JWT介绍

JWT的大白话解释:
现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。

1. 三大组成
JWT和cookie、session相比:

第一部分

header

在Python来看就是一个字典格式,元数据如下:

{'alg':'HS256', 'typ':'JWT'}
# alg代表要使用的 算法 HMAC-SHA256 简写HS256
# typ表明该token的类别 此处必须为 大写的 JWT
 
# 该部分数据需要转换成json串并用base64转码


payload

在cookie和session中会将用户id或名字写入到其中,在token中会将其写在payload中。

格式为字典-此部分分为公有声明和私有声明

公有声明: JWT提供了内置关键字用于描述常见的问题

此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下:
 

{'exp':xxx,  # EXpiration Time 此token的过期时间的时间戳 time.time()+300s  给一个未来过期时间
 'iss':xxx,  # (issuer) Claim 指明此token的签发者  是那台机器签发的token (当前项目没用)
 'aud':xxx,  # (Audience) Claim 指明此token的签发群体 token签发面向群体是那些人 区分pc,ios,android  (当前项目没用)
 'iat':xxx,  # (ISSued At) Claim 指明此创建时间的时间戳
 # 以上四项是我们的公有声明 保留字
 # 下边私有声明
 'username':'xxx',
}


私有声明: 用户可根据自己业务需求,添加自定义的key,

公有声明和私有声明均在同一个字典中;转成json串并用bsase64转码

Signature 签名

签名规则如下:

根据header中的alg确定具体算法,以下用HS256为例:

HS256(自定义的key,base64后的header + b’.‘ + base64后的payload,digestmod=‘SHA256’)

2. jwt结果格式
     base64(header) + b'.' + base64(payload) + b'.' + base64(Signature). 校验jwt规则
     解析header,确认alg使用的算法
     签名校验-根据传过来的header和payload按 alg指明的算法进行签名,将签名结果和传过来的sign进行对比,若比对一致,则校验通过
     获取payload自定义内容
第一部分:header
#一般固定如下

{
  'typ': 'JWT',     
  'alg': 'HS256'     
}
 
base64编码 ,并替换=号--->    "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9"


第二部分: payload

{
   'id': user.id,
   'username': user.username,
   ‘exp’: time.time() + 300,  #过期时间
}
base64编码-> "eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"


第三部分: 前两部分的编码串通过 ‘.’ 连接,得到如下:

temp = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"


然后使用第一部分 声明的算法HS256进行加密,得到如下:

import hmac
h = hmac.new(b'key', temp.encode(), digestmod='SHA256')
sign = base64.urlsafe_b64encode(h.digest())


全部代码

import datetime
import jwt  #需要安装pip install pyjwt
from django.conf import settings
 
def generate_token(user):
    """
     :param user: 用户对象
     :return: 生成的token
    """
    #自己组织payload
    payload = {
        'user_id': user.id,
        'username': user.username,
        'exp': datetime.datetime.now() + datetime.timedelta(seconds=300)
    }
    token = jwt.encode(payload=payload, key=settings.SECRET_KEY, algorithm='HS256')
    return token

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT(JSON Web Token)是一种用于在网络应用程序之间安全传输信息的开放标准。它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 JWT 使用的签名算法信息,例如 HMAC SHA256 或 RSA。载荷包含需要传输的信息,例如用户 ID 或权限信息。签名是将头部、载荷和秘钥组合后生成的哈希值,用于验证信息的真实性。 JWT 的工作原理如下: 1. 用户使用用户名和密码进行身份验证。 2. 服务器验证用户名和密码的正确性。 3. 如果验证成功,服务器生成 JWT 并将其发送回客户端。 4. 客户端将 JWT 存储在本地并在每个后续请求中将其包含在请求头部中。 5. 服务器在接收到请求时,验证 JWT 的签名并检查载荷中的信息是否与所需的一致。如果验证成功,服务器会处理请求。 JWT 的优点是: 1. 轻量级和简单:JWT 以 JSON 格式编码,易于理解和实现。 2. 安全性:使用数字签名或消息认证码(MAC)验证信息的完整性和真实性,确保信息不被篡改或伪造。 3. 可扩展性:JWT 载荷可以包含任意数量的属性和元数据,使其非常适合用于身份验证和授权。 4. 无状态:JWT 包含所有必要的信息,因此服务器不需要存储任何会话信息,使其易于扩展和实现负载均衡。 然而,JWT 也存在一些缺点,例如: 1. JWT 一旦生成就无法撤销,因此必须确保密钥的安全性。 2. JWT 中包含的信息对于攻击者来说是可见的,因此敏感信息不应该存储在 JWT 中。 3. JWT 无法在传输过程中进行更新,因此在过期之前必须生成新的 JWT。 总体来说,JWT 是一种非常有用的身份验证和授权解决方案,但在使用时需要仔细考虑其安全性和缺点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值