Python: Json web token、pyjwt、base64和时间有效性

最新推荐文章于 2024-08-26 14:09:59 发布
最新推荐文章于 2024-08-26 14:09:59 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wowotuo/article/details/101108950
版权

一、JWT 介绍
先看一个字符串:

‘eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxODAwMSwidXNlcl9yb2xlIjoiYWRtaW4iLCJleHAiOjE1NjkwNzQ2ODIsIm5iZiI6MTM3MTcyMDkzOSwiaXNzIjoiYmlnX2Jvc3MifQ.8RiaABi35CCHqIg1acdav09Q6-V7jhxguzPPhns9liE’

上面字符串,中间有两个点分隔:

这个就是JWT的三部分。JSON Web Tokens由三个部分组成,用点(.)分隔,它们是:Header+ Payload +Signature。

其中,

(1)、头部信息主要是算法本身的简介。

(2)payload:

iss:jwt 签发者;

sub:jwt 所面向的用户;

aud:接收 jwt 的一方;

exp:jwt 的过期时间,这个过期时间必须要大于签发时间,这是一个秒数;

nbf:定义在什么时间之前,该 jwt 都是不可用的;

iat:jwt 的签发时间。

上面的标准中注册的声明中常用的有 exp 和 nbf。

(3)signature:

RS256 :是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名,私钥解密。
HS256 :是一种对称算法, 双方之间仅共享一个 密钥。优点是解密速度快,缺点是对密钥双方都有,保管风险大一点,此外是一对一。
在pyjwt库中,‘RS256’:即指 RSAAlgorithm(RSAAlgorithm.SHA256),HS256’具体是指 HMACAlgorithm(HMACAlgorithm.SHA256)。
pyjwt库中, 有几个重要的依赖库:

import hashlib
import hmac
import json

从代码中,可以看到,这两种算法参数,在加解密时的不同:

def HS256_payload(payload,key):
    key = 'secret_adadadpqeipqreiupqidfak'#这个自己设好,对称性的密钥
    encoded = jwt.encode(payload, key, algorithm='HS256')
    decoded = jwt.decode(encoded, key, algorithms='HS256') #algorithms多了s
    return decoded==payload

def RS256_payload(payload,key):
    private_key = b'PRIVATE KEY_k'
    public_key  = b'PUBLIC KEY_AQY'
    # 私钥加密
    encoded = jwt.encode(payload, private_key, algorithm='RS256')
    # 公钥解密
    decoded = jwt.decode(encoded, public_key, algorithms='RS256')#algorithms多了s
    return decoded==payload

二、从代码的角度来看JWT
1、token

header ={'alg': 'HS256',
'typ': 'JWT'
}

payload = {'user_id': 18001,
 'user_role': 'admin',
 'exp': datetime.datetime.utcnow() + datetime.timedelta(seconds=30),
 'nbf': 1371720939,
 'iss': "big_boss"
}
key = 'secret_adadadpqeipqreiupqidfak'#这个自己设好,对称性的密钥
encoded = jwt.encode(payload, key, headers=header,algorithm='HS256') 
print("encoded: ",encoded)

这个就是中间带两个点的JWT token。

token = str(encoded,encoding = "utf-8")

‘eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxODAwMSwidXNlcl9yb2xlIjoiYWRtaW4iLCJleHAiOjE1NjkwNzQ2ODIsIm5iZiI6MTM3MTcyMDkzOSwiaXNzIjoiYmlnX2Jvc3MifQ.8RiaABi35CCHqIg1acdav09Q6-V7jhxguzPPhns9liE’

2、base64。

JWT和base64有什么关系? 有,因为,其中首部和payload相应的字符串,都是base64后的结果。什么是base64?

在这里插入图片描述上面资料引自:https://www.jianshu.com/p/570c1acdd236,表示感谢!

3、首部:

import base64
header ={'alg': 'HS256',
'typ': 'JWT'
}
header_byte = bytes(json.dumps(header),encoding='utf-8')
header_encode = base64.b64encode(header_byte) #
header_encode =='eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9'
base64.b64decode(header_encode) ==header_byte
# b'{"typ":"JWT","alg":"HS256"}'

4、payload:

字符串如下:

eyJ1c2VyX2lkIjoxODAwMSwidXNlcl9yb2xlIjoiYWRtaW4iLCJleHAiOjE1NjkwNTY2MTMsIm5iZiI6MTM3MTcyMDkzOSwiaXNzIjoiYmlnX2Jvc3MifQ

这个如何得来?为什么要加两个“=”? 有意思的是,在解码时,加N个(N>=2)“==”对解码没有影响。一般情况,会多加几个 “=” 。

string ='eyJ1c2VyX2lkIjoxODAwMSwidXNlcl9yb2xlIjoiYWRtaW4iLCJleHAiOjE1NjkwNTY2MTMsIm5iZiI6MTM3MTcyMDkzOSwiaXNzIjoiYmlnX2Jvc3MifQ''
payload_byte = bytes(json.dumps(payload),encoding='utf-8')
payload_encode = base64.b64encode(payload_byte)
print(payload_encode)
str(payload_encode,encoding = "utf-8")  == string +'=='

payload_encode:

b’eyJ1c2VyX2lkIjogMTgwMDEsICJ1c2VyX3JvbGUiOiAiYWRtaW4iLCAiZXhwIjogMTU2OTA3NDY4MiwgIm5iZiI6IDEzNzE3MjA5MzksICJpc3MiOiAiYmlnX2Jvc3MifQ==’

5、signature:

是把首部和payload两部分合起来,加密的结果。

header_str = str(header_encode,encoding = "utf-8")
payload_str = str(payload_encode,encoding = "utf-8")[:-2] #去除2个“==”
key = 'secret_adadadpqeipqreiupqidfak'
join_str = header_str+ payload_str + key  # 待证实
siginature = (加密函数,HS256)(join_str)

关于pyjwt中encode的原码:

    def encode(self,
               payload,  # type: Union[Dict, bytes]
               key,  # type: str
               algorithm='HS256',  # type: str
               headers=None,  # type: Optional[Dict]
               json_encoder=None  # type: Optional[Callable]
               ):
        segments = []

        if algorithm is None:
            algorithm = 'none'

        if algorithm not in self._valid_algs:
            pass

        # Header
        header = {'typ': self.header_typ, 'alg': algorithm}

        if headers:
            self._validate_headers(headers)
            header.update(headers)

        json_header = force_bytes(
            json.dumps(
                header,
                separators=(',', ':'),
                cls=json_encoder
            )
        )

        segments.append(base64url_encode(json_header))
        segments.append(base64url_encode(payload))

        # Segments
        signing_input = b'.'.join(segments)
        try:
            alg_obj = self._algorithms[algorithm]
            key = alg_obj.prepare_key(key)
            signature = alg_obj.sign(signing_input, key)

        except KeyError:
            if not has_crypto and algorithm in requires_cryptography:
                raise NotImplementedError(
                    "Algorithm '%s' could not be found. Do you have cryptography "
                    "installed?" % algorithm
                )
            else:
                raise NotImplementedError('Algorithm not supported')

        segments.append(base64url_encode(signature))

        return b'.'.join(segments)

三、验证token

如果是token:

    decoded = jwt.decode(encoded, key,headers=header, algorithms='HS256')

如果是token:

decoded = jwt.decode(bytes(token,encoding='utf-8'), key,headers=header, algorithms='HS256')

decoded ==payload

四、验证的时效性

在payload中,

'exp': datetime.datetime.utcnow() + datetime.timedelta(seconds=30),
 'nbf': 1371720939,

这两项会验证明,如果时间过期,会无法验证。此时,验证自动就会失效,从而起到token自动认证的作用。

1、time()

import jwt
import json
import time as t

nowtime = t.time()
payload ={
           "name":"wang",
           "phone":"13787878787",
           "exp":int(nowtime + 20*1)  #60
        }
secret ="how are you?"

encoded = jwt.encode(payload,secret,algorithm='HS256')
token =str(encoded,encoding="utf-8")

t0=t.time()
for i in range(10):
    t.sleep( 5 )
    decoded =jwt.decode(token,secret,algorithm='HS256')
    print("i=>:",i," cost time:",t.time()-t0)
    print("decode:",decoded)
    assert decoded ==payload

在这里插入图片描述
2、datetime
改动部分代码,其它一样。

    nowtime = dt.datetime.now()
    exp_time = nowtime + dt.timedelta(seconds =20)
    print("exp_time:",exp_time)
    payload ={
               "name":"wang",
               "phone":"13787878787",
               "exp": exp_time
            }

结果如下:为什么?

exp_time: 2019-09-24 20:22:31.085716
i=>: 0  cost time: 4.999645709991455
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 1  cost time: 10.00132966041565
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 2  cost time: 15.001086235046387
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 3  cost time: 20.00347375869751
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 4  cost time: 25.00635576248169
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 5  cost time: 30.009093284606934
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 6  cost time: 35.00780892372131
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 7  cost time: 40.00885272026062
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 8  cost time: 45.008975982666016
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}
i=>: 9  cost time: 50.00984859466553
decode: {'name': 'wang', 'phone': '13787878787', 'exp': 1569356551}

问题是,你看到,datetime下的"exp":1569356551
与time方法的:“1569326991”
这个有很不一样。
因为,datetime的时间放在time之前,理论上因datetime的“exp”>time的“exp”;但事实上是相反的。慢了近30000秒!为什么会这样?

time0 =t.time()
time1= dt.datetime.now()
print("time=>time0:",time0)
print("datetime=>time1:",time1)
# datetime
seconds_from_1970= t.mktime(time1.timetuple())
print("datetime=> seconds_from_1970:",seconds_from_1970)
print("diff:",seconds_from_1970 -time0)

因为取整的原因,两者有差:

time=>time0: 1569330254.1146894
datetime=>time1: 2019-09-24 21:04:14.114689
time=>time0: 1569329927.7502277
datetime=> seconds_from_1970: 1569329927.0
diff: -0.750227689743042

综个所述,建议JWT有定时时,用time方法来做,会更好!

songroom
关注
专栏目录
pythontoken的有效期校验简单例子
TroKey的专栏
07-18 3082
# -*- coding: utf-8 -*- import hashlib #待加密内容 strdata="xiaojingjiaaseafe16516506ng" h1=hashlib.md5() h1.update(strdata.encode(encoding='utf-8')) strdata_tomd5=h1.hexdigest() print...
JWT : JSON Web Token & Python与Auth0与Tokens
yq&qy的博客
11-25 824
JWTJSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenJWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。。
python encoder_python JSONencoder
weixin_39972567的博客
12-04 390
Python json.dumps可以通过encoder选项自定义转换方式。默认的encoder(json.JSONEncoder) 只对部分进行了转化:"""Extensible JSON encoder for Python data structures.Supports the following objects and types by default:+---------------...
python JWT
最新发布
youhebuke225的博客
08-26 302
JSON Web Tokens(JWT)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。JWT 通常用于在用户和服务器之间安全地传输信息,例如用户身份验证信息。在 Python 中,处理 JWT 最常用的库之一是PyJWT
Python 生成JWT
Ambition7786的博客
02-11 350
【代码】Python 生成JWT
PyJWT的使用
分享一点有用的知识
06-28 1584
PyJWT的使用
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3704
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
pyjwtPython中的JSON Web令牌实现
02-05
JSON Web TokenJWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在Python中,`pyjwt`库是实现JWT...
jwt(json web token)
prigilm的博客
11-04 464
Pythonjwt(json web token) 一、什么是jwt 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 jwt全称json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间
理解JWT:初探JSON Web Token的基本概念
JSON Web TokenJWT)是一种用于在网络应用之间安全传递声明的基于JSON的开放标准。在JWT中,声明是用于该实体(通常是用户)的一些陈述,有关于它们以及其他一些数据的信息。JWT通常用于身份验证和信息交换。在本...
JWTJSON Web Token
21空间的博客
07-26 1008
JWTJSON Web Token)是一种用于在各方之间作为 JSON 对象安全地传输信息的紧凑、URL 安全的方式。JWT 由于其紧凑和自包含的特点,非常适合于在移动设备等资源受限的环境中使用。
flask 实现token机制
weixin_69282241的博客
06-07 873
flask 实现token机制
JWT详细介绍 Python实现
有勇气的牛排博客
12-01 3143
本文以python来进行实战演示JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于以json的方式安全传输信息,并且通过数字签名来保证信息是信任的。jwt可以使用秘钥(HMAC算法)或RSA或ECDSA的公钥/私钥对其进行签名。
python token_python使用json web token (jwt)实现http api的加密传输
weixin_39685674的博客
11-24 313
什么是json web token (jwt), 这个一个协议安全的标准,用来保证数据的一致性及安全性的。 这次说下加jwt的非对称加密方式. 注: rsa的性能很烂…先聊聊,咱们常用的对于http api加密的方式有哪几种?另外还有一篇python jwt的详细文章第一个是使用在HTTP规范中的Basic Auth,这个配置也是相当的简单,在nginx端针对路由location配置下就可以用...
当用post方法上传,base64编码的图片太大,导致后台接收的时候总是为null。
过期罐头
05-10 1万+
服务器采用base64的方式进行上传文件的时候,出现接收到的数据为null,抛空指针异常,后来发现是tomcat默认为2M的字符串限制,因此修改如下配置即可。 post请求理论上对参数的大小没有限制,但是服务器有限制,把Tomcat的server.xml里设置一下就好了 注:Tomcat的版本低于等于7,设置maxPostSize=“0” 表示post参数无限大。 Tomcat的版本大于等于8,设...
BASE64编码简介
热门推荐
XF的专栏
02-25 4万+
BASE64是一种编码方式,通常用于把二进制数据编码为可写的字符形式的数据。 这是一种可逆的编码方式。 编码后的数据是一个字符串,其中包含的字符为:A-Z、a-z、0-9、+、/ 共64个字符:26 + 26 + 10 + 1 + 1 = 64。
python token过期_JWT生成token过期处理方案
weixin_39670857的博客
12-05 3367
业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。基本思路单个tokentoken(A)过期设置为15分钟前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新toke...
保持JWT token只在过期时间失效机制
weixin_44172434的博客
08-14 5985
近日项目渐进收尾,在最后的RBAC和token测试中发现了一些小问题,在token的交互中,发现一旦重启服务器后,之前生成的token失效了.这在我们的日常使用中是绝对不允许的,否则假如一个人在使用着app,我们服务器更新了,当他再次访问请求的时候发现自己要重新登录了,这样带来了很不好的用户体验,所以需要改进.但是考虑到既然实用可tokenJWT机制,抛弃了session和cookie的保存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值