python中的JWT

最新推荐文章于 2024-04-27 07:58:25 发布
最新推荐文章于 2024-04-27 07:58:25 发布
阅读量2.9k 收藏 1
点赞数 1
文章标签: python 数据库 json
原文链接:http://www.cnblogs.com/rprp789/p/10017781.html
版权

为了解决Http无状态问题,产生了cookie和session技术。

 传统的session技术解决了无状态问题,但是不能防止客户端的篡改,而且对于服务端要保存session,在数据量较大,业务规模增加时,还要解决多台服务器之间的session共享问题,使用redis或者memcached等方案。

产生可JWT技术可以解决用户篡改问题,服务器端产生的标识,使用算法加密,对标识签名。

再次收到服务器端的标识,就要检查签名。

这种方法在加密解密时,会消耗cpu计算资源,而且无法让浏览器自己检查过期数据,并且删除。

下边我将尝试解释一下jwt防篡改的原理。

JWT 全称(Json WEB Token)是一种采用Json方式安装传输信息的方式。

python下的实现的pyjwt

文档 : https://pyjwt.readthedocs.io/en/latest/

安装 : pip install pyjwt

先看以下代码:

import jwt

key = "secret"
token = jwt.encode({"test": "100"},key,"HS256")
print(token)
header,payload,signature = token.split(b".")
print(header)
print(payload)
print(signature)

 

显示

b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0ZXN0IjoiMTAwIn0.p2dBskystmxOlIXrBCowu6DPcWQbRrZMT3hJV7iMY-8'
b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9'
b'eyJ0ZXN0IjoiMTAwIn0'
b'p2dBskystmxOlIXrBCowu6DPcWQbRrZMT3hJV7iMY-8'

可以知道JWT由3段由点分割的部分组成。

它使用的编码是base64编码,我们导入以下

import jwt

key = "secret"
token = jwt.encode({"test": "100"},key,"HS256")
print(token)
header,payload,signature = token.split(b".")

import base64

def equal(b: bytes):
    """用来补齐被JWT去掉的等号"""
    rest = len(b) % 4
    return b + b'=' * rest

print("header=",base64.urlsafe_b64decode(equal(header)))
print("payout=", base64.urlsafe_b64decode(equal(payload)))
print("signature", base64.urlsafe_b64decode(equal(signature)))

 

显示:

header= b'{"typ":"JWT","alg":"HS256"}'
payout= b'{"test":"100"}'
signature b'\xa7gA\xb2L\xac\xb6lN\x94\x85\xeb\x04*0\xbb\xa0\xcfqd\x1bF\xb6LOxIW\xb8\x8cc\xef'

可以看到,JWT中传输的token内容由三部分组成

  • header 是由数据类型和加密算法组成
  • payload 是传输的数据部分,
  • signature 部分就时签名,是由前两部分和加密算法实现的,看以下代码

下边是源码中的一部分,signing_input就是将前两部分转为JSON格式,再使用base64编码,连接起来,传入下边的方法中,alg_obj是方法,key是预处理key

signing_input = b'.'.join(segments)
        try:
            alg_obj = self._algorithms[algorithm]
            key = alg_obj.prepare_key(key)
            signature = alg_obj.sign(signing_input, key)

我们模仿一下,可得

import jwt

# Create your tests here.

key = "secret"
token = jwt.encode({"test": "100"},key,"HS256")
header,payload,signature = token.split(b".")
print(signature)

import base64

# def equal(b: bytes):
#     """用来补齐被JWT去掉的等号"""
#     rest = len(b) % 4
#     return b + b'=' * rest

# print("header=",base64.urlsafe_b64decode(equal(header)))
# print("payout=", base64.urlsafe_b64decode(equal(payload)))
# print("signature", base64.urlsafe_b64decode(equal(signature)))

from jwt import algorithms
alg = algorithms.get_default_algorithms()["HS256"]
newkey = alg.prepare_key(key)
signature_input = b".".join([header,payload])
signature = alg.sign(signature_input,newkey)

print(base64.urlsafe_b64encode(signature))

 

显示,可以看到

b'p2dBskystmxOlIXrBCowu6DPcWQbRrZMT3hJV7iMY-8'
b'p2dBskystmxOlIXrBCowu6DPcWQbRrZMT3hJV7iMY-8='

所以在密码相同时,传输相同的信息,得到的值是一样的。

密码要足够强,且要足够安全。可以在测试下改变内容,看签名会不会改变。

import jwt

# Create your tests here.

key = "secret"
token = jwt.encode({"test": "100"},key,"HS256")
header,payload,signature = token.split(b".")
print(signature)

import base64

# def equal(b: bytes):
#     """用来补齐被JWT去掉的等号"""
#     rest = len(b) % 4
#     return b + b'=' * rest

# print("header=",base64.urlsafe_b64decode(equal(header)))
# print("payout=", base64.urlsafe_b64decode(equal(payload)))
# print("signature", base64.urlsafe_b64decode(equal(signature)))
token = jwt.encode({"test": "1000"},key,"HS256") # 改变payload内容
header,payload,signature = token.split(b".")

from jwt import algorithms
alg = algorithms.get_default_algorithms()["HS256"]
newkey = alg.prepare_key(key)
signature_input = b".".join([header,payload])
signature = alg.sign(signature_input,newkey)

print(base64.urlsafe_b64encode(signature))

可以看到签名变了

b'p2dBskystmxOlIXrBCowu6DPcWQbRrZMT3hJV7iMY-8'
b'uCmPr1eOuLz8IDLQfN8t_DsyrB9PYfdvdueeHSBWN04='

 

经过以上测试,可以知道,数据在使用JWT传输时,是明文传输的,注意不要传输敏感数据。

JWT的防篡改还可以使用公钥,私钥,来防止用户被劫持的可能性。

在用户登陆成功后可以使用JWT技术,登录后给用户JWT,用户发请求时加上jwt,服务器校验签名,通过就允许访问,在单点登陆时广泛应用。

 

转载于:https://www.cnblogs.com/rprp789/p/10017781.html

George_Fal
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pythonJWT用户认证的实现
09-16
主要介绍了pythonJWT用户认证的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python实现jwt加密的两种方式
haijun04222的博客
11-27 1264
一,不用借助jwt模块,python 实现jwt HS256加密。二,借助JWT模块加密
5 分钟,快速入门 Python JWT 接口认证
AirPython的博客
07-07 476
点击上方“AirPython”,选择“加为星标”第一时间关注 Python 原创干货!1. 前言大家好,我是安果!为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有...
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析(3)
最新发布
m0_63174529的博客
04-27 925
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
python 进制转换
第一天
10-14 289
import binascii import re from Crypto.Cipher import AES class AESECB: def __init__(self): self.key = '1394fe38a2f6a7d6' self.mode = AES.MODE_ECB self.bs = 16 # block siz...
Python实现各种加密接口加解密不说难
12-16 5213
Hi,大家好。我们在接口自动化测试项目,有时候需要一些加密。今天给大伙介绍Python实现各种加密接口加解密再也不愁。 目录 一、项目加解密需求分析 二、Base64加密 三、MD5加密 四、sha1加密 五、secrets加密 六、Python加密库PyCryptodome 七、RSA加密 八、总结 一、项目加解密需求分析 1、网络数据传输面临的问题 网络安全涉及很多方面,而网络数据的安全传输通常会面临以下几方面的威胁。 数据窃听与机密性:怎样保证数据不...
JWT详细介绍 Python实现
有勇气的牛排博客
12-01 2677
本文以python来进行实战演示JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于以json的方式安全传输信息,并且通过数字签名来保证信息是信任的。jwt可以使用秘钥(HMAC算法)或RSA或ECDSA的公钥/私钥对其进行签名。
Python 基于jwt实现认证机制流程解析
09-16
主要介绍了python 基于jwt实现认证机制流程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
python-jwt:适用于PythonJSON Web令牌库
05-10
python-jwt是由开发的PythonJSON Web令牌(JWT)实现。 例子 import json from datetime import datetime , timedelta , timezone from jwt import ( JWT , jwk_from_dict , jwk_from_pem , ) from jwt . ...
Python3使用jwt的方法
什么都干的派森
12-02 1146
安装jwt依赖pyjwt2+的版本兼容python3+pyjwt1+的版本兼容python2+pyjwt2+和pyjwt1+的使用方法有差异,本人写的是pyjwt2+的使用方法,如果使用pyjwt1+的话本方法应该跑不通。
Python身份验证和授权机制库之python_jwt使用详解
Rocky006的博客
04-08 1087
在现代网络应用,身份验证和授权是至关重要的功能。JSON Web Token(JWT)作为一种轻量级的身份验证和授权机制,已经成为了广泛使用的标准之一。Python有许多JWT库可供选择,其python_jwt库就是一款备受推崇的选择。本文将深入探讨python_jwt库的功能特性、使用方法以及应用场景,并提供丰富的示例代码,帮助了解如何利用python_jwt库实现安全可靠的JWT功能。
PyJWT的使用
分享一点有用的知识
06-28 1288
PyJWT的使用
Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 6476
JWTJSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
Pythonjwt解码
诗与浪子的博客
10-07 1707
【代码】jwt解码。
[Python]JWT认证与pyjwt包简介
农家小舍
05-21 1007
JWT认证简介以及其构成(header、payload与签名数据)说明,并给出如何在flask使用
pythonjwt的使用
qq_31466841的博客
04-02 2735
JWT是什么? JWTjson web token的缩写,一种基于token的json格式web认证方法,说白了就是一个很长的字符串 JWT原理是什么? 基本的原理是,第一次认证通过用户名密码,服务端签发一个json格式的token。后续客户端的请求都携带这个token,服务端仅需要解析这个token,来判别客户端的身份和合法性 JWT的作用和特点 由于http协议是无状态的,所以客户...
PyJWT安装和用法示例
偷一个月亮
04-24 3267
0x01 简介 PyJWT是一个Python库,可用于编码和解码JSON Web令牌(JWT)。JWT是一种开放的行业标准(RFC 7519),用于在两方之间安全地表示索赔。 0x02 安装 pip3 install pyjwt 0x03 用法示例 jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') jwt.decode(...
Python JWT 介绍
m0_56477185的博客
02-27 3611
JWT 全称: json-web-token JWT的大白话解释: 现在比较火的token的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。 1. 三大组成 JWT和cookie、session相比: 第一部分 header 在Python来看就是一个字典格式,元数据如下: {'alg':'HS256', 'typ':'JWT'} # alg代表要使用的 算法 HMAC-SHA256 简写HS256 # typ表明该token的类别 此处必须为 大写的
chatgpt赋能pythonPythonJWT解码(Decode)
laingziwei的博客
06-09 599
以上只是chatgpt能力的冰山一角。文章没有在chatgpt生成的基础上进行任何的修改。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程用到的ai工具。
python使用jwt
04-07
Python可以使用PyJWT库来实现JWT的生成和验证。 1. 安装PyJWT库 ``` pip install PyJWT ``` 2. 生成JWT ```python import jwt payload = {"user_id": "123456", "username": "alice"} secret_key = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值