Python用户认证JWT——PyJWT

已于 2023-12-27 16:11:43 修改
阅读量4.5k 收藏 31
点赞数 7
分类专栏: Python 文章标签: python JWT
于 2022-09-08 15:10:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lly1122334/article/details/126760077
版权
本文详细介绍了Python库PyJWT的使用,包括JWT的创建、HS256和RS256编解码、自定义头部、签名校验以及JWT的标准字段如过期时间、生效时间、签发人和受众等。还展示了如何处理JWT的过期和未生效情况,并探讨了从JWKS端点获取RSA签名密钥的方法。此外,文中还讨论了JWT的数字签名算法和常见问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

简介

PyJWT 是一款 Python 编解码 JWT 的库

JWT,JSON Web Token,基于 RFC7519,用于跨域认证 ,便于服务器集群认证

服务器认证后,生成一个 JWT 返回客户端,之后客户端与服务器通信都要发回这个 JSON,用于身份认证

客户端收到服务器返回的 JWT,可以存在 Cookie 里,也可以存在 localStorage

客户端通信时,可以放在 Cookie 里,也可以放在 Headers 的 Authorization 里,后一种可以解决跨域问题

JWT. 分隔,分别为:

  • Header(头部)
    • 描述 JWT 的元数据,如 {"alg": "HS256", "typ": "JWT"}
    • alg :生成签名算法,默认为 HS256
    • typ:令牌类型,默认为 JWT
  • Payload(负载)
    • 存放实际数据,官方字段如下
    • exp (Expiration Time):过期时间
    • nbf (Not Before Time):生效时间
    • iss (Issuer):签发人
    • aud (Audience):受众
    • iat (Issued At):签发时间
    • sub (Subject):主题
    • jti (JWT ID):编号
  • Verify Signature(签名)

推荐阅读:




安装

pip install PyJWT




初试

import jwt

encoded_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')  # 编码
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])  # 解码
print(encoded_jwt)  # eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzb21lIjoicGF5bG9hZCJ9.Joh1R2dYzkRvDkqv3sygm5YyK8Gi4ShZqbhK2gxcs2U
print(decoded_jwt)  # {'some': 'payload'}




HS256编解码

多数 JWT 使用对称算法 HS256 生成

import jwt

encoded_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')  # 编码
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])  # 解码
print(encoded_jwt)  # eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzb21lIjoicGF5bG9hZCJ9.Joh1R2dYzkRvDkqv3sygm5YyK8Gi4ShZqbhK2gxcs2U
print(decoded_jwt)  # {'some': 'payload'}




RS256编解码

RS256 是非对称加密算法

安装

pip install cryptography

代码

import jwt
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import rsa

private_key = rsa.generate_private_key(public_exponent=65537, key_size=2048)
public_key = private_key.public_key()
private_key = private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.TraditionalOpenSSL,
    encryption_algorithm=serialization.NoEncryption()
)
public_key = public_key.public_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PublicFormat.SubjectPublicKeyInfo
)

encoded_jwt = jwt.encode({'some': 'payload'}, private_key, algorithm='RS256')  # 编码
decoded_jwt = jwt.decode(encoded_jwt, public_key, algorithms=['RS256'])  # 解码
print(encoded_jwt)
print(decoded_jwt)  # {'some': 'payload'}




自定义头部

import jwt

encoded_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256',
                         headers={'kid': '230498151c214b788dd97f22b85410a5'})  # 编码
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])  # 解码
print(encoded_jwt)
print(decoded_jwt)  # {'some': 'payload'}




不进行签名校验

参数 options={'verify_signature': False} 不进行签名校验

import jwt

encoded_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')  # 编码
decoded_jwt = jwt.decode(encoded_jwt, options={'verify_signature': False})  # 解码
print(encoded_jwt)
print(decoded_jwt)  # {'some': 'payload'}




读取头部不进行签名校验

import jwt

encoded_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')  # 编码
unverified_header = jwt.get_unverified_header(encoded_jwt)  # 读取头部
print(unverified_header)  # {'typ': 'JWT', 'alg': 'HS256'}




声明负载字段

支持以下字段

过期时间

exp (Expiration Time):过期时间,可用 UTC 时间戳或 datetime

解析超时报错 jwt.ExpiredSignatureError

参数 options={'verify_exp': False} 不进行过期时间校验

import datetime

import jwt

timestamp = int(datetime.datetime(2022, 1, 1).timestamp())  # 2022-01-01的时间戳,类型为int
after_a_week = datetime.datetime.now(tz=datetime.timezone.utc) + datetime.timedelta(days=7)  # 一周后,类型为datetime

# 超时报错
encoded_jwt = jwt.encode({'exp': timestamp}, 'secret', algorithm='HS256')
try:
    jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
except jwt.ExpiredSignatureError as e:
    print(e)  # Signature has expired
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'], options={'verify_exp': False})  # 不进行过期时间校验
print(decoded_jwt)  # {'exp': 1640966400}

# 正常解析
encoded_jwt = jwt.encode({'exp': after_a_week}, 'secret', algorithm='HS256')
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
print(decoded_jwt)  # {'exp': 1663252132}



生效时间

nbf (Not Before Time):生效时间,可用 UTC 时间戳或 datetime

解析未生效报错 jwt.ExpiredSignatureError

参数 options={'verify_nbf': False} 不进行过期时间校验

import datetime

import jwt

timestamp = int(datetime.datetime(2022, 1, 1).timestamp())  # 2022-01-01的时间戳,类型为int
after_a_week = datetime.datetime.now(tz=datetime.timezone.utc) + datetime.timedelta(days=7)  # 一周后,类型为datetime

# 未生效报错
encoded_jwt = jwt.encode({'nbf': after_a_week}, 'secret', algorithm='HS256')
try:
    jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
except jwt.ImmatureSignatureError as e:
    print(e)  # The token is not yet valid (nbf)
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'], options={'verify_nbf': False})  # 不进行生效时间校验
print(decoded_jwt)  # {'nbf': 1663252132}

# 正常解析
encoded_jwt = jwt.encode({'nbf': timestamp}, 'secret', algorithm='HS256')
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
print(decoded_jwt)  # {'nbf': 1640966400}



签发人

iss (Issuer):签发人

签发人不匹配报错 jwt.InvalidIssuerError

import jwt

payload = {'some': 'payload', 'iss': 'urn:foo'}

encoded_jwt = jwt.encode(payload, 'secret', algorithm='HS256')

# 未生效报错
try:
    jwt.decode(encoded_jwt, 'secret', issuer='tli:foo', algorithms=['HS256'])
except jwt.InvalidIssuerError as e:
    print(e)  # Invalid issuer

# 正常解析
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
print(decoded_jwt)  # {'some': 'payload', 'iss': 'urn:foo'}



受众

aud (Audience):受众

受众不匹配报错 jwt.InvalidAudienceError

import jwt

payload = {'some': 'payload', 'aud': ['urn:foo', 'urn:bar']}

encoded_jwt = jwt.encode(payload, 'secret', algorithm='HS256')

# 未生效报错
try:
    jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
except jwt.InvalidAudienceError as e:
    print(e)  # Invalid audience

# 正常解析
decoded_jwt = jwt.decode(encoded_jwt, 'secret', audience='urn:foo', algorithms=['HS256'])
print(decoded_jwt)  # {'some': 'payload', 'aud': ['urn:foo', 'urn:bar']}



签发时间

iat (Issued At):签发时间

签发时间非数字或 datetime 报错 jwt.InvalidIssuedAtError

import datetime

import jwt

now = int(datetime.datetime.now(tz=datetime.timezone.utc).timestamp())
payload = {'some': 'payload', 'iat': now}

encoded_jwt = jwt.encode(payload, 'secret', algorithm='HS256')
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
print(decoded_jwt)  # {'some': 'payload', 'iat': 1662620247}




必填负载字段

必填 expisssub

import datetime

import jwt

after_a_week = datetime.datetime.now(tz=datetime.timezone.utc) + datetime.timedelta(days=7)  # 一周后,类型为datetime
payload = {'some': 'payload', 'exp': after_a_week, 'iss': 'urn:foo', 'sub': 'foo'}

encoded_jwt = jwt.encode(payload, 'secret', algorithm='HS256')
decoded_jwt = jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'], options={'require': ['exp', 'iss', 'sub']})
print(decoded_jwt)  # {'some': 'payload', 'exp': 1663225440, 'iss': 'urn:foo', 'sub': 'foo'}




从JWKS端点检索RSA签名密钥

JWKS,JSON Web Key Set,指多个 JWK 组合在一起

import jwt
from jwt import PyJWKClient

token = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ik5FRTFRVVJCT1RNNE16STVSa0ZETlRZeE9UVTFNRGcyT0Rnd1EwVXpNVGsxUWpZeVJrUkZRdyJ9.eyJpc3MiOiJodHRwczovL2Rldi04N2V2eDlydS5hdXRoMC5jb20vIiwic3ViIjoiYVc0Q2NhNzl4UmVMV1V6MGFFMkg2a0QwTzNjWEJWdENAY2xpZW50cyIsImF1ZCI6Imh0dHBzOi8vZXhwZW5zZXMtYXBpIiwiaWF0IjoxNTcyMDA2OTU0LCJleHAiOjE1NzIwMDY5NjQsImF6cCI6ImFXNENjYTc5eFJlTFdVejBhRTJINmtEME8zY1hCVnRDIiwiZ3R5IjoiY2xpZW50LWNyZWRlbnRpYWxzIn0.PUxE7xn52aTCohGiWoSdMBZGiYAHwE5FYie0Y1qUT68IHSTXwXVd6hn02HTah6epvHHVKA2FqcFZ4GGv5VTHEvYpeggiiZMgbxFrmTEY0csL6VNkX1eaJGcuehwQCRBKRLL3zKmA5IKGy5GeUnIbpPHLHDxr-GXvgFzsdsyWlVQvPX2xjeaQ217r2PtxDeqjlf66UYl6oY6AqNS8DH3iryCvIfCcybRZkc_hdy-6ZMoKT6Piijvk_aXdm7-QQqKJFHLuEqrVSOuBqqiNfVrG27QzAPuPOxvfXTVLXL2jek5meH6n-VWgrBdoMFH93QEszEDowDAEhQPHVs0xj7SIzA'
kid = 'NEE1QURBOTM4MzI5RkFDNTYxOTU1MDg2ODgwQ0UzMTk1QjYyRkRFQw'
url = 'https://dev-87evx9ru.auth0.com/.well-known/jwks.json'
jwks_client = PyJWKClient(url)
signing_key = jwks_client.get_signing_key_from_jwt(token)
data = jwt.decode(
    token,
    signing_key.key,
    algorithms=['RS256'],
    audience='https://expenses-api',
    options={'verify_exp': False},
)
print(data)




常见问题




数字签名算法




参考文献

  1. PyJWT Documentation
  2. Cryptography Documentation
  3. JSON Web Token 入门教程 - 阮一峰的网络日志
  4. Python JWT使用
  5. RS256 vs HS256 What’s the difference?
  6. Python日期和时间库datetime
  7. Python时间访问和转换库time
  8. JWT实现登陆认证及Token自动续期
pyjwt,一个强大的 Python JWT解析校验库!
m0_67847535的博客
02-16 2455
JSON Web Tokens(JWT)是一种用于安全传输信息的开放标准(RFC 7519),它可以在网络应用之间传递声明。PyJWTPython中用于创建、解析和验证JWT的库,它提供了丰富的功能和灵活性,能够轻松地在Python应用程序中实现JWT的各种功能。本文将深入探讨PyJWT库的各个方面,包括基本概念、安装、创建、解析和验证JWT,以及高级功能和实际应用场景。
python_jwt,一个超酷的 Python 身份验证和授权库!
qq_67508379的博客
03-04 3105
在现代网络应用中,身份验证和授权是至关重要的功能。JSON Web Token(JWT)作为一种轻量级的身份验证和授权机制,已经成为了广泛使用的标准之一。Python中有许多JWT库可供选择,其中python_jwt库就是一款备受推崇的选择。本文将深入探讨python_jwt库的功能特性、使用方法以及应用场景,并提供丰富的示例代码,帮助了解如何利用python_jwt库实现安全可靠的JWT功能。python_jwt是一个Python库,用于生成、解析和验证JSON Web Tokens(JWT)。
理解JWT(JSON Web Token)认证python实践
weixin_34258078的博客
07-23 1312
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT认证方式。这一篇主要内容是 JWT认证原理,以及python 使用 jwt 认识的实践。 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提...
玩转JWTPyJWT库是你的不二之选
最新发布
AIGC搞起
03-17 671
Token(JWT)作为一种轻量级、独立于平台的安全令牌,被广泛用于用户认证、信息传递和API授权。然而,手动处理JWT的生成、解析和验证不仅繁琐,还容易出错。它提供了简单易用的API,支持多种加密算法,能够高效地处理JWT的生成、解析和验证。7519标准,支持多种加密算法(如HS256、RS256等),能够轻松生成、解析和验证JWTPyJWT是一个流行的Python第三方库,专门用于处理JSON Web Token(JWT)。在现代Web开发中,身份验证和信息交换是不可或缺的环节。指定允许的加密算法。
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3854
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
python认证教程_Python 基于jwt实现认证机制流程解析
weixin_39994270的博客
12-08 321
1.jwt的优缺点jwt的优点:1. 实现分布式的单点登陆非常方便2. 数据实际保存在客户端,所以我们可以分担数据库或服务器的存储压力jwt的缺点:1. 数据保存在了客户端,我们服务端只认jwt,不识别客户端。2. jwt可以设置过期时间,但是因为数据保存在了客户端,所以对于过期时间不好调整。2.安装jwtpip install djangorestframework-jwt -i https:/...
Python-pythonjwt一个用来生成和验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成和验证 JSON Web Tokens的模块
flask-web—— JWT认证方案
Shallow的博客
07-13 991
撒旦发射点
【业务总结】认证方案——JWT
xyx_x的博客
05-29 488
j
JWT身份验证绕过——来自hacker game2020
fatmoForE
12-02 3896
JWT简介 JWT (JSON Web Tokens) ,是一串用于身份验证的token(内容公开),存储在客户端,通过签名保证token的内容没有被篡改。 题解分析 官方wp中有这一串token: eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJndWVzdCIsImV4cCI6MTYwNDM3NDE4N30.ZADFKRFG0I5LpsUwb2hAqcyD1BOWf5doLrxVIuI-OINDPaBNKsuCPInxadxW5VbhDmmkcgBnGT_
Python与Django实战教程:深入理解JWT
通过上述内容,我们可以深入理解JWTPython Web开发中的应用,以及如何通过Django框架实现安全高效的用户认证机制。这不仅涉及到技术层面的实现,还包括了安全性、用户体验等多方面的考量。对于正在学习Python Web...
pythonJWT用户认证的实现
09-16
主要介绍了pythonJWT用户认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python web JWT认证
_Tsun 的博客
11-27 1555
前后端分离之JWT认证方式 原文 https://www.jianshu.com/p/180a870a308a JWT 即 json web token 为什么会使用JWT? 1*.http协议是无状态的* 2.如果使用传统方式,将session保存到数据库中,增大了服务器数据库存储压力 3.多数据库session需要时时同步 4.大型网站是多站点,多个域名组成的,使用set cookie ...
python JWT
youhebuke225的博客
08-26 460
JSON Web Tokens(JWT)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。JWT 通常用于在用户和服务器之间安全地传输信息,例如用户身份验证信息。在 Python 中,处理 JWT 最常用的库之一是PyJWT
PythonPyJWT:轻松实现 JSON Web Token (JWT) 网络令牌的生成与验证
Unity打怪升级
09-28 2665
PyJWT 是一个用 Python 实现的轻量级库,用于处理 JSON Web Token (JWT)。JWT 是一种安全的方式,用来表示双方之间经过签名的令牌,通常用于认证和授权场景。PyJWT 简化了 JWT 的生成和验证过程,使得开发者能够轻松地在 Python 项目中集成 JWT 功能。
Python JWT Authentication
小朋友2滴偷偷的在写博客
08-29 207
https://auth0.com/docs/quickstart/backend/python/01-authorization#validate-access-tokens
JWT用户认证以及python中的使用
hsw的博客
05-18 2886
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。 一、传统方式 前后端分离通过Restful API进行数据交互时,如何验证用户的登录信息及权限。在原来的项目中,使用的是最传统也是最简单的方式,前端登录,后端根据用户信息生成一个token,并保存这个token 和
pyjwt,一个强大的 Python 库!
轻编程的博客
02-16 1505
PyJWT是一个用于创建、解析和验证JSON Web Tokens(JWT)的Python库。JWT是一种紧凑且自包含的方式,用于在网络应用之间安全地传输信息。它由三部分组成:头部、载荷和签名。PyJWT库能够轻松地处理JWT,并在Python应用程序中实现身份验证和信息传输的安全性。除了使用默认的过期时间外,PyJWT还可以自定义过期时间处理逻辑,以满足特定的需求。例如,可以在解析JWT时检查过期时间,并根据情况进行处理。
Pyjwt ,python jwt ,jwt
weixin_30399871的博客
01-04 452
pip install Pyjwt 不错的jwt 文章: https://www.cnblogs.com/wayneiscoming/p/7513487.html Sampleimport jwt import time secret="b'\x7d\xef\x87\xd5\xf8\xbb\xff\xfc\x80\x91\x06\x91\xfd\xfc\...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XerCis

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值