python token_python使用json web token (jwt)实现http api的加密传输

最新推荐文章于 2022-05-25 10:29:37 发布
最新推荐文章于 2022-05-25 10:29:37 发布
阅读量292 收藏
点赞数
文章标签: python token

什么是json web token (jwt), 这个一个协议安全的标准,用来保证数据的一致性及安全性的。 这次说下加jwt的非对称加密方式. 注: rsa的性能很烂…

先聊聊,咱们常用的对于http api加密的方式有哪几种?

另外还有一篇python jwt的详细文章

第一个是使用在HTTP规范中的Basic Auth,这个配置也是相当的简单,在nginx端针对路由location配置下就可以用了 。原理上,客户端必须在每个子响应是附加它们的凭证(credenbtial),包括他的账号和密码 。如果这些凭证通过了,那么用户的信息就会被传递到服务端应用。 后来随着nginx lua的发展,更多人喜欢在lua层面做权限的控制,比如http请求加入header头,加入cookie等。

requests.get('https://api.xiaorui.cc/user', auth=('user', 'pass'))

第二个方便是客户端从服务端签收一个加密的key,然后自己通过一定的算法组合加密数据,服务端会根据你的来源解析key。

第三种是OAuth(或者OAuth2)。为第三方的认证所设计,但是更难配置。至少在服务器端更难。

第四种,TOKEN的机制。 在各种客户端上每次都让用户提交用户名和密码,这有些不合理的。 通常的情况是客户端通过一些可靠信息和服务器交换取token,这个token作为客服端再次请求的权限钥匙,当然token也是存在有效时间控制的。 Token通常比密码更加长而且复杂。那么一旦获得了token,在每次调用API的时候都要附加上它。这仍然比直接发送账户和密码更加安全,哪怕是HTTPS。

把token想象成一个安全的护照。你在一个安全的前台验证你的身份(通过你的用户名和密码),如果你成功验证了自己,你就可以取得这个。当你走进大楼的时候(试图从调用API获取资源),你会被要求验证你的护照,而不是在前台重新验证。

第五种,jwt方法,JWT是一段被base64url编码过的字符序列,并用点号分隔。它由三部分组成,头部header、载荷playload与签名sign。 服务端和客户端都可以通过secret_key来识别信息是否被串改过.

这里的secert_key是用rsa的方法,你也可以自定义key。

pip install python_jwt

一个jwt的例子,我们可以在一个签发平台上,派发和注册客户端所需要的公钥。

import jwt, Crypto.PublicKey.RSA as RSA, datetime

key = RSA.generate(2048)

priv_pem = key.exportKey()

pub_pem = key.publickey().exportKey()

payload = { 'url': 'xiaorui.cc', 'name': 'ruifengyun','level':'low' };

priv_key = RSA.importKey(priv_pem)

pub_key = RSA.importKey(pub_pem)

token = jwt.generate_jwt(payload, priv_key, 'RS256', datetime.timedelta(minutes=5))

header, claims = jwt.verify_jwt(token, pub_key, ['RS256'])

for k in payload: assert claims[k] == payload[k]

这是更详细的用法,我们可以把公钥和密钥放到数据库里面存储,可以通过认证来签发证书 。

In [1]: import jwt, Crypto.PublicKey.RSA as RSA, datetime

In [2]: key = RSA.generate(2048)

In [3]: priv_pem = key.exportKey()

In [4]: pub_pem = key.publickey().exportKey()

In [5]: payload = { 'foo': 'bar', 'wup': 90 };

In [6]: priv_key = RSA.importKey(priv_pem)

In [7]: pub_key = RSA.importKey(pub_pem)

In [8]: token = jwt.generate_jwt(payload, priv_key, 'RS256', datetime.timedelta(minutes=5))

In [9]: token

Out[9]: u'eyJhbGciOiAiUlMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ3dXAiOiA5MCwgImp0aSI6ICI2QVk0VUY2N1JBWXBXWkVrbGtPRmZRPT0iLCAiZXhwIjogMTQzMDcyMjExMiwgImlhdCI6IDE0MzA3MjE4MTIsICJmb28iOiAiYmFyIiwgIm5iZiI6IDE0MzA3MjE4MTJ9.Lugwv4tt3uJmccvy3d6YMYbhSttmd6itz_JMdCy44FQH2S6wJHjYUDtx97Ojmpu5n9Wvr6TcF3iejJziatD_cFWwArA9lH2ulqD9y-Cqj_eF01savzEe9yFEOobDUuU-46UfIORNKRqK8OjXfyxX-zWSDXsJOITCO60YyXytj3RTCNZdgzoaQ8m6Ms9hH1eELGsWThII3OCcpv-GJz2gO5owJzEGKxgTqU7YWwu2PaFGvnvvbTVVcAToX1uMVOlBuETAy-XwYEjxZw5ENfscvHi-JcCKeutQ16ItIUtUeQ6780SDNwpHodwXAbHnCjkjbHCPGAbFY7w-6HQk0J7_3w'

In [10]: header, claims = jwt.verify_jwt(token, pub_key, ['RS256'])

In [11]: header

Out[11]: {u'alg': u'RS256', u'typ': u'JWT'}

In [12]: claims

Out[12]:

{u'exp': 1430722112,

u'foo': u'bar',

u'iat': 1430721812,

u'jti': u'6AY4UF67RAYpWZEklkOFfQ==',

u'nbf': 1430721812,

u'wup': 90}

总结,我这对于jwt就说这么多了。 如果不想使用这种rsa的非对称方式,可以直接写死secret key.

大家觉得文章对你有些作用!

如果想赏钱,可以用微信扫描下面的二维码,感谢!

另外再次标注博客原地址 xiaorui.cc

weixin_new.jpg

weixin_39685674
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pythonjwt使用
qq_31466841的博客
04-02 2778
JWT是什么? JWTjson web token的缩写,一种基于tokenjson格式web认证方法,说白了就是一个很长的字符串 JWT原理是什么? 基本的原理是,第一次认证通过用户名密码,服务端签发一个json格式的token。后续客户端的请求都携带这个token,服务端仅需要解析这个token,来判别客户端的身份和合法性 JWT的作用和特点 由于http协议是无状态的,所以客户...
JSON Web Tokens的实现原理
09-21
### JSON Web Tokens (JWT) 的实现原理 #### 一、前言 随着互联网技术的发展,安全性和便捷性成为了网络通信的重要考量因素。JSON Web Tokens(JWT)作为一种轻量级的数据交换标准,它允许以安全的方式来传输信息...
Python3非对称加密算法RSA实例详解
09-19
主要介绍了Python3非对称加密算法RSA,结合实例形式分析了Python3 RSA加密相关模块安装及使用操作技巧,需要的朋友可以参考下
Python使用PyJWT实现JSON Web Tokens加密解密
彭世瑜的博客
07-26 5015
科普 JSON Web Token 入门教程 Json Web Token JWT三部分组成: (1)Header (2)Payload (3)Signature Base64URL 算法: Base64 有三个字符+、/和=,在 URL 里面有特殊含义, 所以要被替换掉:=被省略、+替换成-,/替换成_ 代码实现 github:https://github.com/jpadilla/pyjwt/...
python写网页前端交易rsa加密_Python-SecureHTTP
weixin_39862985的博客
12-04 85
Python-SecureHTTP通过使用RSA+AES让HTTP传输更加安全,即C/S架构的加密通信!(Make HTTP transmissions more secure via RSA+AES, encrypted communication for C/S architecture.) 使用概述(Overview)安装(Installation):# 正式版(Release)$ p...
通过http协议调用api接口进行加密与解密操作
weixin_39868387的博客
05-25 1565
需求:通过对方提供的接口,对其接口进行解析它的apijson数据,并进行判断是否是同一数据,代码直接实现。 1、pom文件的引入 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocati
Python库 | token_utils-0.0.10-py3-none-any.whl
02-20
3. **JWTJSON Web Tokens)支持**:JWT是一种轻量级的身份认证和授权机制,将用户信息编码为一个安全的JSON对象,可以在客户端和服务器之间安全地传输。 4. **令牌管理**:包括令牌的存储、更新、撤销等操作,...
Python库 | django_token_manager-1.1.0-py3-none-any.whl
03-18
令牌可以用于临时访问权限的授予,如JWTJSON Web Tokens)用于无状态的身份验证。`django_token_manager`库提供了一种高效的方式来创建、存储和验证这些令牌,使得开发者能更轻松地实现安全的用户认证和会话管理。...
Web开发-如何实现Bearer模式的Token验证-Python实例源码.zip
12-13
Python中,我们可以利用Flask这样的Web框架和JWTJSON Web Tokens)库来实现这个功能。本教程将深入讲解如何在Web开发中实现Bearer模式的Token验证,并通过Python源码实例进行演示。 首先,理解Bearer Token的...
Python 基于jwt实现认证机制流程解析
09-16
JWTJSON Web Token)是一种用于用户身份验证的技术,在现代Web应用开发中被广泛采用。它通过创建一个包含用户信息的令牌来实现认证,这个令牌可以在客户端与服务器之间安全地传递。 **JWT的优点:** 1. **实现...
Python爬虫历程】HTTPS传输加密知识点
Demo.demo的博客
03-25 525
HTTP请求都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求被黑客拦截,并且里面含有银行卡密码等 敏感数据的话,会非常危险。 为了解决这个问题,Netscape 公司制定了HTTPS协议,HTTPS可以将数据加密传输,也就是传输的是密文,即便黑客在传输 过程中拦截到数据也无法破译,这就保证了网络通信的安全。 我们首先要知道一些密码学的知识。 明文: 明文指的是未...
python 发请求 对参数加密_Python使用传输层安全协议TLS/SSL实现信息加密传输
weixin_39757626的博客
12-08 235
原标题:Python使用传输层安全协议TLS/SSL实现信息加密传输董老师在哔哩哔哩网站免费分享的本学期“Python编程技术”讲课录屏视频,已更新到第11次课共27小时,观看地址::董付国老师17本Python系列图书均提供配套教学资源。=============问题描述:TCP协议是明文传输的,并不对信息进行加密,很容易被窃听和还原。所以重要信息不适合使用TCP直接传输,需要进行加密传输,具体...
pythonhttp协议传数据_HTTP协议篇(二)之HTTPS | 一起学Python网络爬虫
weixin_39617044的博客
12-07 81
原标题:HTTP协议篇(二)之HTTPS | 一起学Python网络爬虫除了标准的HTTP协议以外,还有一种大家比较熟悉的HTTPS协议,那什么是HTTPS协议那?它与HTTPS有什么区别那?1. HTTPS协议HTTPS全称为Hypertext Transfer Protocol Over Secure Sockect Layer,即在HTTP协议下加入了SSL层,用于安全的HTTP数据传输。H...
python json加密_基于pythonjson web tokens(jwt)加密认证实现
weixin_39616798的博客
12-09 90
使用python实现json web tokens加密协议》这两天是北京很冷,远在南方的广东都在下雪,这个冷可想而知了…正体开始,我自己在尝试写一个单点登录的小系统,里面权限控制有用到jwt (json web tokens)安全策略,对于jwt,我以前专门写过一篇文章来描述他是怎么一回事, 有兴趣的朋友再瞅瞅. 这次就直接讲解在python下的json web token实现. 不...
如何给python 代码加密_如何用python用私钥给报文rsa加密
weixin_39545310的博客
11-24 103
最近要跟某支付接口对接,在服务端这边,要求对数据进行签名,而他们提供的demo是java的PrivateKey pKey = (PrivateKey)store.getKey(alias, pwd.toCharArray());Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");cipher.init(Cipher.ENCRYPT_...
Python 生成 JWT(json web token) 及 解析方式
长门有希的博客
09-17 1066
一.关于 jwt 的原理及概念可以自行在网络上搜索了解一下,这里推荐一篇写的比较好的博客   深入了解Json Web Token之概念篇   另附 JWT 的官方文档:https://jwt.io/introduction/ 二.python 对于 jwt实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了,...
python接口测试_Python接口测试实战03 使用Python发送请求
weixin_39736379的博客
11-14 206
往期系列文章:Python接口自动化测试实战系列01--理论篇Python接口自动化测试实战系列02--工具篇本节内容requests安装requests使用JSON类型解析requests库详解带安全认证的请求序言上节课我们学习了接口测试的理论,抓包工具及使用Postman手工测试各种接口,这节课我们主要讲解使用Python语言来发送接口请求,实现接口测试自动化。发送请求,我们这里主要...
PythonJWT-Json Web Token使用
zizle_lin的博客
11-29 974
1 下载安装PyJWT。我这里使用的版本是1.7.1,环境Python3.6.3 pip install PyJWT==1.7.1 2 导入生成JWT import jwt # 设置payload token_dict = { 'iat': time.time(), 'name': 'xxx' # 可加入自定义的参数 } """ payload一些固定参数的介绍,如上面的‘iat’. is...
jwt怎么获取当前登录用户_获取jwt(json web token)中存储的用户信息
最新发布
05-12
要获取 JWT 中存储的用户信息,需要先解析 JWTJWT 通常由三部分组成,分别是 header、payload 和 signature。 其中,payload 部分存储了用户信息。一般情况下,payload 中会包含用户的 ID 或用户名等信息。 可以使用编程语言中的 JWT 库来解析 JWT,例如 Python 中的 PyJWT 库。下面是使用 PyJWT 库解析 JWT 并获取用户信息的示例代码: ```python import jwt # 假设 JWT 存储在变量 tokentoken = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c' # 解析 JWT payload = jwt.decode(token, verify=False) # 获取用户信息 user_id = payload['sub'] username = payload['name'] ``` 在上面的示例中,使用 `jwt.decode()` 方法解析 JWT,并将第二个参数 `verify` 设置为 `False`,表示不进行签名验证。然后从 payload 中获取用户信息。 需要注意的是,JWT 只是一种存储用户信息的方式,具体实现方式可能因应用场景而异。在实际应用中,可能需要在 JWT 中存储更多的用户信息,并进行加密和签名等操作来确保安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值