JWT 全称: json-web-token
JWT的大白话解释:
现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。
1. 三大组成
JWT和cookie、session相比:
第一部分
-
header
在Python来看就是一个字典格式,元数据如下:
{'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的类别 此处必须为 大写的 JWT # 该部分数据需要转换成json串并用base64转码
payload
在cookie和session中会将用户id或名字写入到其中,在token中会将其写在payload中。
格式为字典-此部分分为公有声明和私有声明
公有声明: JWT提供了内置关键字用于描述常见的问题
此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下:
{'exp':xxx, # EXpiration Time 此token的过期时间的时间戳 time.time()+300s 给一个未来过期时间 'iss':xxx, # (issuer) Claim 指明此token的签发者 是那台机器签发的token (当前项目没用) 'aud':xxx, # (Audience) Claim 指明此token的签发群体 token签发面向群体是那些人 区分pc,ios,android (当前项目没用) 'iat':xxx, # (ISSued At) Claim 指明此创建时间的时间戳 # 以上四项是我们的公有声明 保留字 # 下边私有声明 'username':'xxx', }
私有声明: 用户可根据自己业务需求,添加自定义的key,
公有声明和私有声明均在同一个字典中;转成json串并用bsase64转码
Signature 签名
签名规则如下:
根据header中的alg确定具体算法,以下用HS256为例:
HS256(自定义的key,base64后的header + b’.‘ + base64后的payload,digestmod=‘SHA256’)
2. jwt结果格式
-
base64(header) + b'.' + base64(payload) + b'.' + base64(Signature)
-
. 校验jwt规则
- 解析header,确认alg使用的算法
- 签名校验-根据传过来的header和payload按 alg指明的算法进行签名,将签名结果和传过来的sign进行对比,若比对一致,则校验通过
- 获取payload自定义内容
- 第一部分:header
#一般固定如下 { 'typ': 'JWT', 'alg': 'HS256' } base64编码 ,并替换=号---> "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9"
第二部分: payload
{ 'id': user.id, 'username': user.username, ‘exp’: time.time() + 300, #过期时间 } base64编码-> "eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"
第三部分: 前两部分的编码串通过 ‘.’ 连接,得到如下:
temp = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"
然后使用第一部分 声明的算法HS256进行加密,得到如下:
import hmac h = hmac.new(b'key', temp.encode(), digestmod='SHA256') sign = base64.urlsafe_b64encode(h.digest())
全部代码
import datetime import jwt #需要安装pip install pyjwt from django.conf import settings def generate_token(user): """ :param user: 用户对象 :return: 生成的token """ #自己组织payload payload = { 'user_id': user.id, 'username': user.username, 'exp': datetime.datetime.now() + datetime.timedelta(seconds=300) } token = jwt.encode(payload=payload, key=settings.SECRET_KEY, algorithm='HS256') return token