python下JWT实现Token认证

最新推荐文章于 2024-04-25 11:25:17 发布
最新推荐文章于 2024-04-25 11:25:17 发布
阅读量2.1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhang_zekun/article/details/103094782
版权

为什么使用JWT?

随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。

JWT架构图

在这里插入图片描述

这里需要进行提醒的是:

itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的 payload(有效负载) 里的数据, 只不过因为破译者并不知道加密的密钥, 也就无法对数据进行篡改, 所以如果是私密的数据, 就不应该使用 jwt 进行传递, 如 账号的密码, 以防止泄露. 如果需要传递私密数据, 解决办法是,对 payload 的数据进行加密,从而杜绝非法破译者看到 payload 内的任何信息,但是目前加密payload的操作不是很普及,在不加密 payload 的前提下, jwt 比较适合进行非受信任端的身份验证, 此时即使接收方破译了 token, 看到了 payload 的数据, 也不会造成太大的影响, 因为数据是无法被篡改的(当接收方将 token 值返回给服务器后, 需要使用相同的密钥进行解密, 所以服务器的密钥一定要保管好), 只要接收方将 token 原封不动的返回给服务器, 那么服务器就可以根据 token 值的内容来确认接收方身份的合法性,而不需要关心接收方是否看到过 payload 的内容.

简而言之, 除非额外对 payload 加密过, 否则就不要在 jwt 中传递不可被第三方获知的私密数据

JWT 的签名算法有三种。

1.对称加密HMAC【哈希消息验证码】 HS256/HS384/HS512

这种加密方式没有公钥,私钥之分, 也就是只有一个密钥, 这种加密方式适用于: 服务器将生成的jwt发送给接收方, 接收方将其返回给服务器, 服务器解析 jwt, 完成身份验证.

2.非对称加密RSASSA【RSA签名算法】RS256/RS384/RS512

3.ECDSA【椭圆曲线数据签名算法】 ES256/ES384/ES512

python实现生成 json web token

环境 python3.6
依赖包 PyJWT

import base64

import jwt
import datetime


class Token(object):
    SECRET_KEY = 'it hard to guess
最低0.47元/天 解锁文章
zhang_zekun
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python 基于jwt实现认证机制流程解析
01-19
1.jwt的优缺点 jwt的优点: 1. 实现分布式的单点登陆非常方便 2. 数据实际保存在客户端,所以我们可以分担数据库或服务器的存储压力 jwt的缺点: 1. 数据保存在了客户端,我们服务端只认jwt,不识别客户端。 2. ...
pythonJWT用户认证实现
12-17
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁...
python+request 接口自动化 jwt Token封装实现
BenZ_X的专栏
12-21 1921
Token可以理解为一种特殊的加密密码或者暗号;只有暗号匹配才能通过,否则就是“敌人”;我们在登录XX站点,XX系统都需要输入自己的用户名和密码;但是在接口调用过程中,为了账号加密安全性,不能明文将账号密码放入到请求体或请求头中;所以需要一种加密方式—暗号,这种暗号格式可以自己定义,那么只有“自己人”知道;从而达到加密安全调用和请求对方接口;1、正常输入账号密码的请求过程:1)登录页面登录后,服务端会生成token返回给客户端并缓存;2)后续操作业务页面,会默认带上缓存的token
python3 Flask jwt 简易token认证实例
jxyk2007的专栏
02-20 674
chatgpt写的代码。
python 实现用户登录
最新发布
cliffordl的专栏
04-25 480
特点和使用:Token 可以是任何格式的数据字符串,不仅限于JWTToken 可能仅作为引用存储在服务器上,服务器通过该引用来获取存储的状态信息。经统一的身份验证后,Token 用来管理用户会话。可以通过 HTTP headers、URL 参数或请求体传输。
SpringBoot 全局拦截请求(jwt token登录校验,全局拦截请求jwt)
梵法利亚的博客
06-23 2545
springboot2.x jwt token登录校验,全局拦截请求jwtpom.xml添加jwt依赖 生成和解析token的工具类 1.对称加密算法 2.非对称加密算法 采用RSA算法 RSAUtils 工具生成公私钥对 拦截器Interceptor 拦截请求,校验jwt 自定义拦截Interceptor 在需要jwt验证的controller的方法上加上注解LoginJWT...
Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 6542
JWT 即JSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其中包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
生成token进行登录验证(jwt实现)
w483566754的博客
04-09 543
添加生成token的工具类。使用时直接(类.方法)
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web TokenJWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users ...# 全局认证from rest_framework.authentication import Token
如何基于python对接钉钉并获取access_token
12-20
1.首先注册应用,获取 appkey、... ...def get_token(): # try: res = requests.get(api_url) if res.status_code == 200: str_res = res.text token = (json.loads(str_res)).get('access_token') return token 2
PyJWT:JSON Web Token的一个Python实现-python
06-18
PyJWT:JSON Web Token的一个Python实现 PyJWT RFC 7519 的 Python 实现。原始实现由 @progrium 编写。 安装 $ pip install PyJWT 用法 >>> 导入 jwt >>> 编码 = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicZb21lIjoicZGF5J9tG9tOvZOcZF5J9tG9tOvZOcF5J9tG9tOvZOvZF5J9tG9tOvZF5J9tG9tZOO jwt.decode(encoded, 'secret', algorithm=['HS256']) {'some': 'payload'} 文档 在 https://pyjwt.readthedocs.io/en/latest/ 在线查看完整文档克隆后可以从项目根目录运行测试: $ python setup.py test
Python 生成 JWT(json web token) 及 解析方式
长门有希的博客
09-17 1047
一.关于 jwt 的原理及概念可以自行在网络上搜索了解一下,这里推荐一篇写的比较好的博客   深入了解Json Web Token之概念篇   另附 JWT 的官方文档:https://jwt.io/introduction/ 二.python 对于 jwt实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了,...
JWT生成的token存入redis
abcdefXML的博客
08-09 4712
@Autowired private StringRedisTemplate redisTemplate; @Override public String getTokenEntity(User user) { String token = null; try { token = JwtUtil.createToken(us...
压测对比JWT解析与Redis取值
帷幄庸者的博客
03-09 1878
压测对比JWT解析与Redis取值 压测心得: 压测下会产生错误java.net.SocketException: Connection reset 首先配置线程组,然后是Http,然后结果分析监听器(主要是Summary Report) 压测的同时可以打开jconsole监控jvm变化 测试前先做一次GC,避免GC对结果产生影响 JWT解析压测 100线程 500线程 1000线程...
redis + jwt实现token认证
kevin的博客
09-16 8249
文章目录业务场景拦截器1.登录授权获取token2.登出使token失效3.续期token4.获取新的token 业务场景 在前后端分离的场景下,越来越多的项目使用token作为接口的安全机制,APP或者web端使用token与后端接口交互,以达到安全的目的 拦截器 拦截器 获取前端请求的token 判断token是否为空 token不为空,则查询redis缓存是否有相关token 有相关t...
python 产生tokentoken验证的方法(有效)
董佳宁的博客
03-24 2456
近期再做一个关于登陆的一个操作首先想到的就是产生token和验证token的方案,接下就把code贴出来。 产生token: import time import base64 import hmac def generate_token(key, expire=3600): r''' @Args: key: str (用户给定的key,需要用户保存以便之后验证token,每次产生token时的key 都可以是同一个key) expire: int(最大有效时间,单位为s) @Return
python爬虫登陆 带Cookie token
热门推荐
gx_up
05-28 1万+
python写爬虫整的很方便,弄了个模拟登陆,登陆后带上token和cooke请求页面 就拿gitlab练下手了,这个还是有一丢丢麻烦的 一、登陆界面 获取隐藏域中的token,构建表单的时候需要 获取到这个_gitlab_session,登陆校验时需要带着这个信息 准备好token和cookie,当然还需要一个能登陆用户名和密码   二、登陆验证 登陆验证就是构建表单,...
python jwt token
03-22
Python JWT(JSON Web Token)是一种用于在网络应用中进行身份验证和授权的开放标准。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于令牌的元数据,例如使用的加密算法和令牌类型。载荷包含了要传输的数据,例如用户ID、角色等信息。签名用于验证令牌的完整性和真实性。 在Python中,可以使用PyJWT库来生成和验证JWT令牌。下面是一个简单的示例: ```python import jwt # 生成JWT令牌 payload = {'user_id': 123, 'role': 'admin'} secret_key = 'your_secret_key' token = jwt.encode(payload, secret_key, algorithm='HS256') # 解码和验证JWT令牌 decoded_token = jwt.decode(token, secret_key, algorithms=['HS256']) ``` 在上面的示例中,`payload`是要传输的数据,`secret_key`是用于签名的密钥。`jwt.encode()`函数用于生成JWT令牌,`jwt.decode()`函数用于解码和验证JWT令牌。 需要注意的是,密钥应该保密且安全地存储,以确保令牌的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值