python3 jwt(json web token).py

最新推荐文章于 2024-05-11 16:59:01 发布
最新推荐文章于 2024-05-11 16:59:01 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: python3 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42193179/article/details/104535644
版权 
"""
模块:python3 jwt(json web token).py
功能:python3 实现 jwt 用户验证。
参考:https://blog.csdn.net/weixin_42193179/article/details/104475173
https://blog.csdn.net/weixin_42193179/article/details/104522302
知识点:
1.加密算法
hmac.new(key, msg=None, digestmod=None)
    创建一个新的散列对象(hashing object)并返回它。

    key: 哈希的起始键。
    msg: 如果可用,将立即散列到(be hashed into)对象的起始状态。
    digestmod: 摘要(加密)模式,如SHA1、SHA224、SHA256、SHA384、SHA512、MD5等。

    现在,您可以使用它的 update() 方法将任意字符串输入到对象中,
    并且可以通过调用它的 digest() 方法在任何时候请求哈希值。

2.base64.urlsafe_b64encode(s)
    使用url和文件系统安全的base64字母表编码字节。

    参数s是一个用来编码的、类似字节的对象。
    结果作为字节对象返回。
    字母表使用'-'而不是 '+' , '_' 而不是'/'。

3.base64.urlsafe_b64decode(s)
    使用url和文件系统安全的base64字母表解码字节。

    参数s是一个类似字节的对象或要解码的ascii字符串。
    结果作为字节对象返回。
    如果输入的字节串被错误填充,则会引发binascii.Error。
    不在url-safe base-64字母表中的字符,而且不是加 '+' 或斜杠 '/',在填充检查之前将被丢弃。

    字母表使用 '-' 而不是 '+' , '_' 而不是 '/'。
"""
import json
import time
import base64
import hmac

# 一、构造(JWT[json web token])
# 1.头部。
# alg,签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);
# typ,令牌(token)的类型(type),JWT令牌统一写为JWT。
# 用途:将 header 对象使用 Base64URL 方法编码成字符串,组成 JWT 结构的第一部分。
header = {"alg": "HS256", "typ": "JWT"}
headerStr = json.dumps(header)
# print(headerStr)
# {"alg": "HS256", "typ": "JWT"}
headerB64UrlEncoded = base64.urlsafe_b64encode(headerStr.encode()).decode()
print("headerB64UrlEncoded:", headerB64UrlEncoded)
# headerB64UrlEncoded: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9

# 2.负载
# 用来存放实际需要传递的数据(非私密)。
# iat, Issued At 签发时间; nbf,Not Before,生效时间; exp,expiration time,过期时间。
timeStart = time.time()
payload = {"iat": timeStart, "nbf": timeStart, "exp": timeStart + 10 * 60}
payloadStr = json.dumps(payload)
payloadB64UrlEncoded = base64.urlsafe_b64encode(payloadStr.encode()).decode()
print("payloadB64UrlEncoded:", payloadB64UrlEncoded)
# payloadB64UrlEncoded: eyJpYXQiOiAxNTgyNzgxMTczLjQ3OTYwNjYsICJuYmYiOiAxNTgyNzgxMTczLjQ3OTYwNjYsICJleHAiOiAxNTgyNzgxNzczLjQ3OTYwNjZ9

# 3.签名
# 密钥。
secretKey = "gao2gao"
msg = headerB64UrlEncoded + "." + payloadB64UrlEncoded
signature = hmac.new(secretKey.encode(), msg.encode(), 'SHA256').hexdigest()
print("signature:", signature)
# signature: e709794583cc31eaaea84281972af97e6c589b88130acd0a692a8ac0b3e169e9

# 4.构造 JWT
jwt = msg + "." + signature
print("jwt:", jwt)
# jwt: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJpYXQiOiAxNTgyNzgxNjcyLjAzOTg3NzIsICJuYmYiOiAxNTgyNzgxNjcyLjAzOTg3NzIsICJleHAiOiAxNTgyNzgyMjcyLjAzOTg3NzJ9.771ebe03d303803d66b298753ad72d5a8be571fa732ecc6d993063893d711947


# 二、验证 JWT
# 1.拆分header, payload, signature。
headerB64UrlEncoded, payloadB64UrlEncoded, signature = jwt.split(".")
print(headerB64UrlEncoded, payloadB64UrlEncoded, signature)
# eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9 eyJpYXQiOiAxNTgyNzgyMTAxLjExOTk4MTgsICJuYmYiOiAxNTgyNzgyMTAxLjExOTk4MTgsICJleHAiOiAxNTgyNzgyNzAxLjExOTk4MTh9 97eed8ea6656572be18de23a6bf59be013bece092ad1efcc4ff70de47547aa5a
header = json.loads(base64.urlsafe_b64decode(headerB64UrlEncoded.encode()).decode())
print("header:", header)
# header: {'alg': 'HS256', 'typ': 'JWT'}
print(type(header))
# <class 'dict'>

# 2.获取签名的加密算法。
alg = header['alg']
print("alg:", alg)
if alg == 'HS256':
    alg = 'SHA256'
print("alg:", alg)
# alg: SHA256

# 3.模拟用户信息篡改。
payload = json.loads(base64.urlsafe_b64decode(payloadB64UrlEncoded.encode()).decode())
print("payload:", payload)
# payload: {'iat': 1582783148.1871371, 'nbf': 1582783148.1871371, 'exp': 1582783748.1871371}
# 篡改
payload['iss'] = 'gao'
print("payload:", payload)
# payload: {'iat': 1582783214.8349812, 'nbf': 1582783214.8349812, 'exp': 1582783814.8349812, 'iss': 'gao'}
# 重新 base64编码。
payloadStr = json.dumps(payload)
payloadB64UrlEncoded = base64.urlsafe_b64encode(payloadStr.encode()).decode()


# 4.重新签名(个人理解:不可破解的加密)
msg = headerB64UrlEncoded + "." + payloadB64UrlEncoded
signature2 = hmac.new(secretKey.encode(), msg.encode(), alg).hexdigest()
print("signature2:", signature2)
# signature2: e8ff3b911f27428c96feb9fca0af61fc3ff4d233bd69e955ec880eb06619003a
if signature == signature2:
    print("验证通过!")
else:
    print("用户信息已被篡改!")
# 验证通过!
# 用户信息已被篡改!
学无止境慢慢来
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python3 实现 JWT
m0_61632496的博客
12-05 1271
""" python 实现jwt """ import time import json import copy import base64 import hmac class Jwt: def __init__(self): pass @staticmethod def base64_encode(string): """ 功能函数: base64编码 :param string: 预编码字符串 .
Python3使用jwt的方法
什么都干的派森
12-02 1299
安装jwt依赖pyjwt2+的版本兼容python3+pyjwt1+的版本兼容python2+pyjwt2+和pyjwt1+的使用方法有差异,本人写的是pyjwt2+的使用方法,如果使用pyjwt1+的话本方法应该跑不通。
python3 requests JWT token 登录
mixboot
09-20 4170
python3 requests JWT token 登录 #!/usr/local/bin/python3 # coding:utf-8 import requests import json # 需要找到response响应里有token值的url,可以通过Chrome浏览器开发者工具抓包查看Network里链接的Response内容 url = &amp;amp;quot;response内容有token的URL&amp;amp;quot; ...
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析
最新发布
2401_84140580的博客
05-11 1769
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
python中的JWT
weixin_33672109的博客
11-26 2978
为了解决Http无状态问题,产生了cookie和session技术。 传统的session技术解决了无状态问题,但是不能防止客户端的篡改,而且对于服务端要保存session,在数据量较大,业务规模增加时,还要解决多台服务器之间的session共享问题,使用redis或者memcached等方案。 产生可JWT技术可以解决用户篡改问题,服务器端产生的标识,使用算法加密,对标识签名。 再次收到...
python3 urllib JWT json token 登录
mixboot
09-21 916
python3 urllib JWT json token 登录 import urllib.request import json url = "Response包含token信息的url" # 抓包登录参数 username = "用户名" password = "密码" # 转换为JSON格式 data = json.dumps({"username": username, "passwor...
PyJWTJSON Web Token的一个Python实现-python
06-18
PyJWTJSON Web Token的一个Python实现PyJWT RFC 7519 的 Python 实现。原始实现由 @progrium 编写。 安装 $ pip install PyJWT 用法 >>> 导入 jwt >>> 编码 = jwt.encode({'some': 'payload'}, ...
Python库 | apistar_jwt-0.3.0-py2.py3-none-any.whl
03-14
`apistar_jwt`是专门为APIStar框架设计的一个库,用于处理JSON Web TokenJWT)。JWT是一种轻量级的身份验证和授权机制,广泛应用于现代Web服务和API的安全认证。它允许服务器向客户端发放一个令牌,这个令牌包含了...
Python库 | more.jwtauth-0.6.tar.gz
03-08
这个库可能用于处理JSON Web TokenJWT)认证和授权,因为"jwtauth"通常与JWT操作有关。JWT是一种安全的身份验证和授权机制,广泛应用于Web应用程序中。 描述中提到"python库"和"资源全名:more.jwtauth-0.6.tar....
Python库 | okta_jwt_verifier-0.2.1-py2.py3-none-any.whl
02-18
`okta_jwt_verifier` 是一个Python库,专为验证Okta颁发的JSON Web Tokens (JWTs)而设计。这个库适用于Python 2和3版本,支持多种平台,确保在后端开发中安全地处理Okta的身份验证和授权流程。 JWTs是身份验证和...
PyPI 官网下载 | drf_jwt-1.16.0-py2.py3-none-any.whl
02-03
`drf_jwt` 是一个与Python相关的库,它主要用于集成JSON Web TokenJWT)认证到Django Rest Framework(DRF)项目中。这个库使得在API开发中实现安全的、基于令牌的身份验证变得更加简单。`drf_jwt-1.16.0-py2.py3-...
Python-pythonjwt一个用来生成和验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成和验证 JSON Web Tokens的模块
PyJWT 项目
08-24
PyJWT项目,使用pycharm导入资源,配置好运行环境,即可运行该项目。
PyJwt使用
weixin_43950678的博客
11-07 2129
介绍 官网介绍https://jwt.io/introduction/ 什么是JSON Web令牌? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑而独立的方法,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密
Python用户认证JWT——PyJWT
XerCis的博客
09-08 4005
PyJWTPython编解码JWT的库。JWTJSON Web Token,基于RFC7519,用于跨域认证 ,便于服务器集群认证。服务器认证后,生成一个JWT返回客户端,之后客户端与服务器通信都要发回这个 JSON,用于身份认证。
python实现 HmacSHA256加密算法
菜鸡小白的成长记录
01-12 9127
一般来说,sha256算法通常和base64算法一起搭配使用。 废话不多说,直接上代码: from hashlib import sha256 import hmac, base64 def get_sha256(data, key): key = key.encode('utf-8') # sha256加密的key message = data.encode('utf-8') # 待sha256加密的内容 sign = base64.b64encode(hmac.n
BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题
u013119911的博客
07-02 8354
JWT
python实现SHA256
热门推荐
leshen_88的博客
07-17 1万+
from hashlib import sha256 import hmac def get_sign(key, data): #sha256加密有2种 # hsobj = sha256(key.encode("utf-8")) # hsobj.update(data.encode("utf-8")) # print(hsobj.hexdigest().upper()) data = data.encode('utf-8') print(hmac.new(key.encode('utf-8'), data
理解JWTJSON Web Token)认证及python实践
weixin_34258078的博客
07-23 1196
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT 的认证方式。这一篇主要内容是 JWT 的认证原理,以及python 使用 jwt 认识的实践。 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提...
rest_framework_jwt 如何使用refresh token进行token续期
06-09
2. 在 `urls.py` 中添加 `refresh_jwt_token` 视图的路由: ```python from rest_framework_jwt.views import refresh_jwt_token urlpatterns = [ # ... 其他路由 ... path('api/token/refresh/', refresh_jwt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值