【jwt】

已于 2024-01-29 13:28:14 修改
阅读量223 收藏
点赞数 3
文章标签: python 开发语言
于 2024-01-28 14:49:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36292545/article/details/135882807
版权

HMAC

HMAC-SHA256

是一种通过特别计算方式之后产生的消息认证码使用散列算法同时结合一个加密密钥。它可以用来保证数据的完整性,同时可以用来作某个消息的身份验证

import hmac

key = b''
string = b''
h = hmac.new(key, string, digestmod=hashlib.sha256)
h.digest()

JWT-校验jwt规则

  1. 确认alg解析header
  2. 签名校验-根据传过来的header和payload按 alg 指明的算法进行签名,将签名结果和传过来的sign进行对比,若对比一致,则校验通过。
  3. 获取payload自定义内容
# 安装pyjwt,而不是jwt
pip install pyjwt -i https://pypi.tuna.tsinghua.edu.cn/simple/

JWT的三部分

生成的token由三部分组成,以.分隔

import jwt
import time
import base64


def make_token(username, expire=3600 * 24):
    key = '123456'
    now_t = time.time()
    payload_data = {
        'username': username,
        'exp': now_t + expire
    }
    return jwt.encode(payload_data, key, algorithm='HS256')


def unmake_token(token):
    key = '123456'
    return jwt.decode(token, key, algorithms=['HS256'])


token = make_token('poppy')
print(f'token:{token},{type(token)}')
# 第一部分,头信息,注明使用的算法、类型等信息,采用base64生成
headers = token.split('.')[0]
headers = base64.b64decode(headers).decode('utf-8')
print(f'headers:{headers},{type(headers)}')

# 第二部分,payload,需要加密的信息,通常包括用户信息等,采用base64生成
payload = token.split('.')[1]
payload = base64.b64decode(payload).decode('utf-8')
print(f'payload:{payload},{type(payload)}')

# 第三部分是对第一、二部分经过加密后得到的
# --------------------------------------------

# 如果第三部分经过解密以后与第一、二部分符合,则token有效,返回加密的内容
ori_string = unmake_token(token)
print(f'ori_string:{ori_string},{type(ori_string)}')


token:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InBvcHB5IiwiZXhwIjoxNzA2NTkyNDA3LjgzNTA3NjZ9.GwJa7CLxE1N7-S7COWCgut4AHE_NTTM9rS4XvRqPVDk,<class 'str'>
headers:{"alg":"HS256","typ":"JWT"},<class 'str'>
payload:{"username":"poppy","exp":1706592407.8350766},<class 'str'>
ori_string:{'username': 'poppy', 'exp': 1706592407.8350766},<class 'dict'>
【项目实战】HS256HMAC 加密算法
本本本添哥
07-31 2052
HMAC,是一种基于密钥和哈希函数的消息认证码算法。HMAC,是一种使用密钥的散列算法。HMAC,用于验证数据的完整性和验证发送者的身份。HMAC,结合了密钥和消息内容,生成一个固定长度的认证码(摘要)。HMAC,结合了哈希函数(如SHA-256)和密钥,以产生一个固定长度的认证码(摘要)这个认证码(摘要)可以用于验证消息的完整性和确认消息是否由拥有密钥的发送方发送。这个认证码(摘要)用于验证消息的完整性和发送者的身份。
JWT & HMAC-SHA256
weixin_30824599的博客
09-27 837
JWT JSON Web Tokens https://jwt.io/ https://en.wikipedia.org/wiki/JSON_Web_Token#Structure HMACSHA256 https://en.wikipedia.org/wiki/HMAC keyed-hash message authentication code or hash-based ...
JWTJWT+HA256加密 Token验证
weixin_30457465的博客
03-25 1239
目录 Token验证 传统的Token验证 JWT+HA256验证 回到顶部 Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token ...
.net 中使用JWT进行认证与授权
qq_61709335的博客
03-03 458
JWT(Json Web Token)是一种在网络上安全地传输信息的开方标准,常用于实现用户认证和授权。这三部分通过(.)符号连接在一起,组合成JWT
hmac sha256安全吗_springboot 中使用JWT保护资源安全
weixin_30998797的博客
12-09 1137
什么是JWT Json Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 尽管jwt可以被加密以提供双方之间的保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声...
JWT HMACSHA256加密出来的数据为什么有下划线和-
qq_41925187的博客
07-25 404
JWT(JSON Web Token)中,HMACSHA256加密的结果经过了Base64编码处理,而Base64编码的输出会根据Base64 URL安全规范进行进一步处理。因此,Base64 URL安全编码会将+替换为-,/替换为_,以确保生成的JWT可以安全地包含在URL中。JWT中的下划线_和横线-是由于Base64 URL安全编码规范而产生的,这是为了确保JWT在URL中使用时不会出错。因此,最终JWT中的签名部分会包含-和_字符,这就是为什么你会在JWT中看到这些字符的原因。
JWT学习流程及使用
m0_62356399的博客
07-19 806
然而,Session 是在服务器端的,而 JWT 是在客户端的。因为 JWT 可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。单点登录是现在广泛使用JWT 的一个特性,因为它的开销很小,而且可以轻松地跨域使用JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT,即 JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
在 .NET 9.0 Web API 中实现 Scalar 接口文档及JWT集成
02-20
在.NET 9.0 Web API中集成Scalar接口文档和JWT是一项非常实用的技术实践,它允许开发者在构建Web API的同时,也能够提供一个详尽的接口文档,并且通过JWT(JSON Web Tokens)来实现安全的用户认证机制。随着Swagger...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
网络安全 - JWT 密钥爆破 - CrackingJWTKeys.py
09-29
JWT(JSON Web Token)是一种广泛用于身份验证和信息交换的开放标准。然而,JWT的安全性在很大程度上依赖于其签名的有效性,而签名的有效性又依赖于密钥的保密性。因此,保护JWT密钥不被破解至关重要。`...
Delphi JOSE and JWT Library
03-03
**Delphi JOSE and JWT Library 知识点详解** JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,广泛应用于分布式系统、API安全等领域。它通过将用户信息编码为一个安全的JSON对象,该对象可以被签名,也...
彻底搞懂JWT令牌
传智燕青
05-08 718
什么是JWT? JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 JWT令牌的优点 1、jwt基于json,非常方便解析。 2、可以在令牌中自定义丰富的内容,易扩展。 3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 JWT令牌结构 JWT令牌由Header、Payload、Sig
JWT的加密算法有哪些,它们之间有什么区别?
eeeeeeeeei的博客
03-25 1901
在选择JWT的加密算法时,需要根据系统的具体需求和安全要求来决定使用哪种算法。对于需要跨多个服务或不信任环境传输的Token,推荐使用非对称加密算法,如RS256或ES256JWT(JSON Web Token)支持多种加密和签名算法,这些算法用于确保Token的安全性和数据的完整性。
Python JWT 介绍
m0_56477185的博客
02-27 3739
JWT 全称: json-web-token JWT的大白话解释: 现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。 1. 三大组成 JWT和cookie、session相比: 第一部分 header 在Python来看就是一个字典格式,元数据如下: {'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的类别 此处必须为 大写的
使用JWT创建Token和验证Token
qq_38966550的博客
10-27 524
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT极简版
2301_78443418的博客
01-02 738
/开始验证,如果验证失败会报错,建议用try catch环绕。return JWT.create().withHeader(objectObjectHashMap)//加头。.withClaim("id",id)//加内容。System.out.println("jwt验证");//进行加密,创建jwt。//验证jwt是否合法。
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3856
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
JWT&对称加密&非对称加密
小宝儿的学习之路
03-01 1万+
JWT JWT原理图: JWT的数据结构 jwt头:JWT头部分是一个描述JWT元数据的JSON对象 有效载荷:七个默认字段+自定义私有字段 签名=HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret JWT由头部(header)载荷(payload)签证(sign)三部分构成 jwt的头部包含两部...
JWT
最新发布
03-08
### JSON Web Token (JWT) 概述 JSON Web Token(JWT)是一种开放标准(RFC 7519),旨在作为各方之间安全传输信息的方式。这种紧凑且自包含的令牌允许在主体(通常是用户)和服务器间传递声明,这些声明通常经过数字化签名来确保其真实性[^1]。 ### 使用场景 #### 授权 授权是JWT最普遍的应用之一,尤其适用于解决单点登录(Single Sign-On, SSO)的问题。由于JWT具有无状态特性——即服务端无需保存会话信息,这使得它非常适合于现代Web应用和服务架构中的身份验证需求[^2]。 #### 信息交换 除了用于认证外,JWT还常用来实现在不同系统间的可靠数据共享。通过利用加密技术对Token进行签名,接收方可确认发送者的合法性以及所携带的信息未经篡改。因此,在微服务环境中或第三方API调用时采用JWT能提供一种高效而安全的消息传递机制。 ### 实现方式 创建一个典型的JWT涉及三个部分:头部(Header)、载荷(Payload) 和 签名(Signature): - **Header**: 包含类型(`typ`)与使用的算法名称(`alg`), 如HMAC SHA256 或 RSA。 - **Payload**: 承载着实际要传达的数据,称为Claims。它们可以是非敏感性质的内容,比如用户名或其他公开属性。 - **Signature**: 是基于前面两个组件计算得出的结果,目的是为了防止任何人修改已发出的token内容。具体来说就是将编码后的header和payload连同密钥一起按照指定算法处理得到最终字符串[^4]。 ```json { "alg": "HS256", "typ": "JWT" } . { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } . SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 上述示例展示了如何构建一个完整的JWT实例,其中包含了必要的组成部分并进行了适当格式化以便于理解和使用。 ### 安全性 安全性对于任何涉及到个人信息保护的技术都至关重要。针对这一点,JWT提供了强大的防护措施以抵御潜在威胁。通过对Header和Payload实施数字签名,不仅能够检验消息的真实性还能保证其完整性不受破坏。即使有人试图中途拦截并对内容做手脚也无法绕过这一层校验屏障。 此外值得注意的是,在某些情况下可能会选择HTTPS协议下的POST请求体内放置JWT而非直接附加到HTTP头字段中,以此增强通信的安全等级[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值