JWT原理
playload
载荷就是存放有效信息的地方,这个里面可以配置一些参数已经我们需要进行加密的数据字典。一般情况下只需要存放我们的数据和设置一个过期时间就可以了 根据当前时间设置一分钟后过期
datetime.datetime.utcnow() + datetime.timedelta(minutes=1)
1.iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
jwt的头部承载两部分信息:
声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON:
{
header = {
‘typ’: ‘JWT’,
‘alg’: ‘HS256’
}
secret
加盐,相当于是自己配置了一段秘钥,在生成token和进行解密效验时使用,可以防止网站被攻击,数据直接泄露,增加了网站一定的安全性
python 中使用 jwt
安装 pip install PyJWT
import jwt
import datetime
dic = {
'exp': datetime.datetime.now() + datetime.timedelta(days=1), # 过期时间
'iat': datetime.datetime.now(), # 开始时间
'iss': 'lianzong', # 签名
'data': { # 内容,一般存放该用户id和开始时间
'a': 1,
'b': 2,
},
}
s = jwt.encode(dic, 'secret', algorithm='HS256') # 加密生成字符串
print(s)
s = jwt.decode(s, 'secret', issuer='lianzong', algorithms=['HS256']) # 解密,校验签名
print(s)
print(type(s))
可以在Django 里面自己配置一个JWT 然后调用使用,如果不熟悉原理可以使用djagnrestframework-jwt
import jwt
import datetime