python json加密_JSON Web Tokens的实现原理

最新推荐文章于 2024-04-22 17:44:56 发布
最新推荐文章于 2024-04-22 17:44:56 发布
阅读量148 收藏
点赞数
文章标签: python json加密

前言

最近在做一个Python项目的改造,将python项目重构为Java项目,过程中遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路。

一、优势简介

JSON Web Tokens简称jwt,是rest接口的一种安全策略。本身有很多的优势:

解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。

服务端无状态可以横向扩展,Token可完成认证,无需存储Session。

系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。

防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。

二、原理简介

JSON Web Tokens的格式组成,jwt是一段被base64编码过的字符序列,用点号分隔,一共由三部分组成,头部header,消息体playload和签名sign。

1.jwt的头部Header是json格式:

{

"typ":"JWT",

"alg":"HS256",

"exp":1491066992916

}

其中typ是type的简写,代表该类型是JWT类型,加密方式声明是HS256,exp代表当前时间.

2.jwt的消息体Playload

{

"userid":"123456",

"iss":"companyName"

}

消息体的具体字段可根据业务需要自行定义和添加,只需在解密的时候注意拿字段的key值获取value。

3.签名sign的生成

最后是签名,签名的生成是把header和playload分别使用base64url编码,接着用'.‘把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用'.‘ 连接起来就生成了整个JWT。

三、校验简介

整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上。

1.加密

比如要加密验证的是userid字段,首先按前面的格式组装json消息头header和消息体playload,按header.playload组成字符串,再根据密钥和HS256加密header.playload得到sign签名,最后得到jwtToken为header.playload.sign,在http请求中的url带上参数想后端服务请求认证。

2. 解密

后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先

用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值。

四、代码示例

1.python代码的加密解密

#!/usr/bin/env python

# coding: utf-8

from itsdangerous import BadTimeSignature, SignatureExpired

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

APP_SECRET_KEY="secret"

MAX_TOKEN_AGE=1800

token_generator = Serializer(APP_SECRET_KEY, expires_in=MAX_TOKEN_AGE)

def generate_auth_token(userid):

access_token = token_generator.dumps({"userid":userid})

return access_token

def verify_token(token):

try:

user_auth = token_generator.loads(token)

print type(token_generator)

except SignatureExpired as e:

raise e

except BadTimeSignature as e:

raise e

return user_auth

2. java代码的加密解密

package api.test.util;

import java.io.UnsupportedEncodingException;

import java.security.InvalidKeyException;

import java.security.NoSuchAlgorithmException;

import javax.crypto.Mac;

import javax.crypto.SecretKey;

import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.stereotype.Component;

import lombok.extern.slf4j.Slf4j;

import net.sf.json.JSONObject;

/**

* jwt加解密实现

*

* @author zhengsc

*/

@Slf4j

public class TokenUtil {

private String ISSUER = "companyName"; // 机构

private String APP_SECRET_KEY = "secret"; // 密钥

private long MAX_TOKEN_AGE = 1800; // 存活期

/**

* 生成userId的accessToken

*

* @param userid

* @return

*/

public String generateAccessToken(String userid) {

JSONObject claims = new JSONObject();

claims.put("iss", ISSUER);

claims.put("userid", userid);

String accessToken = sign(claims, APP_SECRET_KEY);

return accessToken;

}

/**

* 解密程序返回userid

*

* @param token

* @return

*/

public String verifyToken(String token) {

String userid = "";

try {

String[] splitStr = token.split("\\.");

String headerAndClaimsStr = splitStr[0] + "." +splitStr[1];

String veryStr = signHmac256(headerAndClaimsStr, APP_SECRET_KEY);

// 校验数据是否被篡改

if (veryStr.equals(splitStr[2])) {

String header = new String(Base64.decodeBase64(splitStr[0]),"UTF-8");

JSONObject head = JSONObject.fromObject(header);

long expire = head.getLong("exp") * 1000L;

long currentTime = System.currentTimeMillis();

if (currentTime <= expire){ // 验证accessToken的有效期

String claims = new String(Base64.decodeBase64(splitStr[1]),"UTF-8");

JSONObject claim = JSONObject.fromObject(claims);

userid = (String) claim.get("userid");

}

}

} catch (UnsupportedEncodingException e) {

log.error(e.getMessage(), e);

}

return userid;

}

/**

* 组装加密结果jwt返回

*

* @param claims

* @param appSecretKey

* @return

*/

private String sign(JSONObject claims, String appSecretKey) {

String headerAndClaimsStr = getHeaderAndClaimsStr(claims);

String signed256 = signHmac256(headerAndClaimsStr, appSecretKey);

return headerAndClaimsStr + "." + signed256;

}

/**

* 拼接请求头和声明

*

* @param claims

* @return

*/

private String getHeaderAndClaimsStr(JSONObject claims) {

JSONObject header = new JSONObject();

header.put("alg", "HS256");

header.put("typ", "JWT");

header.put("exp", System.currentTimeMillis() + MAX_TOKEN_AGE * 1000L);

String headerStr = header.toString();

String claimsStr = claims.toString();

String headerAndClaimsStr = Base64.encodeBase64URLSafeString(headerStr.getBytes()) + "."

+ Base64.encodeBase64URLSafeString(claimsStr.getBytes());

return headerAndClaimsStr;

}

/**

* 将headerAndClaimsStr用SHA1加密获取sign

*

* @param headerAndClaimsStr

* @param appSecretKey

* @return

*/

private String signHmac256(String headerAndClaimsStr, String appSecretKey) {

SecretKey key = new SecretKeySpec(appSecretKey.getBytes(), "HmacSHA256");

String result = null;

try {

Mac mac;

mac = Mac.getInstance(key.getAlgorithm());

mac.init(key);

result = Base64.encodeBase64URLSafeString(mac.doFinal(headerAndClaimsStr.getBytes()));

} catch (NoSuchAlgorithmException | InvalidKeyException e) {

log.error(e.getMessage(), e);

}

return result;

}

}

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持脚本之家!

weixin_39824529
关注
Python相关包】Json / 加密 / 编码 / 日志
qq_41543825的博客
04-05 1439
Json / 加密 / 编码 / 日志 文章目录Json / 加密 / 编码 / 日志一、JSON数据1、JSON的定义2、JSON的应用二、加密hashlib1、三种加密方式(网络安全)2、hashlib 二进制加密三、base64编码1、base64 的URL编码2、某些最后有=号的激活码一般就是base64编码四、logging 日志1、logging列表2、logging错误等级(5个)3、使用日志器 一、JSON数据 1、JSON的定义 前后端交互时,规定用 JSON 格式传输 JSON内存较小
Json 知识学习
小牧在一直在学习,在前进的道路上大家一起学习,进步。
09-03 371
重新温习下官网的介绍,收获很多,这里翻一下 官网地址 JSON(JavaScript Object Notation)是一种轻量级的数据交换格式。人类很容易读写。机器很容易解析和生成。它基于JavaScript编程语言的一部分,标准ECMA-262第3版 - 1999年12月。JSON是一种完全独立于语言的文本格式,但使用C语言系列程序员熟悉的约定,包括C,C ++,C#,Java,Jav...
python json加密,如何在python加密JSON
weixin_42123191的博客
03-01 523
I have a JSON file. I am running a program, in python, where data is extracted from the JSON file. Is there any way to encrypt the JSON file with a key, so that if someone randomly opens the file, it ...
python json加密_python2.7 json串编码加密问题
weixin_29692653的博客
03-01 144
昨天在用python做H5接口测试。在编写“添加订单”接口测试代码时遇到了“api签名失败”的问题1,第一个问题就是order_detail多加了个‘ ’,一下把dict变成了str。2,知道这个问题后就去掉‘ ’试试呗。然而--并没有用,直接报错说,dict不能编码3,又遇到瓶颈了,qq群微信群求助,他(没)们(卵)都(用)太忙。无奈自己继续百度谷歌吧,搜索python2.7 json编码。看了...
Python Tornado集成JSON Web Token方式登录
weixin_34217773的博客
04-23 860
本项目github地址 前端测试模板如下: Tornado restful api 项目 项目结构如下: 项目组织类似于django,由独立的app模块构成。 登录接口设计 模式:post -> /login/ 携带参数:{username:"", password:""} 返回:{token: "这里是JWT"} Tornado集成JWT Pyjwt的github地址 首先安装Pyj...
JSON Web Tokens的实现原理
09-21
### JSON Web Tokens (JWT) 的实现原理 #### 一、前言 随着互联网技术的发展,安全性和便捷性成为了网络通信的重要考量因素。JSON Web Tokens(JWT)作为一种轻量级的数据交换标准,它允许以安全的方式来传输信息...
如何在Flask应用程序使用JSON Web Tokens进行安全认证
晓风晓浪
04-22 719
JSON Web Tokens,简称JWTs,是一种用于在客户端和服务器之间安全传输信息的认证机制,使用JSON格式。这些信息可以被验证和信任,因为它使用HMAC算法或使用RSA或ECDSA的公钥/私钥对进行数字签名。**Header:**这定义了令牌的类型(JWT)和使用的签名算法。**Payload:**这承载着用户特定的数据,如用户ID、用户名、角色和您想要包含的任何其他声明。此有效载荷被Base64编码以获得最大的安全性。
Json WebTokens的实现原理及Django的序列化组件Serializer
hegui1997的博客
04-22 218
前言 最近在做一个python项目的改造,将python项目重构为java项目,过程遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路。 一、优势简介 JSON Web Tokens简称jwt,是rest接口的一种安全策略。本身有很多的优势: 解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。 服务端...
基于令牌的矩阵注册api_Python_HTML_下载.zip
04-13
- 在基于令牌的身份验证,如OAuth2或JWT(JSON Web Tokens),用户无需每次请求时都提供用户名和密码,而是使用令牌来验证其身份。 2. **Python API开发**: - Python因其简洁的语法和丰富的库支持,常被用来...
Python:使用PyJWT实现JSON Web Tokens加密解密
彭世瑜的博客
07-26 5046
科普 JSON Web Token 入门教程 Json Web Token JWT三部分组成: (1)Header (2)Payload (3)Signature Base64URL 算法: Base64 有三个字符+、/和=,在 URL 里面有特殊含义, 所以要被替换掉:=被省略、+替换成-,/替换成_ 代码实现 github:https://github.com/jpadilla/pyjwt/...
python2.7 实现 json文件 加密解密
Simon的博客
11-21 532
【代码】python2.7 实现 json文件 加密解密。
python json加密_基于pythonjson web tokens(jwt)加密认证实现
weixin_39616798的博客
12-09 107
《使用python来实现json web tokens加密协议》这两天是北京很冷,远在南方的广东都在下雪,这个冷可想而知了…正体开始,我自己在尝试写一个单点登录的小系统,里面权限控制有用到jwt (json web tokens)安全策略,对于jwt,我以前专门写过一篇文章来描述他是怎么一回事, 有兴趣的朋友再瞅瞅. 这次就直接讲解在python下的json web token的实现. 不...
java json接口加密解密
xingchuansen
09-23 5745
java json接口加密解密 对json接口进行加密解密, 这里实现的方式是 解密使用自定义过滤器 1、启动类加注解@ServletComponentScan @SpringBootApplication @ServletComponentScan public class TestWebApplication { public static void main(String[] args...
Api接口加密解密策略 编写爬虫遇到http接口加密 每个接口的参数和返回内容全都是乱码 最后赌怪附体一发入魂
arr的博客
04-20 2489
操作流程用fiddler抓包下载app抓包前端分析js分析chrome断点调试 背景:需要编写一个爬虫爬取网站的资料,框架写好了,发现该网站所有api都进行了加密. 用fiddler抓包 网页端api如下图所示: 这里可以观察到,这确实就是网站的api.而且返回的都是一大串莫名其妙的东西,随后多抓了几个包,可以发现共同点. 不同的api返回的前面部分都是一样的,这样其实已经可以假想这是一个js...
Inside Delphi 2006 (Wordware Delphi Developer's Library)
TopMVP
09-08 583
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出版、作者信息和本声明。否则将追究法律责任。http://blog.csdn.net/topmvp - topmvpStarting with a detailed description of Delphi and C++ languages, this book covers the essential topics such
python之urlsafe_b64decode
萧海的博客
09-29 865
Python,urlsafe_b64decode是一个函数,用于解码使用URL安全的Base64编码的字符串。在示例,我们将一个经过URL安全的Base64编码的字符串赋值给变量encoded_string。最后,我们将解码后的数据打印输出。与标准的Base64编码不同,URL安全的Base64编码使用了一些特殊的字符代替了标准编码的+和/字符。具体来说,URL安全的Base64编码将+替换为-,将/替换为_。它的作用是将使用URL安全的Base64编码的字符串解码为原始的二进制数据。
python实现base64解码_base64编码与python
weixin_39777875的博客
11-25 682
一、base64编码工作原理base64模块是用来作base64编码解码的。这种编码方式在电子邮件是很常见的。它可以把不能作为文本显示的二进制数据编码为可显示的文本信息。base64怎么工作的呢?把N字节的内容对应的8*N位, 每6位砍成1段,得到 (8*N)/6 个单元,每个单元的值,都在[0,63]之间,再把其值对应1个ascii字符,拼接起来,OK!这里以base64_encode(’PH...
python b64encode_python base64编码解码、SHA256编码、urlsafe_b64encode编码
weixin_32171133的博客
02-09 1436
importbase64importhmacimporthashlib#MD5 编码 应用haslibuser = ‘username‘pwd= ‘pass123456‘user= user.encode(encoding=‘utf-8‘)pwd= pwd.encode(encoding=‘utf-8‘)user_MD5=hashlib.md5(user).hexdigest()pwd_MD5=h...
python 对 aes加密json数据,进行解密时注意点
中华可为
12-14 3253
from Crypto.Cipher import AES def params_aes_encrypt(self,text): '''数据加密''' text = text.replace(" ", "") BS = 16 pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS) t
Python web实现Python在线题库
最新发布
06-14
PythonWeb上实现在线题库是一个常见的应用,通常利用Web框架如Django或Flask来搭建。以下是一个概述: 1. **选择框架**:Python有多个强大的Web框架,其Django适合大型项目和复杂的功能需求,而Flask则更为轻量...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值