JWT+flask_jwt_extended学习笔记

最新推荐文章于 2024-06-06 00:05:53 发布
最新推荐文章于 2024-06-06 00:05:53 发布
阅读量670 收藏 1
点赞数
文章标签: jwt python flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54763246/article/details/117264480
版权

本来想今天下午就写完这个项目,结果今天晚上11点了才开始写,还是要坚持写完的啦!
自己的博客地址:http://blog.mc10010.com/index.php/archives/22/

JWT

参考文档: https://jwt.io/introduction

汉化版本: https://www.jianshu.com/p/576dbf44b2ae

应用场景

  1. 授权,即在一次登录后后续每个请求都包含jwt,用户使用该令牌可以访问被保护的路由和其他资源
  2. 信息交换,方便用来确定信息发送者就是我们指定的人,使用签名判断验证内容有没有被篡改

jwt构成

JWT分为header、payload和signature三部分,每部分之间用(.)来连接,例如

xxxx.yyyyy.zzzzzz

header

header有两部分组成,token的类型(“JWT”)和加密算法名称,比如HMAC,使用Base64加密得到第一部分header

例如

{
    'alg':'HS256',
    'typ':"JWT"
}

payload

存放信息主体

例如

{
    "sub": '1234567890',
    "name": 'john',
    "admin":true
}

signature

signature是签名信息,通过编码后的header和payload,密钥+签名算法即可得到签名

用于验证信息是否被篡改,以及验证发送方是否为他指定的发送方

请求过程

用户携带用户名和密码请求访问->服务器校验用户凭据 ->应用提供一个token给客户端->客户端存储token,并且在随后的每一次请求中都带着它->服务器校验token并返回数据

Token好处

  1. 无状态和扩展性

    储存在客户端,完全无状态,扩展性不知道怎么理解

  2. 安全性

    由于token不是cookie,每次请求的时候token被发送,但是没有cookie发送,所以不存在CSRF攻击,并且一段时间后token会过期。

    经过token撤销操作,他可以允许我们根据相同的授权许可使特定的token或者一组token无效

使用flask的JWT扩展

参考地址: https://flask-jwt-extended.readthedocs.io/en/stable/

基本用法

1.可使用create_access_token()创建一个token

  1. jwt_required()来保护路由
  2. get_jwt_identity()来获得token所对应的身份,但是使用该方法的路由必须是被token保护的路由

官方简例:

from flask import Flask
from flask import jsonify
from flask import request

from flask_jwt_extended import create_access_token
from flask_jwt_extended import get_jwt_identity
from flask_jwt_extended import jwt_required
from flask_jwt_extended import JWTManager

app = Flask(__name__)

# Setup the Flask-JWT-Extended extension
app.config["JWT_SECRET_KEY"] = "super-secret"  # Change this!
jwt = JWTManager(app)


# Create a route to authenticate your users and return JWTs. The
# create_access_token() function is used to actually generate the JWT.
@app.route("/login", methods=["POST"])
def login():
    username = request.json.get("username", None)
    password = request.json.get("password", None)
    if username != "test" or password != "test":
        return jsonify({"msg": "Bad username or password"}), 401

    access_token = create_access_token(identity=username)
    return jsonify(access_token=access_token)


# Protect a route with jwt_required, which will kick out requests
# without a valid JWT present.
@app.route("/protected", methods=["GET"])
@jwt_required()
def protected():
    # Access the identity of the current user with get_jwt_identity
    current_user = get_jwt_identity()
    return jsonify(logged_in_as=current_user), 200


if __name__ == "__main__":
    app.run()
繁华以落★〃花下的悲伤ˉ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Flask 学习-28.flask_jwt_extended插件 JWT 中存储额外数据(additional_claims)
qq_27371025的博客
09-02 319
在访问令牌中存储其他信息,以后可以在受保护的视图中访问这些信息。这可以使用additional_claims 带有create_access_token()or create_refresh_token()函数的参数来完成。 get_jwt() 函数在受保护的路径中获取额外的数据。
flask_jwt_extended
qq_27664967的博客
12-03 1344
1. 基础的用法 最基础的用法不需要很多的调用,只需要使用三个函数: 1. create_access_token()用来创建令牌 2. get_jwt_identity()用来根据令牌取得之前的identity信息 3. jwt_required()这是一个装饰器,用来保护flask节点 官方的代码如下: import json from flask import Flask, jsonify, request from flask_jwt_extended import ( JWTManage
flaskJWT认证实现
lIujunXHU的博客
06-03 1398
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成,分别是头部、负载和签名。头部(Header)是一个 JSON 对象,描述了使用的算法和类型。它通常包含两个字段:算法(alg)和类型(typ)。负载(Payload)也是一个 JSON 对象,用于存储用户的相关信息。它可以包含一些预定义的字段,如过期时间(exp)、发布时间(iat)等,也可以包含一些自定义字段。签名(Signature)使用指定的算法对头部和负载进行加密,生成一段字符串。
flask post json_Flask教程(十八)flaskjwtextended
weixin_39604819的博客
11-21 334
软硬件环境windows 10 64bitanaconda3 with python 3.7pycharm 2020.1.2flask 1.1.2flask-jwt-extended 3.24.1前言在web开发中,Client与Server的交互都是通过HTTP协议发送请求和接收响应,但是因为HTTP协议是无状态的(stateless),也就是说Client和Server都不会记得先前...
Flask flask_jwt_extended
Claroja
12-05 1193
参考: https://www.cnblogs.com/oklizz/p/11414446.html 流程图 https://flask-jwt-extended.readthedocs.io/en/stable/
flask-jwt-extended:提供JWT支持的开源Flask扩展(包括电池)!
02-05
Flask-JWT-扩展 产品特点 Flask-JWT-Extended不仅在Flask中增加了对使用JSON Web令牌(JWT)的支持以保护视图,而且还内置了许多有用的(和可选的)功能,这些功能使使用JSON Web令牌更容易。 这些包括: 支持将自定义声明添加到JSON Web令牌 对收到的令牌进行自定义声明验证 从复杂对象创建令牌或从接收到的令牌创建复杂对象 令牌新鲜度和单独的视图修饰符,仅允许新鲜令牌 代币吊销/列入黑名单 将令牌存储在Cookie和CSRF保护中 用法 变更日志 您可以在查看更改日志。 该项目遵循。 闲聊 与社区聊天或在提问 当地发展 我们在单元测试中要求100%
JWT.zip_jwt_wind speed
09-20
JWT(JSON Web Token)与风速监测】 在IT领域,JWT(JSON Web Token)是一种安全的身份验证机制,广泛应用于Web应用和API的授权。JWT允许客户端在服务器上声明一些声明,这些声明可以是关于用户身份的信息或其他...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在本项目中,我们主要探讨的是如何利用Spring Boot、Spring Security、JWT(JSON Web Tokens)、MyBatis-Plus以及MySQL数据库来构建一个完整的权限管理系统。下面将详细解析这些技术及其在项目中的应用。 1. Spring...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
Flask-RestAPI-jwt:具有用户身份验证的Flask Rest API
04-12
Flask-RestAPI-jwt 具有用户身份验证的Flask Rest API,考虑了Flask-JWT-Extended版本4.1的更新 介绍: 具有Flask的RESTAPI,使用基于令牌的身份验证。... Flask Flask-RESTFUL-0.3.8 Flask-JWT_Extended-4.1.0
Flask 学习-32.flask_jwt_extended 自定义装饰器
qq_27371025的博客
09-03 512
创建自己的装饰器来扩展此扩展提供的装饰器的功能。例如,您可能想要创建自己的装饰器来验证 JWT 是否存在以及验证当前用户是否是管理员。
Flask 学习-27.flask_jwt_extended插件学习current_user的使用
qq_27371025的博客
09-02 760
flask_jwt_extended 最基本的使用只需要掌握三个函数: - create_access_token() 用来创建 Token 令牌 - get_jwt_identity() 用来根据令牌取得之前的 identity 信息 - jwt_required() 这是一个装饰器,用来保护 flask 节点
权限校验-flask-jwt-extended
最新发布
qq_63431773的博客
06-06 188
如果想要在 flask 中使用 JWT ,推荐使用。配置JWT_Extended.py。请求头携带token。
flask-jwt-extended文档学习
qq_42573343的博客
07-04 3015
官方文档 基础的用法:如何使用token保护一个endpoint 可选的路由保护:对一个被保护的endpoint区分有token和没有token的用户 访问令牌中的存储数据:在令牌中存储额外的信息进行权限的管理 根据Python Object生成令牌:就是3中存储的信息在数据库存储着该怎么办 根据令牌获取Python Object:在endpoint函数中从current_user中获得用户信息 自定义装饰器:对用户的身份以及权限等进行更多的验证,处理不同级别用户访问不同的被保护的endpoint的权限
使用FlaskFlask-JWT-Extended保护API免受跨站请求攻击
PythonWeb实践
04-17 1324
跨站请求攻击(CSRF)是一种网络攻击手段,攻击者通过在合法用户的浏览器中植入恶意代码,诱使用户在不知情的情况下执行非预期的操作。这些操作可能包括更改密码、删除账户或执行其他敏感操作。为了防止这种攻击,我们需要确保只有经过身份验证的用户才能执行特定操作。在本文中,我们介绍了如何使用FlaskFlask-JWT-Extended库来保护您的API免受跨站请求攻击。通过使用JWT,您可以确保只有经过身份验证的用户才能访问受保护的API端点,从而提高您的应用的安全性。在 Flask 应用中,
Flask 学习-31.flask_jwt_extended 验证token四种方headers/cookies/json/query_string
qq_27371025的博客
09-03 664
用户携带授权token访问时,其jwt的所处位置列表,默认是在请求头部headers中验证。 可以通过JWT_TOKEN_LOCATION进行全局配置,设置token是在请求头部,还是cookies,还是json, 还是查询参数query_string 四种方式。
Flask 学习-30.flask_jwt_extended 自定义 token 过期返回内容
qq_27371025的博客
09-03 1173
设置一个回调函数,以便在过期时返回自定义响应令牌尝试访问受保护的路由。这个特定的回调函数 将jwt_header和jwt_payload作为参数,并且必须返回 Flask 响应。查看API文档以查看其他回调函数所需的参数和返回值。
Flask项目中的JWT禁用
weixin_45439324的博客
12-03 325
Flask项目中的JWT禁用 场景 前提:用户在多个终端登录 用户在修改了密码之后,需要颁发新的token,禁用还在有效期内的老token 后台封禁用户 解决方案 在redis中使用set类型保存新生成的token 客户端使用token进行请求时,如果验证token通过,则从redis中判断是否存在该用户的user:{}:token记录: 若不存在记录,放行,进入视图进行业务处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值