JWT的大白话解释:
现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。
1. 三大组成
JWT和cookie、session相比:
第一部分
header
在Python来看就是一个字典格式,元数据如下:
{'alg':'HS256', 'typ':'JWT'}
# alg代表要使用的 算法 HMAC-SHA256 简写HS256
# typ表明该token的类别 此处必须为 大写的 JWT
# 该部分数据需要转换成json串并用base64转码
payload
在cookie和session中会将用户id或名字写入到其中,在token中会将其写在payload中。
格式为字典-此部分分为公有声明和私有声明
公有声明: JWT提供了内置关键字用于描述常见的问题
此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下:
{'exp':xxx, # EXpiration Time 此token的过期时间的时间戳 time.time()+300s 给一个未来过期时间
'iss':xxx, # (issuer) Claim 指明此token的签发者 是那台机器签发的token (当前项目没用)
'aud':xxx, # (Audience) Claim 指明此token的签发群体 token签发面向群体是那些人 区分pc,ios,android (当前项目没用)
'iat':xxx, # (ISSued At) Claim 指明此创建时间的时间戳
# 以上四项是我们的公有声明 保留字
# 下边私有声明
'username':'xxx',
}
私有声明: 用户可根据自己业务需求,添加自定义的key,
公有声明和私有声明均在同一个字典中;转成json串并用bsase64转码
Signature 签名
签名规则如下:
根据header中的alg确定具体算法,以下用HS256为例:
HS256(自定义的key,base64后的header + b’.‘ + base64后的payload,digestmod=‘SHA256’)
2. jwt结果格式
base64(header) + b'.' + base64(payload) + b'.' + base64(Signature). 校验jwt规则
解析header,确认alg使用的算法
签名校验-根据传过来的header和payload按 alg指明的算法进行签名,将签名结果和传过来的sign进行对比,若比对一致,则校验通过
获取payload自定义内容
第一部分:header
#一般固定如下
{
'typ': 'JWT',
'alg': 'HS256'
}
base64编码 ,并替换=号---> "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9"
第二部分: payload
{
'id': user.id,
'username': user.username,
‘exp’: time.time() + 300, #过期时间
}
base64编码-> "eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"
第三部分: 前两部分的编码串通过 ‘.’ 连接,得到如下:
temp = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"
然后使用第一部分 声明的算法HS256进行加密,得到如下:
import hmac
h = hmac.new(b'key', temp.encode(), digestmod='SHA256')
sign = base64.urlsafe_b64encode(h.digest())
全部代码
import datetime
import jwt #需要安装pip install pyjwt
from django.conf import settings
def generate_token(user):
"""
:param user: 用户对象
:return: 生成的token
"""
#自己组织payload
payload = {
'user_id': user.id,
'username': user.username,
'exp': datetime.datetime.now() + datetime.timedelta(seconds=300)
}
token = jwt.encode(payload=payload, key=settings.SECRET_KEY, algorithm='HS256')
return token
1591
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
