flask-web—— JWT认证方案

最新推荐文章于 2024-09-26 15:29:21 发布
最新推荐文章于 2024-09-26 15:29:21 发布
阅读量940 收藏 3
点赞数
分类专栏: python-web flask python 文章标签: python jwt redis flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xili2532/article/details/118675621
版权
本文详细介绍了JWT、JWS和JWE的区别与应用场景,重点讲解了JWS在Flask项目中的实现,包括使用itsdangerous和pyjwt库,以及JWT的生命周期管理,如刷新和禁用策略,强调了在实际项目中JWT的安全性和有效性。
摘要由CSDN通过智能技术生成
一、JWT & JWS & JWE

Json Web Token(JWT)
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。

在这里插入图片描述
现在网上大多数介绍JWT的文章实际介绍的都是JWS(JSON Web Signature),也往往导致了人们对于JWT的误解,但是JWT并不等于JWS,JWS只是JWT的一种实现,除了JWS外,JWE(JSON Web Encryption)也是JWT的一种实现。

下面就来详细介绍一下JWT与JWE的两种实现方式:
在这里插入图片描述

二、JSON Web Signature(JWS)——(常用)

JSON Web Signature是一个有着简单的统一表达形式的字符串:
在这里插入图片描述
头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经Base64 编码生成字符串成为Header。

载荷(PayLoad)
payload的五个字段都是由JWT的标准所定义的。

  • iss: 该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的

后面的信息可以按需补充。 JSON内容要经Base64 编码生成字符串成为PayLoad

签名(signature)
这个部分headerpayload通过header中声明的加密方式,使用密钥secret进行加密,生成签名。 JWS的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。但由于仅采用Base64对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。

在这里插入图片描述

在这里插入图片描述

三、JSON Web Encryption(JWE)

相对于JWS,JWE则同时保证了安全性与数据完整性。 JWE由五部分组成:
在这里插入图片描述
JWE组成

具体生成步骤为:

  • JOSE含义与JWS头部相同。
  • 生成一个随机的Content Encryption Key (CEK)。
  • 使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
  • 生成JWE初始化向量。
  • 使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。 6.对五个部分分别进行base64编码。

可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。

四、JWT的Python库

独立的JWT Python库

安装

  $ pip install pyjwt

用例

  >>> import jwt

  >>> encoded_jwt = jwt.encode({
   'some': 'payload'}, 'secret', algorithm='HS256')
  >>> encoded_jwt
  'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg'

  >>> jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
  {
   'some': 'payload'}

项目封装

import jwt
from flask import current_app


def generate_jwt(payload, expiry, secret=None):
    """
    生成jwt
    :param payload: dict 载荷
    :param expiry: datetime 有效期
    :param secret: 密钥
    :return: jwt
    """
    _payload = {
   'exp': expiry}
    _payload.update(payload)

    if not secret:
        secret = current_app.config['JWT_SECRET']

    token = jwt.encode(_payload, secret, algorithm='HS256')
    return token.decode()


def
最低0.47元/天 解锁文章
胖虎是只mao
关注
专栏目录
python flask 框架实现jwt用户登录 接口权限认证 案例
大蛇王的博客
01-24 1万+
环境:python3.6+ 模块:flaskjwt 目的:实现用于登录并返回token令牌,用于后续的接口权限验证。 前言介绍: jwt(JSON Web Tokens),在用户认证当中常用的方式,在如今的前后端分离项目当中应用广泛,提高了后端代码的简洁和效能。 传统token和jwt区别 传统token:服务端会对登录成功的用户生成一个随机token返回,同时也会在本地保留对应的token(如在数据库中存入:token、用户名、过期时间等),当用户再次访问时,会携带之前的toke
flaskJWT认证实现
lIujunXHU的博客
06-03 1807
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成,分别是头部、负载和签名。头部(Header)是一个 JSON 对象,描述了使用的算法和类型。它通常包含两个字段:算法(alg)和类型(typ)。负载(Payload)也是一个 JSON 对象,用于存储用户的相关信息。它可以包含一些预定义的字段,如过期时间(exp)、发布时间(iat)等,也可以包含一些自定义字段。签名(Signature)使用指定的算法对头部和负载进行加密,生成一段字符串。
Python项目Flask框架实现jwt用户登录、鉴权,亲测好用
最新发布
m0_58709145的博客
09-26 737
jwt(JSON Web Tokens),在用户认证当中常用的方式,在如今的前后端分离项目当中应用广泛,提高了后端代码的简洁和效能。
flask项目--认证方案JWT
weixin_30553837的博客
08-26 627
1. jwt 对比状态保持机制 APP不支持状态保持 状态保持有同源策略, 默认无法跨服务器传递(nginx可以处理) JWT不会对数据进行加密, 所以数据中不要存放有阅读价值的数据 不可逆加密 md5 sha1 sha256 主要用于数据认证, 防止数据被修改 消息摘要 MD 通过哈希算法将任意长度内容转为定长内容, 且相同内容的哈希值始终相同, 不同内容的哈希值不同(极小...
flaskjwt的使用
weixin_43262264的博客
09-16 4185
之前用的Flask-JWT,感觉不好用,不太灵活,参考Flask-JWT源码直接用jwt库,就方便很多了,python3.7代码封装如下: # decorator.py import jwt from datetime import datetime from functools import wraps from werkzeug.local import LocalProxy from flask import request, jsonify, _request_ctx_stack, current_
Flask中的JWT认证构建安全的用户身份验证系统
2401_84969746的博客
05-12 1091
context = (‘cert.pem’, ‘key.pem’) # 指定证书和密钥文件。
Flask中的JWT
weixin_45439324的博客
12-03 6871
Flask中的JWT JWT认证 Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。 JWT是一个有着简单的统一表达形式的字符串: 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经Base64 编码生成字符串成为Head...
如何在Flask应用程序中使用JSON Web Tokens进行安全认证
晓风晓浪
04-22 772
JSON Web Tokens,简称JWTs,是一种用于在客户端和服务器之间安全传输信息的认证机制,使用JSON格式。这些信息可以被验证和信任,因为它使用HMAC算法或使用RSA或ECDSA的公钥/私钥对进行数字签名。**Header:**这定义了令牌的类型(JWT)和使用的签名算法。**Payload:**这承载着用户特定的数据,如用户ID、用户名、角色和您想要包含的任何其他声明。此有效载荷被Base64编码以获得最大的安全性。
【业务总结】认证方案——JWT
xyx_x的博客
05-29 429
j
flask web——实时通讯、聊天服务项目、推送通知功能的实现
Shallow的博客
07-29 1947
一、聊天服务实现 在toutiao-backend/im目录中创建server.py import socketio # 创建sio对象 sio = socketio.Server(async_mode='eventlet') app = socketio.Middleware(sio) 在toutiao-backend/im目录中创建im服务启动程序main.py 运行方式python main.py [端口],如python main.py 8000 import eventlet eventlet
Python 项目开发实战 - Python flask 项目 - 甜橙音乐网源码 - 毕业设计
02-16
7. **用户认证与授权**:实现用户注册、登录功能,利用Flask的session或JWT实现用户状态管理,确保用户操作的安全性。 8. **错误处理与日志记录**:添加错误处理机制,对可能出现的异常进行捕获和处理,同时通过...
Flask实现JWT简单验证
唐浩专栏
06-14 2219
使用koa和php springboot开发的都知道中间件实现验证,flask是通过python的装饰器实现。 下面记录实现过程和遇到的方法处理:
flaskjwt登录认证(有刷新token)
冰冷的希望的博客
11-08 3713
1.获取token 每次请求都会获取token,token位于客户端的header的Authorization字段,取不到返回None common/utils/middleware.py # common/utils/middleware.py from flask import request, current_app, g from utils.jwt_util import verify_jwt def get_userinfo(): # 1.获取请求头中的token信息 [登录token
Flask + PyJWT 实现用户认证授权
zhaomengxia123的博客
08-28 562
Flask + PyJWT实现基于Json Web Token的用户认证授权 https://blog.csdn.net/yilovexing/article/details/104010890 https://github.com/yaoyonstudio/flask-pyjwt-auth
flask-jwt-auth-test:Flask-JWT测试项目
05-04
Flask JWT认证测试 这是具有JWT身份验证的测试瓶应用程序。
【漏洞挖掘】——52、 JWT攻防指南(下)
Fly_鹏程万里
06-07 234
Step 3:在这里我们选择重定向利用,通过扫描目录可以发现/vul/redirect API,直接访问会回显bad params,参数名我们是不知道的,所以需要fuzz API的参数,可以使用下面的字典得到参数endpoint=Step 1:访问5000端口返回JWS,可以看到里面的JKU指向http://localhost:5001/vuln/JWK。为了保证JWK服务器的可信,应用程序会对JKU的指向增加各种防护措施,比如对URL进行白名单过滤,想要攻击成功也并非容易的事。
Flask项目(新闻网站)—— 登录 / 退出 功能
Y57657的博客
06-23 1214
首页用户的展示应当是 “登录 / 注册” 与 “用户信息 退出” 二选其一对此,做出一些操作,使存在状态保持时,显示用户信息。不存在session时,显示 “登录 / 注册”登录接口设计 功能分析 代码实现后台逻辑代码实现(passport目录下的views文件) 后台逻辑代码实现(index目录下的views文件,找到index视图函数,进行如下修改) 前台代码实现main.js(找到‘// 发起登录请求’,进行如下替换) index.html如图所示,找到并注释掉 并添加如下代码 退出功能 功能分
Flask 使用 JWT(一)
CITYDATA
09-13 779
1、注册声明 :这是一组预先定义的声明,不是强制性的,而是推荐的,它们提供了一套易于使用的、可共用的声明。这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。3、私有声明:这些是为了在同意使用这些声明的当事人之间共享信息而提出的,既不是注册声明的也不是公共声明。将这三部分用 . 连接成一个完整的字符串构成了最终的 jwt
Flask-JWT-Auth使用教程
gitblog_00180的博客
08-31 827
Flask-JWT-Auth使用教程 flask-jwt-authJWT Authorization in Flask项目地址:https://gitcode.com/gh_mirrors/fla/flask-jwt-auth 项目目录结构及介绍 在深入项目之前,让我们先了解下flask-jwt-auth项目的典型目录布局。请注意,以下结构是基于常规的Flask应用组织方式和假设中的结构,因为特...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值