JWT---自我实现

最新推荐文章于 2023-05-09 17:39:10 发布
最新推荐文章于 2023-05-09 17:39:10 发布
阅读量183 收藏 1
点赞数 1
分类专栏: python 文章标签: python jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45496601/article/details/103356096
版权

什么是: json-web-token

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

为什么使用JWT?

1.jwt本质上也是为了解决http无状态。
2.随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。
3.某些特定情况下我们无法使用cookie和session存储数据,例如(安卓客户端和ios客户端),这时候就需要使用jwt-token。

头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{“typ”:“JWT”,“alg”:“HS256”}

在头部指明了签名算法是HS256算法。 我们进行Base64编码,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload)

​载荷就是存放有效信息的地方,格式为字典-此部分分为公有声明和私有声明

  公共声明:JWT提供了内置关键字用于描述常见的问题

此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下:

{'exp':xxx, # Expiration Time 此token的过期时间的时间戳
 'iss':xxx,# (Issuer) Claim 指明此token的签发者
 'aud':xxx, #(Audience) Claim 指明此token的签发面向群体
 'iat':xxx, # (Issued At) Claim 指明此创建时间的时间戳
}

	私有声明:用户可根据自己业务需求,添加自定义的key,例如如下:

{'username': 'caoxudong'}

	公共声明和私有声明均在同一个字典中;转成json串并用base64加密

签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
​ 签名规则如下:

​ 根据header中的alg确定 具体算法,以下用 HS256为例

​ HS256(自定义的key , base64后的header + ‘.’ + base64后的payload)

​ 解释:用自定义的key, 对base64后的header + ‘.’ + base64后的payload进行hmac计算

jwt结果格式

base64(header) + ‘.’ + base64(payload) + ‘.’ + base64(sign)

'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzUyNzkxODkuNzAxMTg2LCJ1c2VybmFtZSI6ImNhb3h1ZG9uZyJ9.EPLbvcOFuvxC2JoFEoAdEW7uMx2UGfnOdPsLAikqAgo'

自定义jwt

import time
import base64
import hmac
import json
import copy

class Jwt():

    def __init__(self):
        pass

    @staticmethod
    def encode(payload,key,exp=300):
        '''
        :param payload: 荷载内容
        :param key: 自己的钥匙(加盐)
        :param exp: 过期时间
        :return: 生成的token
        '''
        header = {'alg':'HS256','typ':'JWT'}
        # 将字典转为json串
        header_json = json.dumps(header,sort_keys=True,separators=(',',':'))
        # 将json串进行base64加密
        str_header = Jwt.b64_encode(header_json.encode())

        exp = time.time() + exp
        payload = copy.deepcopy(payload)
        payload['exp'] = exp
        payload = json.dumps(payload,sort_keys=True,separators=(',',':'))
        str_payload = Jwt.b64_encode(payload.encode())

        str_b64 = str_header + b'.' + str_payload
        hm_sign = hmac.new(key.encode(),str_b64,digestmod='SHA256')
        str_sign = Jwt.b64_encode(hm_sign.digest())
        return str_header+b'.'+str_payload+b'.'+str_sign


    @staticmethod
    def b64_encode(j_s):
	    #将 '+'替换成 '-',将'/'替换成'_',并且将多余的'='去掉
        return base64.urlsafe_b64encode(j_s).replace(b'=',b'')

    @staticmethod
    def b64_decode(b_s):
    	# 将缺少的'='补全
        rem = len(b_s) % 4
        if rem > 0:
            b_s += b'=' * (4-rem)
        return base64.urlsafe_b64decode(b_s)

    @staticmethod
    def decode(token,key):
        header_bs,payload_bs,sign = token.split(b'.')
        hm = hmac.new(key.encode(),header_bs+b'.'+payload_bs,digestmod='SHA256')
        if sign != Jwt.b64_encode(hm.digest()):
            raise ('校验失败')

        payload_js = Jwt.b64_decode(payload_bs)
        payload = json.loads(payload_js)
        if payload['exp'] < time.time():
            raise ('时间已过期')
        return payload


    def run(self):
        payload = {'username':'caoxudong'}
        key = 'cxd'
        # 生成token
        token = self.encode(payload,key)
        print(token)
        # 验证通过后返回字典内容
        value = self.decode(token, key)
        print(value)

if __name__ == '__main__':
    s = Jwt()
    s.run()

输出结果:

b'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzUyOTE5NTYuMzI2Mjg1NCwidXNlcm5hbWUiOiJjYW94dWRvbmcifQ.wimiGX6MbBHwGAm0oZWyjksUNOBbEjyhdhCuy_S1-ls'

{'exp': 1575291956.3262854, 'username': 'caoxudong'}
今天也很可爱
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT原理解析与实现
weixin_46120888的博客
12-26 4424
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
超简单的jwt实现
08-07
超简单的 jwt 实现
简单实现jwt
ly1316221439的博客
04-24 139
简单实现jwt
忙里偷闲又把自己的JWT实现改进了一下
码农小胖哥
03-29 1293
之前在Spring Security 实战干货系列中我使用了 Spring 官方提供的spring-security-jwt作为JWT的实现。目前该工具包已经不再维护,而且对于最新推出的S...
java手动实现JWT(我和别人的不一样)
java_ying的博客
12-08 653
JWT是啥 我不会官方语言,我只会最简单的解释 json web token 为什么要用这个东西 简单点说 现在都流行前后端分离开发,如果需要一个前后端的通讯验证,最简单的cookie+session可以完成这个任务。但是会有问题昂,万一给你浏览cookie器禁了咋整,现在的用户才是老大哥不是,所以呢 就出现这个东西了 它能干点啥 网上一搜一大片最多的就是。单点登录 + jwt。但是这两个东西不是一定要混为一谈的。jwt是jwt 简单点 他就是提供了一点token验证的方式,而不是一定要去作单点登录。(
olm-3.2.12.tgz
08-30
8. **MicroProfile特性的实现**:Open Liberty支持MicroProfile规范,如健康检查、配置、JWT令牌处理等,这些实现可能作为单独的模块包含在内。 9. **API文档**:Javadoc或其他形式的技术文档,帮助开发者理解和...
Python-h5weex相关文章
08-10
理解 OAuth2.0、JWT(JSON Web Tokens)等认证授权机制,并学会如何在 Python 后端和 h5weex 应用中实现它们。 6. **性能优化**:讨论如何优化 Python 服务的响应速度,以及 h5weex 应用的渲染性能,例如缓存策略、...
vault-cli-3.1.16.zip
10-18
1. **认证机制**:支持多种身份验证方法,如TLS证书、JWT、AWS IAM、Google Cloud IAM等,确保只有授权用户能访问Vault。 2. **秘密引擎**:提供多种类型的秘密引擎,如KV(键值对)、Transit(加密/解密服务)和...
Go-Kyma是一个云原生应用程序开发框架
08-14
8. **安全性和监控**:Kyma包含了强大的安全组件,如OAuth2认证、JWT令牌等,同时提供丰富的监控和日志收集工具,确保系统的稳定运行和问题排查。 在Go开发方面,Go-Kyma框架利用Go语言的简洁性和高性能,使得...
token-grabber-fun
07-24
令牌通常用于验证用户身份,保护API接口,或者在Web应用中实现安全的会话管理。在这个场景中,“乐趣”这个词可能指的是学习或实验性质的体验,意味着我们将探讨一个用于教学目的的工具。 描述中提到“使用le token...
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势
z1ztai的博客
04-10 544
过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了。今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧。
JWT实现
Bep_的博客
10-27 923
JWT jwt组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名(xxx.yyy.zzz)。 Header:头部,通常头部有两部分信息: ​ 声明类型type,这里是JWT(type=jwt) 加密算法,自定义(rs256/base64/hs256) 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息-userid,username(注意,这里因为采用base64加密,可解密,因此不要存放敏感信
Spring Security 结合jwt 自定义权限认证 基于huike CRM系统
jikeyeka的博客
07-26 1946
crm系统的登录模块 spring security 登录验证 jwt token 鉴权 权限管理
Jwt认证过滤器实现
qq_58137891的博客
05-09 1173
定义Jwt过滤器后,当用户是已登录状态时,在请求头中携带token便可访问相关网页。
jwt太难懂?一篇文章带你征服它
wdj_yyds的博客
01-10 883
本文的完整示例代码,见github仓库。小q只在文中介绍最关键的代码块。 https://github.com/yuanluoji/purestart-springboot-jwt 复制代码 关于jwt是什么,这里就不再啰嗦了。总体来讲,它有Header、Payload、Signature三个部分,每一部分,都有一些细分的属性,这个原理扫一眼就可以,对我们的使用没有实质性的帮助。 使用jwt可以让后台服务彻底的无状态化,让登录这个过程无需session的参互,这样服务端就会获得强大的横向扩容能力,前
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 6836
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
Spring Boot集成JWT&Spring Security进行接口安全认证
热门推荐
我们的征途是星辰大海
10-31 1万+
一,协议token验证未通过返回:{ "header": { "errorinfo": "无效的token", "errorcode": "8001" } }页面上对这种情况的处理,都跳转到登陆页面;登陆验证未通过返回:{ "header": { "errorinfo": "用户名或密码错误,请重新输入!", "
【Springboot 入门培训】#12 Security(四) Jwt 前后端分离跨域登录
zhtbs的博客
06-02 1049
现在主要流行的开发模式为前后端分离,前端运行在一个独立的工程项目下与后端服务进行REST API模式数据交互,在REST API数据通信的时候需要使用到token数据令牌来进行服务器之间安全验证。现在常用的token技术手段有 jwt 和 oauth2 ,它们两种技术手段都有各自的特点与使用场景,jwt 更适合体积小业务逻辑简单的系统,在没有和其他web 系统的REST API数据交互太多的交互业务场景下,jwt 使用起来更方与快捷一些。JWT 全称是 JSON Web Token,是目前非常流行的http
Sprint Boot使用OAuth和JWT实现身份认证【一】
清雨小竹
02-27 3135
依赖第三方库:compile 'io.jsonwebtoken:jjwt:0.9.0'1.先写个例子用JWT实现获取token和解析tokenpackage com.yf.gyy.OAuthController; import java.util.Date; import java.util.HashMap; import java.util.Map; import org.springfram...
jwt-decode
最新发布
09-07
JWT-decode 是一个用于解码 JSON Web Token (JWT) 的 JavaScript 库。它允许开发者在客户端(例如浏览器)上解码 JWT,以便读取和使用其中的信息。JWT-decode 不需要发送请求到服务器,而是在客户端上直接对 JWT ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值