JSON Web Tokens ,是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。
1、jwt认证流程
传统token方式和jwt认证方式有什么差异?
-
传统token方式
用户登录成功后,服务端生成一个随机的token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需要携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法 -
jwt方式
用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需要携带token,服务端接收到token之后,通过jwt对token进行教研是否超时、是否合法。
2、jwt创建token**
在加密的数据中 如果 包含exp=过期时间,则会在一段时间内 token有效
否则一值有效
2.1、原理
jwt的生成token格式如下,即:由。连接的三段字符组成
eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU
生成规则如下:
第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段
{
"alg": "HS256", "typ": "JWT"
}
"""headers 中一些固定参数名称的意义"""
# jku: 发送JWK的地址;最好用HTTPS来传输
# jwk: 就是之前说的JWK
# kid: jwk的ID编号
# x5u: 指向一组X509公共证书的URL
# x5c: X509证书链
# x5t:X509证书的SHA-1指纹
# x5t#S256: X509证书的SHA-256指纹
# typ: 在原本未加密的JWT的基础上增加了 JOSE 和 JOSE+ JSON。JOSE序列化后文会说及。适用于JOSE标头的对象与此JWT混合的情况。
# crit: 字符串数组,包含声明的名称,用作实现定义的扩展,必须由 this->JWT的解析器处理。不常见。
第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段。
{
"sub": "1234567890", "name": "John Doe", "iat": 1516239022
}
"""payload 中一些固定参数名称的意义, 同时可以在payload中自定义参数"""
# iss 【issuer】发布者的url地址
# sub 【subject】该JWT所面向的用户,用于处理特定应用,不是常用的字段
# aud 【audience】接受者的url地址
# exp 【expiration】 该jwt销毁的时间;unix时间戳
# nbf 【not before】 该jwt的使用时间不能早于该时间;unix时间戳
# iat 【issued at】 该jwt的发布时间;unix 时间戳
# jti 【JWT ID】 该jwt的唯一ID编号
第三段SIGNATURE部分,把前两段的base秘闻通过.拼接起来,然后对其进行HS256加密,再然后对hs256秘闻进行base64url加密,最终得到token的第三段。
base64url(
HMACHSHA256(
base64UrlEncode(header) + ‘.’ + base64url(payload),
your-256-bit-secret(秘钥加盐)
)
)
最后基于三段字符通过.拼接起来就生成了jwt的token
注意:base64url加密是先做base64加密。然后再讲-代替+以及_代替/
2.2代码实现
基于Python的pyjwt模块创建jwt的token
- 安装
pip3 install pyjwt
- 实现
import jwt
import datetime
from jwt import exceptions
SALT = 'apple' # 进行加密签名的密钥
def create_token():
# 构造header
headers = {
'typ': 'jwt',
'alg': 'HS256'
}
# 构造payload
payload = {
'user_id': 1, # 自定义用户ID
'username': 'pig',
'exp': datetime.datetime.utcnow() + datetime.timedelta(days=5)
}
result = jwt.encode(
payload=payload, # payload, 有效载体
key=SALT, # 进行加密签名的密钥
algorithm='HS256',# 指明签名算法方式, 默认也是HS256
headers=headers
).decode('utf8') ##2.0以后的版本就不需要decode()
return result
if __name__ == '__main__':
token = create_token()
print(token)
3、JWT校验token
jwt验证tok一般在认证成功后,把jwt生成的token返回用户,以后用户再次访问的时候需要携带token,此时jwt需要对token进行超时及合法性校验。
获取token之后会按照以下步骤进行校验:
将token分割成header_segment、payload_segment、crypto_segment三部分
Jwt_token =
“eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InBpZyIsImV4cCI6MTU3NDE0NjIzM30.gD9a3N83BoYVz1v7BaKW8V9ORUDPudB3ogJ_rhlZsTU”
signing_input, crpyto_segment = jwt_token.rsplit(b’.’,1)
header_segement, payload_segment = signing_input.split(b’.’,1)
- 对第一部分header_segemnt 进行base64url解密,得到header
- 对第二部分payload_segment进行base64url解密,得到payload
- 对第三部分crypto_segment进行base64url解密,得到signature
- 对第三部分signature部分数据进行合法性校验
拼接前两段密文,即signing_input
从第一段明文中获取加密算法,默认HS256 使用算法+盐 对signing_input
进行加密,将得到的结果和signature密文进行比较
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime,time
from jwt import exceptions
JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='
def create_token(payload, timeout=20):
"""
:param payload: 例如:{'user_id':1,'username':'wupeiqi'}用户信息
:param timeout: token的过期时间,默认20分钟
:return:
"""
headers = {
'typ': 'jwt',
'alg': 'HS256'
}
payload['iat'] = time.time()
payload['nbf'] = time.time()
payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers)
return result
def parse_payload(token):
"""
对token进行和发行校验并获取payload
:param token:
:return:
"""
result = {'status': False, 'data': None, 'error': None}
try:
verified_payload = jwt.decode(token, JWT_SALT, True)
result['status'] = True
result['data'] = verified_payload
except exceptions.ExpiredSignatureError:
result['error'] = 'token已失效'
except jwt.DecodeError:
result['error'] = 'token认证失败'
except jwt.InvalidTokenError:
result['error'] = '非法的token'
return result
4、JWT退出登录
以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。
服务器就不保存任何 用户凭证数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。
然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。
解决方案
-
黑名单校验
凡是退出登录的token都放入黑名单中,定期清理。
每次用户请求服务器都校验token是否在黑名单
-
版本号校验
访问时从token中取出版本号和用户id 和 redis中存储 用户id和版本号 做对比,不一致则不给访问。
用户登出的时候在redis中把用户版本号加一。
-
过期时间校验
登录时token附带创建时间。访问时校验redis存储的过期时间,如果创建时间大于过期时间则不给访问。
-
Token副本校验
在redis中存储token副本,用户请求时候校验,如果redis中不存在该副本则不给通过。
-
无为而治
只让前端清理token,后端不理会。(大多数)
大体方案
-
对于需要只有一个人一个终端登录的服务采用 【版本号校验】 解决方案
-
相当于乐观锁,但是是用redis来实现,速度快
-
还方便踢人下线
-
-
对于需要注销token的服务,采用 【Token副本校验 or 过期时间校验】解决方案
-
比查阅黑名单列表还要快得多
-
速度相当快
-
-
对于不需要注销token(大部分服务),则采用 【无为而治】解决方案
- 完美的JWT登录的使用方式
参考:https://blog.csdn.net/a1098766713/article/details/102914354