Python接口自动化 ❀ 详解 Token和JWT登录验证的工作原理

最新推荐文章于 2024-05-11 16:59:01 发布
最新推荐文章于 2024-05-11 16:59:01 发布
阅读量696 收藏 1
点赞数
分类专栏: Python 接口自动化测试 文章标签: 自动化 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44244493/article/details/129912144
版权

在这里插入图片描述

Python接口自动化 ❀ 详解 Token和JWT登录验证的工作原理

前言

之前我们对Cookie&Session的工作原理做了详细的介绍,并提出了它存在的两个问题:存储问题CSRF问题。为了避免/解决这些问题,开发者们开始使用更加成熟的JWT来代替Cookie&Session作为登录验证的首选技术方案,这一节我们就讲详细讲解JWT登录验证的工作原理。

❀关于Token

在说JWT之前,我们需要先了解一下传统使用Token的方式。

Token的意思就是“令牌”,是服务器生成的一段加密字符串(要保证唯一性),传统使用Token做登录验证的流程:
在这里插入图片描述

  1. 客户端登录成功后,由服务器计算生成Token并保存(一般是保存到数据库中)。

  2. 服务端将生成的Token返回给前端(一般是 将Token添加到请求的响应头Response.header上)

  3. 客户端拿到Token后将其存储到本地,一般是存放到LocalStorage

  4. 客户端每次向服务端发送请求都要带上它存储的这个Token(一般是将Token添加到请求的请求头request.header上)

  5. 服务端收到请求后,验证客户端请求里携带的Token是否与数据库中保存的Token一致,若验证成功就正常响应请求。

    如果希望Token验证成功后服务端能获取或者返回该Token对应的用户信息,那么服务端在第一次存储Token时就可以选择将Token与用户用户信息进行存储关联,比如将Token作为key、用户ID(userID)作为值:

{
	Token:userID
}

这个流程与Cookie&Session很是相似,不同的是它没有引入SessionId的概念,也没有使用Cookie,所以相比Cookie&Session而言,传统使用Token验证的方式避免了CSRF攻击的问题,但并没有避免存储问题。

❀关于JWT

JTW的全称为Json Web Token,它和传统使用Token的区别主要体现在服务端是否保存Token

通过JWT计算生成的Token字符串(我们称其为JWT Token)包含三个部分:
在这里插入图片描述

  • Header(头部)(上图红色内容):一个描述JWT元数据的JSON对象的签名。
  • Payload(载荷)(上图紫色内容):载荷数据的签名。
  • Signature(签证)(上图中蓝色内容):前两部分一起跟秘钥算出来的签名。

通过JWT Token三段式的结构我们可以知道:

  • JWT可以将用户信息通过服务端的密钥加密到JWT Token字符串中(Payload部分),那么服务端同样也能从JWT Token中解密出用户信息。
  • 后续服务端只需要将JWT Token的前两部分(Header与Payload)与服务端保存的密钥进行计算,若计算结果与JWT Token的第三部分(Signature)相同即可验证该JWT Token有效。

通过JWT Token本身就可以进行验证和读取信息的操作,所以服务端不需要存储Token了,这就解决了传统使用Token验证中的存储问题。

❀JWT验证流程

在这里插入图片描述

  1. 客户端登录成功后,由服务端根据自己的密钥和用户信息计算生成Token。
  2. 服务端将生成的Token直接返回给前端(一般是将Token添加到请求的响应头response.header上)
  3. 客户端拿到Token后将其存储到本地,一般是存放到LocalStorage中
  4. 客户端每次向服务端发送请求都要带上它存储的这个Token
  5. 服务端收到请求后,通过自己的密钥验证客户端请求里携带的Token是否有效,若有效就正常响应请求。

在这里插入图片描述
整个流程中服务端只需要保存一个固定的密钥即可,其他信息全部由客户端进行存储,服务端做的工作只有生成Token,然后验证Token。

❀优缺点

优点:

  1. 服务端不用存放数据,减轻服务端的压力;
  2. 跨语言,JAVA、JS、NodeJS、PHP等很多语言都可以使用JWT;
  3. 基于JSON,方便解析,可以在令牌中自定义丰富的内容,易扩展;
  4. 通过非对称加密及数字签名技术,可以防止篡改、安全性高;
  5. 有效避免CSPF攻击
  6. 适合移动端应用,因为部分移动端应用不支持Cookie;

缺点:

  1. 占带宽大,正常情况下要比session_id更大,需要消耗更多流量,挤占更多带宽,JWT中存储的数据越多,消耗的流量也就越多。
  2. 无法在服务端注销,那么就很难解决劫持问题,如果token被其他人利用,无法对其进行拦截(这其实和session id被其他人利用是一样)。
  3. 性能问题,JWT的卖点之一就是加密签名,由于这个特性,接收方得以验证JWT是否有效且被信任。对于有着严格性能要求的Web应用,这并不理想,尤其对于单线程环境。
  4. 不能存储敏感信息:由于JWT的Payload 是使用base64编码的,并没有加密,因此JWT中不能存储敏感数据。
炫酷的腿毛!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
python3 Flask jwt 简易token认证实例
jxyk2007的专栏
02-20 682
chatgpt写的代码。
pyjwt,一个强大的 Python JWT解析校验库!
m0_67847535的博客
02-16 1593
JSON Web Tokens(JWT)是一种用于安全传输信息的开放标准(RFC 7519),它可以在网络应用之间传递声明。PyJWTPython中用于创建、解析和验证JWT的库,它提供了丰富的功能和灵活性,能够轻松地在Python应用程序中实现JWT的各种功能。本文将深入探讨PyJWT库的各个方面,包括基本概念、安装、创建、解析和验证JWT,以及高级功能和实际应用场景。
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析
最新发布
2401_84140580的博客
05-11 1617
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
python+pytest接口自动化token关联登录这样做,阿里p8都直呼牛逼!!!
MXB_1220的博客
11-23 963
token 由服务端产生,是客户端用于请求的身份令牌。第一次登录成功时,服务端会生成一个包含用户信息的加密字符串token,返回给客户端并保存在本地,后续客户端只需要带上token进行请求即可,无需带上用户名密码。token原理简单概括如下:用户首次登录成功后,服务端会生成一个token值,服务端会将它保存保存在数据库中,同时也会将它返回给客户端;客户端拿到token值后,保存在本地;后续客户端再次发送除登录外的其他请求时,会把保存在本地的token值作为参数一起发送给服务端;
python-jwt的生成和解析
叽里呱啦的一大摊,人生太艰难.
12-17 2241
JWT的生成和解析. import datetime import jwt from jwt import exceptions salt = 'iv%x1fo9l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' def generate_token(playload, timeout=120): """ 生成token :param playload: 一般为用户id、用户名的字典 :param timeout: 多久过期,单位:
Python接口自动化Token详解及应用
07-27 8481
在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、session应用,介绍了cookie、session原理及在自动化过程中如何利用cookie、session保持会话状态。 以下介绍Token原理及在自动化中的应用。 一、Token基本概念及原理 1、Token作用 为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 2、什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次...
微信小程序登录对接Django后端实现JWT方式验证登录详解
10-16
本文将详细阐述如何在微信小程序中实现与Django后端的登录对接,利用JWT(JSON Web Token)进行身份验证。首先,我们来看一下整个流程: 1. **微信小程序登录及获取用户信息**:用户在微信小程序中点击登录按钮,...
Django JWT Token RestfulAPI用户认证详解
01-21
python manage.py startapp users 添加项目apps settings.py INSTALLED_APPS = [ ... 'users.apps.UsersConfig', ] 添加AUTH_USRE_MODEL 替换默认的user AUTH_USER_MODEL = 'users.UserProfile' 如果说想用全局...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web TokenJWT)认证。JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
django rest framework vue 实现用户登录详解
09-18
主要介绍了django rest framework vue 实现用户登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
python接口自动化登录_python接口自动化(二十)--token登录详解
weixin_39692830的博客
11-20 1203
简介为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。有些登录不是用 cookie 来验证的,是用 token 参数来判断是否登录token 传参有两种一种是放在请求头里,本质上是跟 cookie 是一样的,只是换个单词而已;另外一种是在 url 请求参数里,这种更直观。登录返回token1、如下图的这个登录接口,就是没有 cookies的登录接口。2、但是这个登...
PyJWT:JSON Web Token的一个Python实现-python
06-18
PyJWT:JSON Web Token的一个Python实现 PyJWT RFC 7519 的 Python 实现。原始实现由 @progrium 编写。 安装 $ pip install PyJWT 用法 >>> 导入 jwt >>> 编码 = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicZb21lIjoicZGF5J9tG9tOvZOcZF5J9tG9tOvZOcF5J9tG9tOvZOvZF5J9tG9tOvZF5J9tG9tZOO jwt.decode(encoded, 'secret', algorithm=['HS256']) {'some': 'payload'} 文档 在 https://pyjwt.readthedocs.io/en/latest/ 在线查看完整文档克隆后可以从项目根目录运行测试: $ python setup.py test
python获取token后存入浏览器_Selenium+python 通过 Cookie 和 Token 登录详解 [无基础新手必看系列]...
weixin_39852121的博客
12-21 1498
功能描述:通过Cookie或Token登录用 处:自动化时跳过验证码适用环境:Windows通过Cookie登录示例开始options = webdriver.ChromeOptions()options.binary_location = r"D:\Program Files\Google\Chrome\Application\chrome.exe"driver = webdriver...
Python 生成 JWT(json web token) 及 解析方式
长门有希的博客
09-17 1063
一.关于 jwt 的原理及概念可以自行在网络上搜索了解一下,这里推荐一篇写的比较好的博客   深入了解Json Web Token之概念篇   另附 JWT 的官方文档:https://jwt.io/introduction/ 二.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了,...
python获取token登录,Python token的获取和再次登录验证
weixin_39785286的博客
03-26 1509
from flask import Flask, jsonify, gfrom flask_script import Managerfrom flask_httpauth import HTTPBasicAuthfrom flask_restful import Api,Resourcefrom itsdangerous import TimedJSONWebSignatureSerialize...
python使用json web token (jwt)实现http api的加密传输
Faith的博客
08-22 3830
CSRF攻击原理图: 20150119003530_89131.jpg 上图中Browse是浏览器,WebServerA是受信任网站/被攻击网站A,WebServerB是恶意网站/攻击网站B。 一开始用户打开浏览器,访问受信任网站A,输入用户名和密码登陆请求登陆网站A。网站A验证用户信息,用户信息通过验证后,网站A产生Cookie信息并返回给浏览器。用户登陆网站A成功后,可以
5 分钟,快速入门 Python JWT 接口认证
AirPython的博客
07-07 480
点击上方“AirPython”,选择“加为星标”第一时间关注 Python 原创干货!1. 前言大家好,我是安果!为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有...
用户验证----jwt生成token,及token解析 Python Flask
A_Coding_Man
12-21 1257
参考链接:https://www.cnblogs.com/lowmanisbusy/p/10930856.html import time import jwt # payload token_dict = { 'iat': time.time(), # 时间戳 'name': 'lowman' # 自定义的参数 } """payload 中一些固定参数名称的意义, 同时可以在payload中自定义参数""
python爬虫登陆 带Cookie token
热门推荐
gx_up
05-28 1万+
python写爬虫整的很方便,弄了个模拟登陆,登陆后带上token和cooke请求页面 就拿gitlab练下手了,这个还是有一丢丢麻烦的 一、登陆界面 获取隐藏域中的token,构建表单的时候需要 获取到这个_gitlab_session,登陆校验时需要带着这个信息 准备好token和cookie,当然还需要一个能登陆用户名和密码   二、登陆验证 登陆验证就是构建表单,...
JWT Token实现与用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫酷的腿毛!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值