jwt在python项目中的应用

最新推荐文章于 2024-05-11 16:59:01 发布
最新推荐文章于 2024-05-11 16:59:01 发布
阅读量424 收藏 2
点赞数
分类专栏: Django REST framework 文章标签: python jwt django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47317917/article/details/108523661
版权

文章目录

jwt

1.1 传统token认证
用户登录,服务器分发一个token,并将其保存在数据库中
当用户在访问时需要携带token,服务端获得token后会去数据库进行校验
1.2 jwt
用户登录,服务器分发一个token,但不保存
当用户在访问时需要携带token,服务端获得token后去校验

相较于传统token,jwt不需要在数据库中保存
1.2.1 jwt认证过程

img

1.3 python中的jwt
1.3.1 实现原理

  • 第一步用户登录时,使用jwt创建一个token返回给客户端

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

    注意:jwt由三个部分组成,并且由"."链接

    • 第一段:HEADER:ALGORITHM & TOKEN TYPE

      ​ json转化为字符串,然后做 base64url 加密

      {
  "alg": "HS256", # 加密算法
  "typ": "JWT" # token类型
}

    • 第二段:PAYLOAD:DATA

      {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp":datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超时时间
}

      注意:荷载主要存储的是用户传来的信息,但是可以被解密出来的,所以像密码之类的敏感信息不要往荷载里放

    • 第三段:VERIFY SIGNATURE

      第一步:将1,2部分的密文用"."拼接起来
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
第二步:对前两个部分的密文进行HS256加密+加盐
第三步:对加密后的密文再进行 base64url 加密

      注意:最后一段的签名是当有前两段稍微有修改,第三段签名就会变化

  • 获取到前端传来的token,进行验证

    • 第一步,对token进行分割,以"."分割

      eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

    • 第二步:获取第二段,在对其进行base64url解密获得payload,检测是否超时

      {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp":datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超时时间
}

    • 第三步:将1,2两部分拼接起来,对其进行sha256加密

      第一步:将1,2部分的密文拼接起来
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
第二步:对前两个部分的密文进行HS256加密+加盐
密文 = base64解密(SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c)
如果相等则验证通过,密文未被修改过
1.3.2应用
pip install pyjwt
pyjwt里面封装了上面的一些加密解密方法,直接调用即可

pyjwt.encode 生成token
pyjwt.decode token解密
1.3.2.1封装jwt应用

  • 创建文件夹,存放生成token的脚本:utils—>jwt_auth

    import datetime
import jwt
from django.conf import settings

def create_token(payload,timeout=1):
    '''创建token'''
    salt = settings.SECRET_KEY
    # 构造header
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    # 构造payload,自己在view自定义要传的值,在方法里自动加上超时时间
    payload["exp"] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)  # 超时时间


    token = jwt.encode(payload=payload, key=salt, algorithm="HS256", headers=headers).decode('utf-8')
    return token

  • 创建文件夹,验证token : extensions----->auth

    import jwt

from django.conf import settings
from jwt import exceptions
from rest_framework.response import Response
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed


class JwtQueryAuthentication(BaseAuthentication):
     '''
        jwt验证
        BaseAuthentication:用于拦截请求,在视图函数钱执行相应认证方法
        必须重写authenticate(self, request)方法,request参数必须传入
     '''

    def authenticate(self, request):
        token = request.query_params.get("token")
        salt = settings.SECRET_KEY
        try:
            payload = jwt.decode(token, salt, True)
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({"status": 1003, "error": 'token已失效'})
        except jwt.DecodeError:
            raise AuthenticationFailed({"status": 1004, "error": 'token认证失败'})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({"status": 1005, "error": '非法的token'})
        # if not payload:
        #     return Response({"status": 1003, "error": msg})
        return (payload, token)

        # 有三种操作
        # 1.验证失败,直接抛错不继续往下走了
        # 2.验证通过返回一个元组(1,2) ,在视图中调用request.user就是元组中的第一个值,调用request.auth是第二个值
        # 3.返回None,继续下个验证

  • 在视图里

    class loginJwtView(APIView):
    '''封装之后jwt分发token'''
    # 登录不需要验证
    authentication_classes = []
    def post(self, request, *args, **kwargs):
        # 这里简单写了,应该是先经过正常的登录认证在数据库里取到的值
        token = create_token({"username": request.data.get("username")}, timeout=2)
        return Response({"status": 200, "data": token})


from jwtdemo.extensions.auth import JwtQueryAuthentication
class orderJwtView(APIView):
    '''封装之后jwt验证token'''
    # 会先执行认证
    # 在settings设置不需要每个视图都加上authentication_classes
    # authentication_classes = [JwtQueryAuthentication, ]

    def get(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({"status": 200, "message": "验证成功"})

  • 当视图增多时,每次在视图前面加上authentication_classes = [JwtQueryAuthentication, ]便会显得很麻烦,这里在settings里设置

    REST_FRAMEWORK = {
    # 默认情况下,所有的页面都会加上jwt认证
    "DEFAULT_AUTHENTICATION_CLASSES":['jwtdemo.extensions.auth.JwtQueryAuthentication',]
}

    注意:默认情况下,所有的页面都会加上jwt认证,所有登录页面要单独处理,加上authentication_classes = []

2.1 扩展
pip install djangorestframework-jwt
djangorestframework-jwt内部使用的就是pyjwt
3 参考

官网:https://jwt.io/

代码参考:https://www.cnblogs.com/wupeiqi/p/11854573.html

Outlierwu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pythonJWT
weixin_34355881的博客
12-12 526
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业...
jwt的概念以及在Python使用JWT
非空盒子的博客
03-07 491
先理解他是什么: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,通用性比较好,由header,payload,signature组成 再解释下什么是头部、载荷、签证: 头部用来声明类型和加密算法,载荷用来存储有效信息,签证包括头部 载荷和secret, 这个secret用来签发token和验证token,保存在服务端(比如redis)...
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析
最新发布
2401_84140580的博客
05-11 1770
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
python PyJWT 使用
极客点儿
01-16 9341
在程序开发,用户认证授权是一个绕不过的重难点。以前的开发模式下,cookie 和 session 认证是主流,随着前后端分离的趋势,基于 Token 的认证方式成为主流,而 JWT 是基于 Token 认证方式的一种机制,是实现单点登录认证的一种有效方法 PyJWT 是一个用来编码和解码 JWT(JSON Web Tokens) 的 Python 库,也可以用在 Flask 。,PyJWT 用来...
jwt的使用demo
宫本武藏獒
05-10 196
jwt JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案 组成部分如下 2. ## 跨域身份验证 3. ## 代码 import jwt # 生成jwt 三个参数,载荷(要加密的数据),签名哈希(盐值),指定加密算法 encode_jwt = jwt.encode({'uid': 2}, '12345', algorithm='HS256') # 转码 encode_str = str(encode_jwt, 'utf-8') print(encode_str) # 解
JWT详细介绍 Python实现
有勇气的牛排博客
12-01 2958
本文以python来进行实战演示JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于以json的方式安全传输信息,并且通过数字签名来保证信息是信任的。jwt可以使用秘钥(HMAC算法)或RSA或ECDSA的公钥/私钥对其进行签名。
Django项目使用JWT的实现代码
09-18
Django项目集成JSON Web Token (JWT) 可以为用户提供无状态的身份验证,而无需使用传统的会话管理。JWT是一种轻量级的身份验证机制,适用于前后端分离的应用。以下是如何在Django项目使用JWT的详细步骤: 1. ...
Python 基于jwt实现认证机制流程解析
09-16
JWT(JSON Web Token)是一种用于用户身份验证的技术,在现代Web应用开发被广泛采用。它通过创建一个包含用户信息的令牌来实现认证,这个令牌可以在客户端与服务器之间安全地传递。 **JWT的优点:** 1. **实现...
python+vue3前后端分离项目.zip
01-17
项目Python+Vue3前后端分离项目”是基于Python技术和Vue.js 3框架实现的,展示了如何有效地构建一个完整的Web应用。 **Python后端** Python是一种广泛用于Web开发的高级编程语言,其简洁明了的语法和丰富的库...
python项目之BBS问答社区.zip
08-07
在本项目"Python项目之BBS问答社区",我们主要关注的是利用Python语言构建一个交互式的在线问答平台。这个项目旨在提供一个平台,让用户能够提问、回答问题,以及进行讨论,类似于StackOverflow或者知乎这样的社区...
python fastapi 构建一个完整项目框架.zip
01-17
【描述】:“Python项目” 这是一个基于Python的Web开发项目,旨在教你如何利用FastAPI搭建一套完整的应用框架。FastAPI以其简洁的代码风格、高效的性能和出色的可读性,成为了Python开发者的新宠。在这个项目,...
PyJWT 项目
08-24
PyJWT项目,使用pycharm导入资源,配置好运行环境,即可运行该项目
django实现jwt身份认证
a961634066的博客
08-12 2779
文章使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt。............
Python JWT 介绍
m0_56477185的博客
02-27 3638
JWT 全称: json-web-token JWT的大白话解释: 现在比较火的token的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。 1. 三大组成 JWT和cookie、session相比: 第一部分 header 在Python来看就是一个字典格式,元数据如下: {'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的类别 此处必须为 大写的
Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 6821
JWT 即JSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
pythonjwt的使用
qq_31466841的博客
04-02 2777
JWT是什么? JWT是json web token的缩写,一种基于token的json格式web认证方法,说白了就是一个很长的字符串 JWT原理是什么? 基本的原理是,第一次认证通过用户名密码,服务端签发一个json格式的token。后续客户端的请求都携带这个token,服务端仅需要解析这个token,来判别客户端的身份和合法性 JWT的作用和特点 由于http协议是无状态的,所以客户...
Python用户认证JWT——PyJWT
XerCis的博客
09-08 4006
PyJWTPython编解码JWT的库。JWT是JSON Web Token,基于RFC7519,用于跨域认证 ,便于服务器集群认证。服务器认证后,生成一个JWT返回客户端,之后客户端与服务器通信都要发回这个 JSON,用于身份认证。
Python身份验证和授权机制库之python_jwt使用详解
Rocky006的博客
04-08 1112
在现代网络应用,身份验证和授权是至关重要的功能。JSON Web Token(JWT)作为一种轻量级的身份验证和授权机制,已经成为了广泛使用的标准之一。Python有许多JWT库可供选择,其python_jwt库就是一款备受推崇的选择。本文将深入探讨python_jwt库的功能特性、使用方法以及应用场景,并提供丰富的示例代码,帮助了解如何利用python_jwt库实现安全可靠的JWT功能。
python+django+drf框架完成jwt登录接口
04-29
Django 项目,我们需要配置一些设置来启用 DRF 和 JWT 认证。打开 `settings.py` 文件,添加如下配置: ```python INSTALLED_APPS = [ # ... 'rest_framework', 'rest_framework.authtoken', ] REST_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值