jwt(json web token)

最新推荐文章于 2024-04-12 19:47:08 发布
最新推荐文章于 2024-04-12 19:47:08 发布
阅读量431 收藏
点赞数
分类专栏: python 文章标签: python json 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prigilm/article/details/121150913
版权

Python之jwt(json web token)

一、什么是jwt

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。

jwt全称json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准
((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务
器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认
证,也可被加密。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LJqSn4jc-1636029379226)(007S8ZIlgy1ggprivsr69j31i50u0tao.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aESAO1IM-1636029379228)(007S8ZIlgy1ggpriyyay5j31i80u03zl.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HvqAz1fJ-1636029379229)(007S8ZIlgy1ggprj27cflj31fq0u0abx.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MincRGuj-1636029379231)(007S8ZIlgy1ggprj5moolj31ob0u0q4w.jpg)]

二、jwt构成和工作原理

1、jwt的构成

jwt信息就是一段字符串,有三段信息组成,将这三段信息当文本用,连接在一起就构成了jwt字符串

例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

三部分均由.分割开来

第一部分叫头部(header),第二部分叫载荷(payload),第三部分叫签证(signatrue)

header

jwt的头部承载两部分信息:

  • 声明类型:这是jwt
  • 声明加密的算法:通常直接使用HMAC SHA256

完整的头部如下

{
   
  'typ': 'JWT',
  'alg': 'HS256'
}
payload

载荷就是存放有效信息的地方,这些有效信息包含三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用):

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避时序攻击。

公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息

定义一个payload:

{
   
    "user_id":456,
    "username":"zhang",
    "admin":true
}

将其用base64编码:

eyJ1c2VyX2lkIjogNDU2LCAidXNlcm5hbWUiOiAiemhhbmciLCAiYWRtaW4iOiB0cnVlfQ==
signature

JWT的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。

2、工作原理
签发

根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token

"""
1)用基本信息存储json字典,采用base64算法加密得到 头字符串
2)用关键信息存储json字典,采用base64算法加密得到 体字符串
3)用头、体加密字符串再加安全码信息存储json字典,采用hash md5算法加密得到 签名字符串

账号密码就能根据User表得到user对象,形成的三段字符串用 . 拼接成token返回给前台
"""
校验

根据客户端带token的请求 反解出 user 对象

"""
1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间和设备信息都是安全信息,确保token没过期,且时同一设备来的
3)再用 第一段 + 第二段 + 服务器安全码 不可逆md5加密,与第三段 签名字符串 进行碰撞校验,通过后才能代表第二段校验得到的user对象就是合法的登录用户
"""
drf项目的jwt认证开发流程(重点)
"""
1)用账号密码访问登录接口,登录接口逻辑中调用 签发token 算法,得到token,返回给客户端,客户端自己存到cookies中

2)校验token的算法应该写在认证类中(在认证类中调用),全局配置给认证组件,所有视图类请求,都会进行认证校验,所以请求带了token,就会反解出user对象,在视图类中用request.user就能访问登录的用户

注:登录接口需要做 认证 + 权限 两个局部禁用
"""

三、drf-jwt的安装和使用

安装
pip install djangorestframework-jwt

# 还有一个
djangorestframework-simplejwt
使用

签发:

# 1 创建超级用户
python3 manage.py createsuperuser
# 2 配置路由urls.py
from django.urls import path
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    path('login/', obtain_jwt_token),
]
# 3 postman测试
向后端接口发送post请求,携带用户名密码,即可看到生成的token

# 4 setting.py中配置认证使用jwt提供的jsonwebtoken
# 5 postman发送访问请求(必须带jwt空格)

认证:

from rest_framework_jwt.authentication import JSONWebTokenAuthentication  # drf_jwt内置的认证类
from rest_framework.permissions import IsAuthenticated 
class BookView(APIView):
    # 使用drf_jwt内置的认证,必须加这两个
    authentication_classes = [JSONWebTokenAuthentication, ]
    permission_classes = [IsAuthenticated]

四、drf-jwt源码解析

1、obtain_jwt_token源码解析
from django.contrib import admin
from django.urls import path
from app01 import views
from rest_framework_jwt.views import obtain_jwt_token

urlpatterns = [
    path('admin/', admin.site.urls),
    path('books/', views.BookAPIView.as_view())
最低0.47元/天 解锁文章
意大利面拌42号混凝土
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-authorization-server 授权码许可类型授权页面自定义JSON响应,应用前后端分离场景
tof
05-18 2104
spring-authorization-server 授权码许可类型授权页面自定义JSON响应,应用前后端分离场景
Django DRF - JWT Token认证使用
Mr_WoLong
04-21 785
Django DRF - JWT Token认证使用
Rest framework中Json Web Token使用及源码浅析
hyh294673057的博客
07-28 1310
一、使用 1.settings设置 INSTALLED_APPS = { 'rest_framework', } JWT_AUTH = { #jwt加密处理函数 'JWT_ENCODE_HANDLER': 'rest_framework_jwt.utils.jwt_encode_handler', #jwt解密处理函数 'JWT_DECODE_HANDLER...
网络安全防护-JSON WEB TOKEN讲解与实战_jsonwebtoken 规范
最新发布
m0_v648374的博客
04-12 793
然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
django配置json web tokenJWT
qq_36710311的博客
04-06 558
json web token简称JWT,在如今的技术圈,所有前后端分离的项目中,不论是使用Python,java,PHP还是#C开发的网站,大部分都是用JWT进行登录验证的。 jwt分五步: 用户在前端通过账号和密码进行登陆操作,将身份信息发送到后端服务器进行身份验证; 如果后端服务器通过了身份验证,则会将一部分身份信息通过非对称加密生成JWT,返回给前端前端获取JWT之后,将JWT保存在...
[JWT]djangojson web token实现单用户登录
Gtheal的博客
02-27 1080
全文1546字,可能需要您5分钟. 共三部分: 一.JWT的概念 二.django restfulframework_jwt源码分析 三.基于django中间件实现跳转页面的鉴权工作 因为采用前后端分离的技术,所以考虑使用JWT来进行页面授权,这个问题想了好久,有点难懂,主要是跳转页面的鉴权问题. 一.JWT的概念 json web token是用来代替cookie-session...
.NET 6 WebApi Swagger 配置 JWT token+Authorize认证
qq_61325957的博客
05-03 3509
所以读者姥爷如果只是单纯返回token的时候,记得在控制器右上角的Authorize里 先写Bearer+空格+你的token。然后 我们还要启用验证,还是在program.cs下,注意顺序,不能乱,一定要先认证、再授权 ,否则会验证失败。我这里下载的是6.0版本的 下载自信版提示报错和自己的版本不搭配,大家看自己core的版本而定吧。在这里稍稍提醒一下各位读者,在token接口里,我返回token串是写的。好了,今天的分享到这里,希望能够帮助到你,我们下期见。然后再去点击刚才的控制器。
jwt, json web token
while(True): print('adorable')
12-06 403
用于登录,session的替代品。
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
httpClient请求 带Authorization(授权)username password的REST API 返回JSON数据
sinat_42888557的博客
05-20 4944
第一步–引入: <dependency> <groupId>commons-httpclient</groupId> <artifactId>commons-httpclient</artifactId> <version>3.1</version> </dependency> 第二步...
JWT的封装、[Authorize]的使用
qq_58159494的博客
10-24 469
对方法进行[Authorize]标识,那么这个方法就必须要在JWT检验通过了才能使用,也就是在使用该方法时需要传输后端生成的JWT,否则就调用不了[Authorize]标识的方法。
安全-认证授权、数据脱敏
Xue_99的博客
08-03 878
一、认证授权 JWTJWTJSON Web Token)是一种身份认证的方式,JWT 本质上就一段签名的 JSON 格式的数据。由于它是带有签名的,因此接收者便可以验证它的真实性。 SSO(单点登录) :SSO(Single Sign On) 即单点登录说的是用户登陆多个子系统的其中一个就有权访问与其相关的其他系统。举个例子我们在登陆了京东金融之后,我们同时也成功登陆京东的京东超市、京东家电等子系统。 认证 (Authentication) 和授权 (Authorization)的区别是什
RestTemplate用get、Post发送JSON,LIST等数据,使用token,Authorization,basic auth等验证权限,最后返回json数据和流的实践总结
liudaka的博客
12-14 1801
post请求发送json 数组或者集合 Authorization Bearer token验权,返回文件流。post请求发送json ,basic auth验权,返回json
Authorization: Bearer是干什么的?底层原理是什么?
热门推荐
长风破浪会有时的博客
06-06 1万+
底层原理是这样的:当客户端发送 HTTP 请求时,可以在请求头部中添加 "Authorization" 字段来传递访问令牌。"Bearer" 是一种认证方案(authentication scheme)的名称,用于指示后面的令牌是访问令牌。需要注意的是,"Bearer" 方案本身并不提供加密或验证令牌的机制,它只是一种用于标识令牌类型的约定。服务器在接收到请求时,可以读取 "Authorization" 字段,并解析出令牌部分,即 "your_access_token"。
使用JSON Web Token完成用户认证(REST framework JWT Auth)
走向未来
04-10 5074
前提: Python 3.6.5 Django 1.11 Django REST Framework 3.8 第一步:安装jwt pip install djangorestframework-jwt 注意:这里,我们安装的是djangorestframework-jwt 1.11; 第二步:局部JWT的使用设置,即在某个接口上使用JWT进行用户认证,例如,获取当前用户已下架的主题接口: f...
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = datetime.datetime.utcnow() + datetime.timedelta(minutes=30) # 定义payload payload = { 'user_id': '123456', 'username': 'john', 'exp': expire_time } # 生成token jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') print(jwt_token) ``` 上述代码中,我们使用了 pyjwt 库来生成 JWT Token。它的 encode() 方法接收三个参数:payload、密钥和算法。payload 是一个字典,包含我们想要在 Token 中存储的信息,例如用户ID、用户名、过期时间等等。密钥是一个字符串,用于加密 Token。算法是指用于加密 Token 的算法,这里我们选择了 HS256。 3. 验证JWT Token ```python import jwt # 定义Token jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcm5hbWUiOiJqb2huIiwiZXhwIjoxNjMxMzEwMDUzfQ.XsDEjcd7jH8qC-6pZlWjZaFvDz-pT8NvQYrWb8I3-5c' # 验证Token try: decoded_token = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) print(decoded_token) except jwt.ExpiredSignatureError: print('Token已过期') except jwt.InvalidTokenError: print('无效的Token') ``` 上述代码中,我们使用了 pyjwt 库的 decode() 方法来验证 Token。它接收三个参数:Token、密钥和算法。如果 Token 有效,则返回包含信息的字典。如果 Token 过期或无效,则会引发 jwt.ExpiredSignatureError 或 jwt.InvalidTokenError 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值