的header加密部分
        encoded_header = token.split(".")[0]
        # 注意:我们需要替换字符并确保字符串长度是 4 的倍数
        padded = encoded_header + '=' * (-len(encoded_header) % 4)
        # 对header进行base64url解密
        header = base64.urlsafe_b64decode(padded.replace('-', '+').replace('_', '/')).decode('utf-8')
        print(header)

    result = check_token(token)
    if not result['status']:
        return jsonify(result)
    g.user_info = result['info']



@app.route('/login/', methods=['POST'])
def login():
    user = request.form.get('username')
    pwd = request.form.get('password')
    print(user)
    # 检测用户和密码是否正确,此处可以在数据进行校验。
    if user == '张三' and pwd == '123456':
        # 用户名和密码正确,给用户生成token并返回
        token = create_token({'user_id':1, 'username':'张三', 'role':'admin'})
        return jsonify({'status': True, 'token': token})
    return jsonify({'status': False, 'error': '用户名或密码错误!'})


@app.route('/info/')
def order():
    print(g.user_info)
    return jsonify(g.user_info)


if __name__ == '__main__':
    app.run(debug=True)

2、jwt_auth.py文件

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime

# 秘钥加盐
SALT = 'adasfasfgthfafklsaj?lkasld;)(hjasgbsvbfjh='

def create_token(payload, timeout=60):
    """
    :function: 创建token
    :param payload:  例如:{'user_id':1,'username':'张三', 'role':'admin'}用户信息
    :param timeout: token的过期时间,默认60分钟
    :return:
    """
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(headers=headers, payload=payload, key=SALT, algorithm="HS256")
    return result


def check_token(token):
    """
    :function: 检验token的合法性和是否过期
    :param token: 用户token信息
    :return: 返回检验结果
    """
    result = {'status': False, 'info': None, 'msg': None}
    try:
        print(token)
        verified_payload = jwt.decode(jwt=token, key=SALT, verify=True, algorithms=["HS256"])
        result['status'] = True
        result['info'] = verified_payload
    except jwt.ExpiredSignatureError:
        result['msg'] = 'token已失效'
    except jwt.DecodeError:
        result['msg'] = 'token认证失败'
    except jwt.InvalidTokenError:
        result['msg'] = '非法的token'
    return result
Flask 使用 JWT(一)
CITYDATA
09-13 779
1、注册声明 :这是一组预先定义的声明,不是强制性的,而是推荐的,它们提供了一套易于使用的、可共用的声明。这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。3、私有声明:这些是为了在同意使用这些声明的当事人之间共享信息而提出的,既不是注册声明的也不是公共声明。将这三部分用 . 连接成一个完整的字符串构成了最终的 jwt
Flask中的JWT
weixin_45439324的博客
12-03 6870
Flask中的JWT JWT认证 Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。 JWT是一个有着简单的统一表达形式的字符串: 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经Base64 编码生成字符串成为Head...
flask-jwt-simple:准系统Flask扩展,用于使用JWT创建和保护端点
05-14
Flask-JWT-简单 什么时候使用Flask-JWT-Simple? Flask-JWT-Simple添加了准系统支持,以使用JSON Web令牌保护Flask端点。 这对于与其他提供商和消费者合作的快速原型制作或消费/生产JWT特别有用。 什么时候不使用Flask-JWT-Simple? 如果仅在烧瓶应用程序中使用JWT,则使用姊妹扩展可能更有意义。 它提供了一些内置功能,使使用JSON Web令牌更容易。 这些包括刷新令牌,新鲜/未刷新令牌,cookie中的令牌,使用cookie时的csrf保护以及令牌吊销。 缺点是扩展对于要使所有这些额外功能都起作用需要在JWT中进行更多的考虑。 安装 用法 闲聊 我们上了irc! 您可以在freenode上的#flask-jwt-extended频道#flask-jwt-extended与我们聊天。 测试和代码覆盖率 我们在单元测试中要求1
Flask中的JWT认证构建安全的用户身份验证系统
2401_84969746的博客
05-12 1090
context = (‘cert.pem’, ‘key.pem’) # 指定证书和密钥文件。
Python项目Flask框架实现jwt用户登录、鉴权,亲测好用
最新发布
m0_58709145的博客
09-26 727
jwt(JSON Web Tokens),在用户认证当中常用的方式,在如今的前后端分离项目当中应用广泛,提高了后端代码的简洁和效能。
flaskjwt的使用
weixin_43262264的博客
09-16 4184
之前用的Flask-JWT,感觉不好用,不太灵活,参考Flask-JWT源码直接用jwt库,就方便很多了,python3.7代码封装如下: # decorator.py import jwt from datetime import datetime from functools import wraps from werkzeug.local import LocalProxy from flask import request, jsonify, _request_ctx_stack, current_
flask-web—— JWT认证方案
Shallow的博客
07-13 938
撒旦发射点
【实战Flask API项目指南】之七 用JWT进行用户认证与授权
苟日新,日日新,又日新!!!
01-30 3366
关于使用flask搭建后端api平台的JWT进行用户认证与授权,超干货!!!
python flask 框架实现jwt用户登录 接口权限认证 案例
热门推荐
大蛇王的博客
01-24 1万+
环境:python3.6+ 模块:flaskjwt 目的:实现用于登录并返回token令牌,用于后续的接口权限验证。 前言介绍: jwt(JSON Web Tokens),在用户认证当中常用的方式,在如今的前后端分离项目当中应用广泛,提高了后端代码的简洁和效能。 传统token和jwt区别 传统token:服务端会对登录成功的用户生成一个随机token返回,同时也会在本地保留对应的token(如在数据库中存入:token、用户名、过期时间等),当用户再次访问时,会携带之前的toke
OAuth2与 JWT认证授权服务(四)
weixin_44400390的博客
07-31 895
OAuth2与 JWT认证授权服务 为了保证服务对外的安全性,往往都会在服务接口采用权限校验机制,为了防止客户端在发起请求中途被篡改数据等安全方面的考虑,还会有一些签名校验的机制。 在分布式微服务架构的系统中,我们把原本复杂的系统业务拆分成了若干个独立的微服务应用,我们不得不在每个微服务中都实现这样一套校验逻辑,这样就会有很多的代码和功能冗余,随着服务的扩大和业务需求的复杂度不断变化,修改校验...
flask-jwt-auth-test:Flask-JWT测试项目
05-04
Flask JWT认证测试 这是具有JWT身份验证的测试瓶应用程序。
Python-flaskpraetorian用于FlaskAPI的强大简单和精确的安全使用jwt
08-10
flask-praetorian:用于 Flask API 的强大、简单和精确的安全(使用 jwt
jwt:Flask JWT示例
04-19
什么是JWT?为什么使用JWT http是无状态协议,每次请求都是独立的一次过程,如果要知道是谁在访问(是否同一个客户端),需要额外的认证和鉴权方式。session和jwt即为两种解决方案。 JWT 全称:Json Web Token,一种 web 认证标准【解决方案】;是使用特定数据结构(header、payload、signature)包含信息(如请求客户端的用户和权限信息)、特定算法(加密)、特定格式(json)形成的 web 服务认证令牌【组成】。当用户使用用户名密码登录后,由服务器颁发凭证(加密后数据),客户端下次访问时携带凭证(服务器解密数据有效)即可访问特定资源【原理】。能很好的用于跨域认证(前后端分离、单点登录)【应用】。 优点(与session形式相比): 减轻服务器存储压力(不用在服务端存储); 增加信息传输,可以添加更多信息在 token 中; 跨服务器(单点登录)。
FlashCards:使用Java和Springboot,Hibernate和React前端的全栈应用
03-18
此外,项目可能还涉及一些其他技术,例如数据库(可能是MySQL或PostgreSQL)、JSON Web Tokens(JWT)用于用户认证、Webpack或Parcel进行前端资源打包、Git进行版本控制等。开发者可能还使用了JUnit和Mockito进行...
microapp-flash-waimai-master_java_
10-01
- **JWT(JSON Web Tokens)**:用于认证和授权,通过令牌验证用户身份,实现安全的API调用。 5. **微服务架构**: - **Docker**和**Kubernetes(K8s)**:如果项目采用微服务架构,那么每个服务可能都会被容器化...
python token flask_使用python/flask实现鉴权
weixin_39794734的博客
12-05 1080
上一篇文章介绍了使用JWT协议来做token认证的功能,继续装逼下去,怎样实现一个鉴权的模块?假设token认证的功能已经完成,那么设定为每次请求头部中都带上这个token。server端在每次响应请求时都要做一次token的校验,包括两个内容:token是否合法,token是否过期、是否被篡改,token内的信息是否有效用户是否有权限执行此请求在python/flash上,这个检验使用decor...
flask项目--认证方案JWT
weixin_30553837的博客
08-26 626
1. jwt 对比状态保持机制 APP不支持状态保持 状态保持有同源策略, 默认无法跨服务器传递(nginx可以处理) JWT不会对数据进行加密, 所以数据中不要存放有阅读价值的数据 不可逆加密 md5 sha1 sha256 主要用于数据认证, 防止数据被修改 消息摘要 MD 通过哈希算法将任意长度内容转为定长内容, 且相同内容的哈希值始终相同, 不同内容的哈希值不同(极小...
flaskjwt登录认证(有刷新token)
冰冷的希望的博客
11-08 3708
1.获取token 每次请求都会获取token,token位于客户端的header的Authorization字段,取不到返回None common/utils/middleware.py # common/utils/middleware.py from flask import request, current_app, g from utils.jwt_util import verify_jwt def get_userinfo(): # 1.获取请求头中的token信息 [登录token
jwt认证如何代码实现
05-26
JWT (JSON Web Token) 是一种用于身份认证的标准。它是一种基于 JSON 的轻量级的身份验证和授权机制,通过对用户进行加密签名生成一个安全的 token,用于在双方之间传递信息。 下面是一个使用 JWT 进行认证的示例代码: 首先在 Flask 中安装 PyJWT: ``` pip install PyJWT ``` 然后在 Flask 中创建一个 auth.py 文件,用于处理用户认证: ```python import jwt from flask import request, jsonify, current_app def generate_token(user_id): payload = { 'user_id': user_id, } token = jwt.encode(payload, current_app.config['SECRET_KEY'], algorithm='HS256') return token.decode('utf-8') def authenticate(): auth_header = request.headers.get('Authorization') if not auth_header: return jsonify({'message': 'Authorization header is missing'}), 401 try: token = auth_header.split(" ")[1] payload = jwt.decode(token, current_app.config['SECRET_KEY'], algorithms=['HS256']) user_id = payload['user_id'] except jwt.ExpiredSignatureError: return jsonify({'message': 'Token has expired'}), 401 except jwt.InvalidTokenError: return jsonify({'message': 'Invalid token'}), 401 return user_id ``` 在上面的代码中,我们定义了两个函数: - `generate_token(user_id)`:用于生成一个 JWT token,其中包含 user_id 的信息。 - `authenticate()`:用于验证请求中的 JWT token,并返回 user_id 的信息。 我们可以在 Flask 中使用这些函数来进行身份认证: ```python from flask import Flask, jsonify from auth import generate_token, authenticate app = Flask(__name__) app.config['SECRET_KEY'] = 'your_secret_key' @app.route('/login', methods=['POST']) def login(): # 这里省略了用户登录的逻辑 user_id = get_user_id_from_database(username, password) token = generate_token(user_id) return jsonify({'token': token}) @app.route('/protected', methods=['GET']) def protected(): user_id = authenticate() # 根据 user_id 查询用户信息并返回 return jsonify({'user_id': user_id}) ``` 在上面的代码中,我们实现了两个路由: - `/login`:用于用户登录,验证用户名和密码后生成一个 JWT token。在实际应用中,我们可能需要使用更加安全的加密方式来存储用户的密码,例如 bcrypt。 - `/protected`:用于获取受保护的资源,需要在请求头中包含 JWT token。 如果用户在 `/protected` 路由中没有提供有效的 JWT token 或者 token 已经过期,将返回 401 错误码。如果 token 验证通过,则会返回用户的信息。 需要注意的是,在实际应用中,我们需要使用更加安全的方式来存储 SECRET_KEY,例如环境变量或者密钥管理工具。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值