聊聊 JSON Web Token (JWT) 和 jwcrypto 的使用

最新推荐文章于 2024-06-13 17:08:26 发布
最新推荐文章于 2024-06-13 17:08:26 发布
阅读量1.1k 收藏 32
点赞数 15
文章标签: json 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_alted/article/details/139072659
版权

哈喽大家好,我是咸鱼。

最近写的一个 Python 项目用到了 jwcrypto 这个库,这个库是专门用来处理 JWT 的,JWT 全称是 JSON Web Token ,JSON 格式的 Token。

今天就来简单入门一下 JWT。

官方介绍:https://jwt.io/introduction

先聊聊 Token

Token 的意思是令牌,通常用于身份验证。

例如,当客户端首次登录服务器时,服务器会生成一个 Token 并返回给客户端。此后,客户端只需在请求数据时带上这个 Token,无需再次提供用户名和密码。

为什么要有 Token ?

我们知道 HTTP 请求是无状态的,也就是说服务器无法识别每个请求的发起者(例如,我登录淘宝网后刷新页面,会要求我重新输入用户名和密码进行登录)。

为了解决这个问题,出现了一种解决方案:即服务器为每个客户端分配一个 session。当客户端发起请求时带上这个 session,服务器就能识别请求的发起者。

然而,这种方法很快暴露了一些弊端。首先是开销问题。服务器需要保存所有客户端的 session,如果访问的客户端数量增加,服务器将需要保存成千上万个 session,带来巨大的存储开销。

其次是跨域问题。例如,在集群架构中有两台服务器 A 和 B。如果咸鱼第一次请求到了 A 服务器,A 服务器保存了咸鱼的 session,但如果下一次请求被分配到 B 服务器,B 服务器上没有咸鱼的 session,该怎么办?

一种解决方案是使用 session 粘滞(session sticky)方法,使咸鱼的每次请求都打到同一个服务器(如 A 服务器)。但如果 A 服务器宕机了,请求就不得不转到 B 服务器,依然无法解决问题。

于是,有人提出了另一种思路:为什么要让服务器保存 session 呢?可以让每个客户端自己保存!服务器只负责生成 session,不负责保存。

但是,如果不保存 session,如何区分客户端?又如何验证 session 是服务器生成的呢?

这时,人们想到了让服务器生成一个 token。这个 token 是通过服务器独有的密钥和算法(例如 RS256 算法)生成的,并且服务器不会保存这个 token。

这样,客户端发起请求时带上这个 token,服务器收到后会用相同的算法和密钥进行验证。如果 token 匹配,服务器就能验证客户端的身份。

再聊聊 JWT

简单介绍了 token,我们来看看 JWT。

JWT(JSON Web Token)是一种在网络中以 JSON 格式安全地传输信息的令牌。其原理是:服务器认证之后,生成一个 JSON 格式的 token,并将其发回给用户,类似下面这样:

{
  "alg": "RSA",
  "name": "咸鱼",
  "role": "管理员",
  "exp": "2024-05-20T00:00:00Z"
}

之后客户端与服务器通信的时候都通过这个 JSON Token 来验证身份,同时为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。

优点:

  • 紧凑性:JWT 被设计成体积较小,便于 URL、POST 参数或 HTTP 头部传输。
  • 自包含:JWT 负载中包含所有必要的信息,不需要在每次请求时访问数据库。
  • 安全性:JWT 可以签名(使用 HMAC 或 RSA 算法),确保数据的完整性和真实性。通过加密(例如 JWE)还可以保证数据的机密性。

结构组成:

JWT 由 Header、Payload、Signature(签名) 三部分组成,其中 Header 和 Payload 都是 JSON 格式( JWT 中的 J ):

  • Header : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型。
  • Payload : 用来存放实际需要传递的数据
  • Signature(签名):服务器通过 Payload、Header 和一个密钥 (Secret) 使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

编码之后的 JWT 形式是一个很长的字符串,中间用点(.)分隔成三个部分,写成一行(里面没有换行),类似下面这样:

Header.Payload.Signature

关于 JWT 三部分的内容就不多讲了,官网有详细介绍。

jwcrypto 使用

我们可以使用 Python 的 jwcrypto 库来生成和验证 JWT、加密和解密数据,以及签名和验证签名等操作。

jwcrypto 提供了一系列功能,包括但不限于:

  • 生成和验证 JWT:可以使用 jwcrypto 生成 JWT,并在接收端验证 JWT 的有效性。
  • 加密和解密数据:支持使用不同的算法对数据进行加密和解密,例如 AES、RSA 等。
  • 签名和验证签名:支持使用不同的算法对数据进行签名,并在接收端验证签名的有效性。
  • 密钥管理:支持生成和管理密钥对、公钥和私钥,以及密钥的导入和导出。

安装 jwcrypto

pip install jwcrypto

生成一个带有签名的 JWT,其中包含了指定的用户 ID:

from jwcrypto import jwt,jwk

# 使用 RSA 算法生成一个 2048 位的密钥对。
key = jwk.JWK.generate(kty='RSA', size=2048)
payload = {'user_id': 123}

# 创建一个 JWT 对象,并指定其头部(header)为使用 RS256 算法进行签名。
token = jwt.JWT(header={'alg': 'RS256'}, claims=payload)

# 使用之前生成的密钥对 JWT 进行签名。
token.make_signed_token(key)

生成 RSA 密钥对并导出公私钥:

from jwcrypto import jwk

# 生成 RSA 密钥对
key = jwk.JWK.generate(kty='RSA', size=2048)

# 导出公钥和私钥
public_key = key.export_public()
private_key = key.export_private()

# 打印公钥和私钥
print("公钥:")
print(public_key)
print("\n私钥:")
print(private_key)
咸鱼Linux运维
关注
  • 15
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JWT---Json Web Token
龙梓琦的博客
04-22 1478
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
c# JSON WEB TOKEN JWT.dll
07-18
生成token工具,webapi 接口 token JWTWeb API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
聊一聊JWTJSON WEB TOKEN)鉴权
crossroads10的博客
08-31 565
JWT 定义: Json web token 是一个开发标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为json对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。可以使用密钥(HMAC算法)或使用RSA的公/私钥对JWT进行签名。 了解下定义的一些概念: 紧凑:由于其大小,它可以通过url,post参数或Http表头发送。另外,由于其内存空间较小,其传输速度很快。 自包含:有效负载包含有关用户的所有必须信息,以避免多次查询数据库或者查询相关缓存带来的相关性...
聊一聊 JSON Web Token
perry
07-31 225
JSON Web Token 入门教程 JavaScript  SON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个...
python token_python使用json web token (jwt)实现http api的加密传输
weixin_39685674的博客
11-24 260
什么是json web token (jwt), 这个一个协议安全的标准,用来保证数据的一致性及安全性的。 这次说下加jwt的非对称加密方式. 注: rsa的性能很烂…先聊聊,咱们常用的对于http api加密的方式有哪几种?另外还有一篇python jwt的详细文章第一个是使用在HTTP规范中的Basic Auth,这个配置也是相当的简单,在nginx端针对路由location配置下就可以用...
Json Web Token 详解
y449739776的博客
11-27 640
什么是JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的 https://your.awesome-app.com/make-friend/?from_user=B&target_user=A 上面的URL主要通过URL来描述这个当然这样做有一个弊端,那就是要求用户B用户是一定要先登
【译】JWT(JSON Web Token) 入门指南
weixin_30437847的博客
07-21 300
JWT 入门指南 原文地址:https://blog.angular-university.io/angular-jwt/ 这篇文章是两篇手把手教你如何在Angular应用(也适用于企业级应用)中实现基于JWT的认证方式的文章中的第一篇。 本篇文章的首要目标是详细学习JWTs如何运行,包括它在web应用中怎么用来做用户认证和session管理的。 第二篇文章中,我们会介绍基于JWT的...
动手写一个 Java JWT Token 生成组件
zhangxin09的专栏
06-24 935
OAuth2 中默认使用 Bearer Tokens (一般用 UUID 值)作为 token 的数据格式,但也支持升级使用 JSON Web Token(JWT) 来作为 token 的数据格式。实际来说,OAuth 规范中并无限制 Token 采取何种格式。今天我们就采用 JWT 来作为 Token,它的一个好处是自描述 Token,包含了用户信息而并不需要通过额外的接口获取用户信息。所谓 JWT Token,本身是明文的,前端得到之后进行 Base64 解码,即可获取用户信息(JSON)。
python json加密_基于python的json web tokens(jwt)加密认证实现
weixin_39616798的博客
12-09 69
使用python来实现json web tokens加密协议》这两天是北京很冷,远在南方的广东都在下雪,这个冷可想而知了…正体开始,我自己在尝试写一个单点登录的小系统,里面权限控制有用到jwt (json web tokens)安全策略,对于jwt,我以前专门写过一篇文章来描述他是怎么一回事, 有兴趣的朋友再瞅瞅. 这次就直接讲解在python下的json web token的实现. 不...
一文了解web无状态会话token技术JWT
程序猿DD
07-10 646
点击蓝色“程序猿DD”关注我回复“资源”获取独家整理的学习资料!来源:码农小胖哥关注我,回复口令获取可获取独家整理的学习资料:-001:领取《Spring Boot基础...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
单点登录中的JSON WEB TOKEN使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
如何从零训练多模态大模型(预训练方向)
2201_75499313的博客
06-12 978
参考 Finetune LLaVA on Custom Datasets[13]将训练样本以列表的形式保存到 json 文件,其中每一个样本是一个字典,它至少包含三个字段:id:全局唯一的字符串image:图片的路径,可以是绝对路径,也可以是相对于image_folder的相对路径conversations:人类和语言模型的对话},},},...完成数据的处理后,修改 finetune.sh[14] 中的 data_path 参数(必须)以及其他想要调整的参数(可选,例如学习率)。
Spring Security实现用户认证四:使用JWT与Redis实现无状态认证
不做菜虚困的博客
06-12 657
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
vue技巧(十)全局配置使用(打包后可修改配置文件)
最新发布
Interest1_wyt的博客
06-13 346
vue js或json全局配置使用,打包后保持配置文件不变,支持打包后修改配置文件内容
vue3+electron搭建桌面软件
Leo_DLi的博客
06-12 546
最近有个小项目, 客户希望像打开 网易云音乐 那么简单的运行起来系统. 前端用 Vue 会比较快一些, 因此决定使用 electron 结合 Vue3 的方式来完成该项目.然而, 在实施过程中发现没有完整的博客能够记录从创建到打包的流程, 摸索一番之后, 随即梳理成文供大家参考.废话不多说, 直接开始!对了, 开始之前, 先给 Vue3 和 electron 在 package.json 中的版本号展示出来供大家参考.
oracle的json_arrayagg的用法和例子
codemami的博客
06-13 573
这个函数对于将查询结果转换为 JSON 格式特别有用,尤其是在 RESTful API 或需要 JSON 输出的应用中。NULL ON NULL:如果所有输入值都是 NULL,则返回 NULL(在 12c R2 及更高版本中可用)。STRICT:如果任何输入值不是有效的 JSON,则抛出异常(在 12c R2 及更高版本中可用)。PRETTY:美化输出的 JSON 格式(在 12c R2 及更高版本中可用)。expr:要聚合的表达式,可以是任何可以求值为 JSON 对象的表达式。
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 然后,可以编写一个 `JwtUtil` 类来实现 JWT 的生成和解析: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtil { private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public static String generateToken(String subject, long expirationTimeMillis) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTimeMillis); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(key) .compact(); } public static String parseToken(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(key) .build() .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在上面的代码中,`generateToken` 方法用于生成 JWT,接受一个 `subject` 参数表示用户 ID,和一个 `expirationTimeMillis` 参数表示过期时间(以毫秒为单位)。`parseToken` 方法用于解析 JWT,返回其中的用户 ID。 接下来,可以编写一个简单的登录接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (authenticate(user)) { String token = JwtUtil.generateToken(user.getId(), 86400000); return ResponseEntity.ok(token); } else { return ResponseEntity.badRequest().build(); } } private boolean authenticate(User user) { // TODO: 实现验证逻辑 return true; } } ``` 在上面的代码中,`User` 是一个简单的 Java 类,包含一个字符串类型的 `id` 属性。`login` 方法接受一个 `User` 对象作为参数,调用 `authenticate` 方法进行验证。如果验证通过,则使用 `JwtUtil.generateToken` 方法生成 JWT 并返回;否则返回错误响应。 最后,可以编写一个使用 JWT 进行身份验证的接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { @GetMapping("/user") public ResponseEntity<String> getUser(@RequestHeader("Authorization") String authorizationHeader) { String token = authorizationHeader.substring(7); String userId = JwtUtil.parseToken(token); // TODO: 根据用户 ID 查询用户信息并返回 return ResponseEntity.ok("User ID: " + userId); } } ``` 在上面的代码中,`getUser` 方法接受一个名为 `Authorization` 的请求头,其中包含 JWT。首先从请求头中获取 JWT,并调用 `JwtUtil.parseToken` 方法解析其中的用户 ID。然后根据用户 ID 查询用户信息并返回。 注意,在实际应用中,需要对 JWT 进行安全性考虑,比如使用 HTTPS 协议传输、设置较短的过期时间、使用更复杂的密钥等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咸鱼Linux运维

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值