文章目录
一、JWT简介
在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。
Json web token (JWT):是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
token是一种不需要在服务端的一种认证机制。比如:当客户端第一次登陆时,服务端会响应一个token值给客户端,下次访问时携带这个token值,服务端会解析出这个token值里面的数据,以此来确保是一个合法的用户才能通过认证。
二、JWT的构成原理
2.1 JWT的生成
JWT就是一段字符串,由三段信息构成的,将这三段信息文本用.
连接一起就构成了Jwt字符串。就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature)。
1、header头部
JWT头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。
比如:
- 声明类型:这里是jwt
- 声明加密的算法,通常直接使用 HMAC、HS256、MD5都可以
这也可以被表示成一个JSON对象
import base64
import json
head = {
'typ': 'JWT',
'alg': 'MD5'x'f'f
}
head_json = json.dumps(head).encode('utf-8') # base64只能加密bytes类型内容
head_base64 = base64.b64encode(head_json) # 对头部head数据进行base64编码加密
然后将头部进行base64编码(该编码是可以对称解码的),构成了第一部分
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
2、payload载荷
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
- 标准中注册的声明
- 公共的声明
- 私有的声明
标准中注册的声明 (建议但不强制使用) :
- iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避时序攻击。
公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分存入客户端后,不法用户可自行解码.
私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解码的,意味着该部分信息可以归类为明文信息。
定义一个payload:
import base64
import json
payload = {
"sub": "1234567890",
"name": "Tom",
"admin": True
}
payload_json = json.dumps(payload).encode('utf-8')
payload_base64 = base64.b64encode(payload_json)
然后将其进行base64加密,得到JWT的第二部分
eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIlRvbSIsICJhZG1pbiI6IHRydWV9
3、signature签名
JWT的第三部分是一个签证信息,这个签证信息由三部分组成:
- header (base64编码加密后的)
- payload (base64编码加密后的)
- secret(秘钥、也可以称为加盐)
import hashlib
md5 = hashlib.md5()
md5.update(head_base64)
md5.update(payload_base64)
md5.update(b'wmwm') # secret
signature = md5.hexdigest()
token = f'{
head_base64.decode("utf-8")}.{
payload_base64.decode("utf-8")}.{
signature}'
print(token)
第三段signature签名值:
04748f59f146cdcd27e1452c4cd819e5
最终返回给我们的就是一个完整的token值
eyJ0eXAiOiAiSldUIiwgImFsZyI6ICJNRDUifQ==.eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIlRvbSIsICJhZG1pbiI6IHRydWV9.04748f59f146cdcd27e1452c4cd819e5
我们只需要将此token返回给前端,下次访问服务端时携带token,服务端会检查前前两段经过md5算法,以及指定秘钥后是否和签名值相同。
2.2 手动验证token
比如:当客户端将token携带过来以后,我们需要对其token值是否有效进行校验
import hashlib
# 获取到jwt的3段值
head,payload,signature = 'eyJ0eXAiOiAiSldUIiwgImFsZyI6ICJNRDUifQ==.eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIlRvbSIsICJhZG1pbiI6IHRydWV9.04748f59f146cdcd27e1452c4cd819e5'.split(<