1.jwt介绍及session的区别
如何保证接口安全?你写的是谁想访问就谁访问吗?
我们采用的jwt,json web token,他的优势在于客户端自认证,节约了服务端资源。并且适合做单点登录。
session,cookie的工作原理客户端向服务端发起请求,服务端进行验证,通过后生成session文件,jsession对应session文件,将jsessionid返回客户端,存在cookie中,下次请求cookie中携带jsessionid,有服务器上查询,如果文件存入,从文件中获取用户信息,如果不存在重新登录。
单点登录用户量大负载均衡的,登录被负载到A服务器,生成订单负载到B服务器上,提示没登录。
session如何单点登录,借助redis或者mysql
2.jwt工作原理
三部分构成,头部(指定加密方式hash256)、载和(用户信息过期时间)、签名
生成token:base64(头部).base64(载和).hash256(base64(头部).base64(载和),'盐')
解析对比:获取到token,用.进行分隔,获取到前两部分 hash256(base64(头部).base64(载和),'盐')生成一个新的签名和返回的签名进行对比,如果通过说明没有被篡改。
.jwt封装
import jwt
class MyJwt:
def __init__(self) -> None:
self.secret_key="234242342afsfsafsf!@#$@%#$%#$sfsd"
def jwt_encode(self,data):
return jwt.encode(data,self.secret_key,algorithm="HS256")
def jwt_decode(self,token):
try:
payload = jwt.decode(token,self.secret_key,algorithms="HS256")
except:
payload = None
return payload