python token_Python实现JWT(JSON Web Token)认证

最新推荐文章于 2024-06-16 14:45:09 发布
最新推荐文章于 2024-06-16 14:45:09 发布
阅读量663 收藏 1
点赞数
文章标签: python token

python.jpg

作者介绍

张龙(zero),一线运维老鸟。致力于LINUX/PYTHON/开源技术研究。

常见认证方法

首先要明白,认证和授权是不同的。认证是判定用户的合法性,授权是判定用户的权限级别是否可执行后续操作。这里所讲的仅含认证。

basic认证

这是http协议中所带带基本认证,是一种简单为上的认证方式。原理是在每个请求的header中添加用户名和密码的字符串(格式为“username:password”,用base64编码)。这种方式相当于将“用户名:密码”绑定为一个开放式证书,这会有几个问题:

1.每次请求都需要用户名密码,如果此连接未使用SSL/TLS,或加密被破解,用户名密码基本就暴露了

2.无法注销用户的登录状态

3.证书不会过期,除非修改密码。

cookie

将认证的结果存在客户端的cookie中,通过检查cookie中的身份信息来作为认证结果。这种方式的特点是便捷,且只需要一次认证,多次可用;也可以注销登录状态和设置过期时间;甚至也有办法(比如设置httpOnly)来避免XSS攻击。但它的缺点十分明显,使用cookie那便是有状态的服务了。

JWT

JWT协议似乎已经应用十分广泛,JSON Web Token——一种基于token的json格式web认证方法。基本的原理是,第一次认证通过用户名密码,服务端签发一个json格式的token。后续客户端的请求都携带这个token,服务端仅需要解析这个token,来判别客户端的身份和合法性。而JWT协议仅仅规定了这个协议的格式(RFC7519),它的序列生成方法在JWS协议中描述(https://tools.ietf.org/html/rfc7515),分为三个部分:

header头部

header头部主要用于声明类型,这里是jwt,声明加密的算法 通常直接使用 HMAC SHA256。一种常见的头部是这样的:

{

'typ': 'JWT',

'alg': 'HS256'

}

1

2

3

4

{

'typ':'JWT',

'alg':'HS256'

}

payload负荷

payload是放置实际有效使用信息的地方。JWT定义了几种内容,包括:标准中注册的声明,如签发者,接收者,有效时间(exp),时间戳(iat,issued at)等;为官方建议但非必须公共声明私有声明         一个常见的payload是这样的:

{'user_id': 123456,

'user_role': admin,

'iat': 1467255177

}

1

2

3

4

{'user_id':123456,

'user_role':admin,

'iat':1467255177

}

事实上,payload中的内容是自由的,按照自己开发的需要加入。

有个小问题。使用itsdangerous包的TimedJSONWebSignatureSerializer进行token序列生成的结果,exp是在头部里的。这里似乎违背了jwt的协议规则。

实现JWT

如何生成token

这里使用python模块itsdangerous,这个模块能做很多编码工作,其中一个是实现JWS的token序列。         genTokenSeq这个函数用于生成token。其中使用的是TimedJSONWebSignatureSerializer进行序列的生成,这里secretkey密钥、salt盐值从配置文件中读取,当然也可以直接写死在这里。expiresin是超时时间间隔,这个间隔以秒记,可以直接在这里设置,选择将其设为方法的形参。

# serializer for JWT

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

def genTokenSeq(self, expires):

s = Serializer(

secret_key=app.config['SECRET_KEY'],

salt=app.config['AUTH_SALT'],

expires_in=expires)

timestamp = time.time()

return s.dumps(

{'user_id': self.user_id,

'user_role': self.role_id,

'iat': timestamp})

1

2

3

4

5

6

7

8

9

10

11

12

# serializer for JWT

fromitsdangerousimportTimedJSONWebSignatureSerializerasSerializer

defgenTokenSeq(self,expires):

s=Serializer(

secret_key=app.config['SECRET_KEY'],

salt=app.config['AUTH_SALT'],

expires_in=expires)

timestamp=time.time()

returns.dumps(

{'user_id':self.user_id,

'user_role':self.role_id,

'iat':timestamp})

使用Serializer可以帮我们处理好header、signature的问题。我们只需要用s.dumps将payload的内容写进来。这里准备在每个token中写入三个值:用户id、用户角色id和当前时间(‘iat’是JWT标准注册声明中的一项)。

解析token

解析需要使用到同样的serializer,配置一样的secret key和salt,使用loads方法来解析token。itsdangerous提供了各种异常处理类,用起来也很方便。

如果是SignatureExpired,则可以直接返回过期;

如果是BadSignature,则代表了所有其他签名错误的情况,于是又分为:

能读取到payload:那么这个消息是一个内容被篡改、消息体加密过程正确的消息secret key和salt很可能泄露了;

不能读取到payload: 消息体直接被篡改,secret key和salt应该仍然安全。

以上内容写成一个函数,用于验证用户token。如果实现在python flask,可以考虑将此函数改为一个decorator修饰漆,将修饰器@到所有需要验证token的方法前面,则代码可以更加优雅。

# serializer for JWT

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

# exceptions for JWT

from itsdangerous import SignatureExpired, BadSignature, BadData

# Class xxx

def tokenAuth(token):

s = Serializer(

secret_key=api.app.config['SECRET_KEY'],

salt=api.app.config['AUTH_SALT'])

try:

data = s.loads(token)

except SignatureExpired:

msg = 'token expired'

app.logger.warning(msg)

return [None, None, msg]

except BadSignature, e:

encoded_payload = e.payload

if encoded_payload is not None:

try:

s.load_payload(encoded_payload)

except BadData:

msg = 'token tampered'

app.logger.warning(msg)

return [None, None, msg]

msg = 'badSignature of token'

app.logger.warning(msg)

return [None, None, msg]

except:

msg = 'wrong token with unknown reason'

app.logger.warning(msg)

return [None, None, msg]

if ('user_id' not in data) or ('user_role' not in data):

msg = 'illegal payload inside'

app.logger.warning(msg)

return [None, None, msg]

msg = 'user(' + data['user_id'] + ') logged in by token.'

userId = data['user_id']

roleId = data['user_role']

return [userId, roleId, msg]

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

# serializer for JWT

fromitsdangerousimportTimedJSONWebSignatureSerializerasSerializer

# exceptions for JWT

fromitsdangerousimportSignatureExpired,BadSignature,BadData

# Class xxx

deftokenAuth(token):

s=Serializer(

secret_key=api.app.config['SECRET_KEY'],

salt=api.app.config['AUTH_SALT'])

try:

data=s.loads(token)

exceptSignatureExpired:

msg='token expired'

app.logger.warning(msg)

return[None,None,msg]

exceptBadSignature,e:

encoded_payload=e.payload

ifencoded_payloadisnotNone:

try:

s.load_payload(encoded_payload)

exceptBadData:

msg='token tampered'

app.logger.warning(msg)

return[None,None,msg]

msg='badSignature of token'

app.logger.warning(msg)

return[None,None,msg]

except:

msg='wrong token with unknown reason'

app.logger.warning(msg)

return[None,None,msg]

if('user_id'notindata)or('user_role'notindata):

msg='illegal payload inside'

app.logger.warning(msg)

return[None,None,msg]

msg='user('+data['user_id']+') logged in by token.'

userId=data['user_id']

roleId=data['user_role']

return[userId,roleId,msg]

原文来自微信公众号:DevOps视角

本文链接:http://www.yunweipai.com/13797.html

weixin_39554172
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pythonJWT实现Token认证
zhang_zekun的博客
11-16 2170
为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。 JWT架构图 这里需要进行提醒...
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析(1)
m0_63174529的博客
04-27 939
如果需要传递私密数据, 解决办法是,对 payload 的数据进行加密,从而杜绝非法破译者看到 payload 内的任何信息,但是目前加密payload的操作不是很普及,在不加密 payload 的前提下, jwt 比较适合进行非受信任端的身份验证, 此时即使接收方破译了 token, 看到了 payload 的数据, 也不会造成太大的影响,简而言之, 除非额外对 payload 加密过, 否则就不要在 jwt 中传递不可被第三方获知的私密数据。1)JWT 的签名算法有三种。
Python实现Token详解,JWT
热门推荐
捷的博客
06-02 1万+
文章目录Python实现Token详解一、引言二、原理三、python实现JWT-token四、JWT - Json-Web-Token4.1具体组成4.2具体实现4.3校验JWT Python实现Token详解 一、引言 Token是目前广泛使用的一种保持会话状态的技术,与以前的cookie、session共同存在于如今各大网站架构中。本篇中,我们着重来讲解在python中,怎样实现token。 首先,我们来看一下session的主要缺点: 当我们在使用session保持会话状态,同时验证用户的合法性
python,自定义token生成
最新发布
weixin_46371752的博客
06-16 446
python生成tokentoken,如何生成tokenpython实现token,创建token,自定义token
linux下安装python环境
weixin_30455023的博客
09-08 168
1、linux下安装python3 a、 准备编译环境(环境如果不对的话,可能遇到各种问题,比如wget无法下载https链接的文件) yum groupinstall 'Development Tools' yum install zlib-devel bzip2-devel openssl-devel ncurses-devel 2 下载 Python3.5代码包 ...
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3636
一.python 对于 jwt实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
python 中生成 jwt token
act50的专栏
09-11 365
django 生成jwt token
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析(3)
m0_63174529的博客
04-27 1030
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
python token过期_JWT生成token及过期处理方案
weixin_39670857的博客
12-05 3333
业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。基本思路单个tokentoken(A)过期设置为15分钟前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新toke...
如何基于python对接钉钉并获取access_token
12-20
token_data = json.loads(response_text) access_token = token_data.get('access_token') return access_token ``` 这个`get_token`函数会尝试获取access_token,并在成功时返回。注意,实际使用时应处理可能...
jwt-handbook.zip_JSON_JWT Handbook_jwt handbook_jwt hankbook_jw
09-23
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT广泛应用于认证和授权,例如...
Python-pythonjwt一个用来生成和验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成和验证 JSON Web Tokens的模块
python 产生tokentoken验证的方法
01-21
1、前言 最近在做微信公众号开发在进行网页授权时,微信需要用户自己在授权url中带上一个类似token的state的参数,以防止跨站攻击。 在经过再三思考之后,自己试着实现一个产生token和验证token的方案。接下就把code贴出来。希望读者指导一下。 2、产生token 原理: 通过hmac sha1 算法产生用户给定的key和token的最大过期时间戳的一个消息摘要,将这个消息摘要和最大过期时间戳通过”:”拼接起来,再进行base64编码,生成最终的token 实现: import time import base64 import hmac def generate_token(k
PyJWTJSON Web Token的一个Python实现-python
06-18
PyJWTJSON Web Token的一个Python实现 PyJWT RFC 7519 的 Python 实现。原始实现由 @progrium 编写。 安装 $ pip install PyJWT 用法 >>> 导入 jwt >>> 编码 = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicZb21lIjoicZGF5J9tG9tOvZOcZF5J9tG9tOvZOcF5J9tG9tOvZOvZF5J9tG9tOvZF5J9tG9tZOO jwt.decode(encoded, 'secret', algorithm=['HS256']) {'some': 'payload'} 文档 在 https://pyjwt.readthedocs.io/en/latest/ 在线查看完整文档克隆后可以从项目根目录运行测试: $ python setup.py test
python-jwt 生成token
weixin_44517891的博客
04-19 732
一、安装 pip3 install pyjwt import jwt import time def get_token() payloads = { "iat": math.floor(int(time.time() * 1000) / (1000 * 3600)) * 3600, "_appId": base.appid } headers = {'alg': 'HS256', 'typ': 'JWT'}
jwt认证机制优势和原理_理解JWTJSON Web Token认证及实践
weixin_39716510的博客
11-23 419
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT认证方式。这一篇主要内容是 JWT认证原理,以及python 使用 jwt 认识的实践。#python# #Python# #JSON# #认证#几种常用的认证机制HTTP Basic AuthHTTP Basic Auth 在HTTP中,基本认证是一...
使用Python生成和解码JWTToken
03-01 5061
一种用以产生访问令牌(token)的开源标准;是目前Token鉴权机制下最流行的方案。PyJWT是一个Python库,官方文档, 安装如下:pip install pyjwt JWT编码:先上一张官方的图 举个例子: def encode_token(): payload = { 'exp': datetime.now() + timedelta(minutes=30), # 令牌过期时间 'username': 'BigFish' # 想要传递的信息,如用户名..
基于python3的token认证和鉴权
zhao_1109的博客
12-11 6348
在我们写web项目的时候,一定会遇到关于token的问题,需求可能让你做token认证或者token鉴权,那么两者到底有什么区别呢? 我针对我工作中的python实现token鉴权和认证给大家说一哈。 首先我们应该知道token是什么? 1.token认证 传统的身份验证,就是我们的客户端也就是用户 通过同户名密码来登陆我们的系统,下回再请求的时候,再验证一下,传统解决就是用session...
python token flask_flask 实现token机制
05-30
要在 Flask 中实现 Token 机制,可以使用 JWTJSON Web Tokens)库。下面是一个简单的示例代码: ```python from flask import Flask, request from flask_jwt import JWT, jwt_required, current_identity from ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值