介紹
jwt(JSON Web Tokens),在用戶認(rèn)證當(dāng)中常用的方式,在如今的前后端分離項(xiàng)目當(dāng)中應(yīng)用廣泛
傳統(tǒng)token和jwt區(qū)別
傳統(tǒng)token:服務(wù)端會(huì)對(duì)登錄成功的用戶生成一個(gè)隨機(jī)token返回,同時(shí)也會(huì)在本地保留對(duì)應(yīng)的token(如在數(shù)據(jù)庫(kù)中存入:token、用戶名、過(guò)期時(shí)間等),當(dāng)用戶再次訪問(wèn)時(shí),會(huì)攜帶之前的token給服務(wù)端進(jìn)行校驗(yàn),服務(wù)端則通過(guò)與本地保留的token進(jìn)行對(duì)比,若尋找到符合條件的token數(shù)據(jù),則校驗(yàn)成功
jwt:服務(wù)端會(huì)對(duì)登錄成功的用戶生成一個(gè)隨機(jī)token返回,但并不會(huì)在服務(wù)端本地保留(這是jwt和傳統(tǒng)token最大的區(qū)別),而當(dāng)用戶再次訪問(wèn)時(shí),服務(wù)端會(huì)基于jwt對(duì)token進(jìn)行校驗(yàn)和解碼(由于jwt是基于base64url編碼,因此是可以反向解碼的,所以一定要小心token泄漏的問(wèn)題,以及不要在token中存放敏感數(shù)據(jù),可以在:https://jwt.io/里解碼基于jwt生成的token)
安裝
pip install pyjwt
簡(jiǎn)單示例
import jwt
import time
headers = {
"alg": "HS256",
"typ": "JWT"
}
# 設(shè)置headers,即加密算法的配置
salt = "asgfdgerher"
# 隨機(jī)的salt密鑰,只有token生成者(同時(shí)也是校驗(yàn)者)自己能有,用于校驗(yàn)生成的token是否合法
exp = int(time.time() + 1)
# 設(shè)置超時(shí)時(shí)間:當(dāng)前時(shí)間的100s以后超時(shí)
payload = {
"name": "dawsonenjoy",
"exp": exp
}
# 配置主體信息,一般是登錄成功的用戶之類的,因?yàn)閖wt的主體信息很容易被解碼,所以不要放敏感信息
# 當(dāng)然也可以將敏感信息加密后再放進(jìn)payload
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
# 生成token
print(token)
info = jwt.decode(token, salt, True, algorithm='HS256')
# 解碼token,第二個(gè)參數(shù)用于校驗(yàn)
# 第三個(gè)參數(shù)代表是否校驗(yàn),如果設(shè)置為False,那么只要有token,就能夠?qū)ζ溥M(jìn)行解碼
print(info)
time.sleep(2)
# 等待2s后再次驗(yàn)證token,因超時(shí)將導(dǎo)致驗(yàn)證失敗
try:
info = jwt.decode(token, salt, True, algorithm='HS256')
print(info)
except Exception as e:
print(repr(e))
info = jwt.decode(token, '', False, algorithm='HS256')
# 第三個(gè)參數(shù)設(shè)置為False,不進(jìn)行校驗(yàn),直接解碼token
print(info)
結(jié)果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1NzgzODUwMDl9.pL2zyBUvlJA6blZG_8W9CwXEgFFKkhE-IOSC8WX9MYE
{'name': 'dawsonenjoy', 'exp': 1578385009}
ExpiredSignatureError('Signature has expired',)
{'name': 'dawsonenjoy', 'exp': 1578385009}
可以看到第一次校驗(yàn)是成功的,到了第二次解密時(shí)因?yàn)橐呀?jīng)過(guò)期,從而拋出過(guò)期異常,第三次因?yàn)椴贿M(jìn)行校驗(yàn),所以直接給出解碼信息
jwt生成token所需字段
生成token時(shí),首先需要傳入一些字段,主要包括:
- headers:主要配置一些加密的算法
- payload:規(guī)范當(dāng)中有以下標(biāo)準(zhǔn)字段,但不是絕對(duì):
iss: jwt簽發(fā)者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過(guò)期時(shí)間,這個(gè)過(guò)期時(shí)間必須要大于簽發(fā)時(shí)間
nbf: 定義在什么時(shí)間之前,該jwt都是不可用的.
iat: jwt的簽發(fā)時(shí)間
jti: jwt的唯一身份標(biāo)識(shí),主要用來(lái)作為一次性token,從而回避重放攻擊。
參考鏈接:http://www.lxweimin.com/p/671cc06679f6
- secret_key:簽名密鑰,示例代碼里寫的是salt,用于校驗(yàn)token的有效、合法性
jwt生成token過(guò)程
由上面的簡(jiǎn)單示例可以看出,jwt生成的token主要有三部分,用.隔開,分別代表:編碼后的headers、payload,以及校驗(yàn)字段。
具體過(guò)程:
- 通過(guò)對(duì)
headers的json數(shù)據(jù)進(jìn)行base64url編碼生成第一部分 - 通過(guò)對(duì)
payload的json數(shù)據(jù)進(jìn)行base64url編碼生成第二部分 - 將第一部分和第二部分通過(guò)
.拼接起來(lái),然后對(duì)拼接后的內(nèi)容結(jié)合簽名密鑰進(jìn)行HS256加密生成密文(加密算法可以自己選,默認(rèn)HS256),然后再進(jìn)行base64url編碼,從而生成第三部分 - 三個(gè)部分通過(guò)
.拼接起來(lái),作為token
base64url編碼:先進(jìn)行base64編碼,然后將其中的
+替換成-、/替換成_,并且最后一般會(huì)將=都去掉
這里簡(jiǎn)單模擬一下jwt的生成(參照了一下源碼):
import jwt
import time
import json
import base64
import hashlib
import hmac
headers = {
"typ": "JWT",
"alg": "HS256"
}
salt = "asgfdgerher"
exp = time.time() + 1
payload = {
"name": "dawsonenjoy",
"exp": exp
}
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
# 實(shí)際生成
first = base64.urlsafe_b64encode(json.dumps(headers, separators=(',', ':')).encode('utf-8').replace(b'=', b'')).decode('utf-8').replace('=', '')
# 模擬第一部分生成
second = base64.urlsafe_b64encode(json.dumps(payload, separators=(',', ':')).encode('utf-8').replace(b'=', b'')).decode('utf-8').replace('=', '')
# 模擬第二部分生成
first_second = f"{first}.{second}"
# 拼接前兩部分
third = base64.urlsafe_b64encode(hmac.new(salt.encode('utf-8'), first_second.encode('utf-8'), hashlib.sha256).digest()).decode('utf-8').replace('=', '')
# 模擬第三部分生成
my_token = ".".join([first, second, third])
print(token)
print(my_token)
print(token == my_token)
# 可以看出結(jié)果是一樣的
# 結(jié)果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1Nzg1NTQxMjcuOTkwNDQ0N30.0XYnGgXXb3HrJzfoYsu-9IfqJs4GwTvf6H8uYIH78LY
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1Nzg1NTQxMjcuOTkwNDQ0N30.0XYnGgXXb3HrJzfoYsu-9IfqJs4GwTvf6H8uYIH78LY
True
可以看出整體生成的就是一樣的(畢竟就是參照源碼寫的)
jwt校驗(yàn)和解碼過(guò)程
- 對(duì)于獲取到的
token,首先基于.將其切割成三個(gè)部分 - 對(duì)第二段進(jìn)行base64url解碼,并獲取payload信息,檢查token是否超時(shí)
- 將第一段和第二段拼接,并結(jié)合簽名密鑰進(jìn)行HS256加密(默認(rèn)HS256,選擇和加密時(shí)一樣的算法就行了),生成校驗(yàn)字段
- 將第三段進(jìn)行base64url解碼,判斷是否和上一步生成的校驗(yàn)字段相同,相同則說(shuō)明token有效
jwt常見異常處理
jwt校驗(yàn)拋出的異常類基本都在jwt和jwt.exceptions下,舉例:
import jwt
import time
from jwt import exceptions
headers = {
"alg": "HS256",
"typ": "JWT"
}
salt = "asgfdgerher"
exp = int(time.time() - 1)
# 設(shè)置立即失效
payload = {
"name": "dawsonenjoy",
"exp": exp
}
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
try:
info = jwt.decode(token, salt, True, algorithm='HS256')
print(info)
except exceptions.ExpiredSignatureError:
print('token已失效')
except jwt.DecodeError:
print('token認(rèn)證失敗')
except jwt.InvalidTokenError:
print('非法的token')
WEB開發(fā)中簡(jiǎn)單示例
基于傳統(tǒng)token
首先我們來(lái)看看使用傳統(tǒng)的token的示例(這里基于flask,使用全局字典模擬數(shù)據(jù)庫(kù)來(lái)演示):
# 基于傳統(tǒng)token實(shí)現(xiàn)用戶校驗(yàn)
from flask import Flask, request
import json
import uuid
app = Flask(__name__)
# 這里用全局字典模擬數(shù)據(jù)庫(kù):
# user_table表里存放用戶名、密碼用于用戶登錄校驗(yàn)
# user_token表里存放token,用于token校驗(yàn)
# user_info_table存放用戶信息
db_source = {
'user_table': {
'dawsonenjoy': {
'pwd': '111111'
}
},
'user_token': {},
'user_info_table': {
'dawsonenjoy': {
'age': 18
}
}
}
@app.route('/login', methods=['POST'])
def login():
'''用戶登錄,用戶名密碼驗(yàn)證成功將會(huì)生成對(duì)應(yīng)token,并將token保存以及返回給用戶'''
username = request.form.get('username', None)
pwd = request.form.get('password', None)
if (not username) or (not pwd):
return json.dumps({'status': 1, 'code': '400', 'msg': '用戶或密碼不允許為空!'}, ensure_ascii=False)
if not db_source['user_table'].get(username, None):
return json.dumps({'status': 1, 'code': '401', 'msg': '用戶不存在!'}, ensure_ascii=False)
if db_source['user_table'][username]['pwd'] != pwd:
return json.dumps({'status': 1, 'code': '402', 'msg': '用戶名或密碼錯(cuò)誤!'}, ensure_ascii=False)
# 當(dāng)?shù)卿浶r?yàn)通過(guò),則為用戶存入token,并返回token
token = str(uuid.uuid4())
db_source['user_token'][token] = username
return json.dumps({'status': 1, 'code': '200', 'data': {'token': token}})
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用戶信息,需要和本地保存的token進(jìn)行校驗(yàn)'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允許為空!'}, ensure_ascii=False)
if not db_source['user_token'].get(token, None):
return json.dumps({'status': 1, 'code': '501', 'msg': 'token校驗(yàn)失敗!'}, ensure_ascii=False)
# 當(dāng)token校驗(yàn)成功則返回用戶信息
username = db_source['user_token'][token]
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True, port=5000)
基于jwt
為了更好地對(duì)比(主要是懶得再寫代碼),這里就基于前面代碼該進(jìn)成基于jwt版本的校驗(yàn),代碼示例如下:
# 基于jwt實(shí)現(xiàn)的用戶校驗(yàn)
from flask import Flask, request
import jwt
from jwt import exceptions
import json
import time
app = Flask(__name__)
# 這里用全局字典模擬數(shù)據(jù)庫(kù):
# user_table表里存放用戶名、密碼用于用戶登錄校驗(yàn)
# 因?yàn)閖wt校驗(yàn)無(wú)需在服務(wù)端存儲(chǔ),所以u(píng)ser_token表也就不需要
# user_info_table存放用戶信息
db_source = {
'user_table': {
'dawsonenjoy': {
'pwd': '111111'
}
},
'user_info_table': {
'dawsonenjoy': {
'age': 18
}
}
}
SECRET_KEY = "asgfddasdasdasgerher"
# 定義簽名密鑰,用于校驗(yàn)jwt的有效、合法性
def create_token(name):
'''基于jwt創(chuàng)建token的函數(shù)'''
global SECRET_KEY
headers = {
"alg": "HS256",
"typ": "JWT"
}
exp = int(time.time() + 20)
payload = {
"name": name,
"exp": exp
}
token = jwt.encode(payload=payload, key=SECRET_KEY, algorithm='HS256', headers=headers).decode('utf-8')
# 返回生成的token
return token
def validate_token(token):
'''校驗(yàn)token的函數(shù),校驗(yàn)通過(guò)則返回解碼信息'''
global SECRET_KEY
payload = None
msg = None
try:
payload = jwt.decode(token, SECRET_KEY, True, algorithm='HS256')
# jwt有效、合法性校驗(yàn)
except exceptions.ExpiredSignatureError:
msg = 'token已失效'
except jwt.DecodeError:
msg = 'token認(rèn)證失敗'
except jwt.InvalidTokenError:
msg = '非法的token'
return (payload, msg)
@app.route('/login', methods=['POST'])
def login():
'''用戶登錄,用戶名密碼驗(yàn)證成功將會(huì)生成對(duì)應(yīng)token,但不需要在本地保存,直接返回給用戶'''
username = request.form.get('username', None)
pwd = request.form.get('password', None)
if (not username) or (not pwd):
return json.dumps({'status': 1, 'code': '400', 'msg': '用戶或密碼不允許為空!'}, ensure_ascii=False)
if not db_source['user_table'].get(username, None):
return json.dumps({'status': 1, 'code': '401', 'msg': '用戶不存在!'}, ensure_ascii=False)
if db_source['user_table'][username]['pwd'] != pwd:
return json.dumps({'status': 1, 'code': '402', 'msg': '用戶名或密碼錯(cuò)誤!'}, ensure_ascii=False)
# 當(dāng)?shù)卿浶r?yàn)通過(guò),則為用戶創(chuàng)建并返回token
token = create_token(username)
# 注意這里不存入本地了
return json.dumps({'status': 1, 'code': '200', 'data': {'token': token}})
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用戶信息,需要token校驗(yàn)'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允許為空!'}, ensure_ascii=False)
payload, msg = validate_token(token)
# 直接對(duì)token進(jìn)行合法性校驗(yàn)
if msg:
return json.dumps({'status': 1, 'code': '500', 'msg': msg}, ensure_ascii=False)
username = payload['name']
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True, port=5000)
其他相關(guān)庫(kù)
itsdangerous
一個(gè)基于jwt再封裝了一層的庫(kù),方便我們對(duì)jwt的使用,簡(jiǎn)單示例:
# pip install itsdangerous
from itsdangerous import TimedJSONWebSignatureSerializer as TJWSS, SignatureExpired, BadData
import time
salt = "adsafergberhere"
payload = {
"name": "dawsonenjoy",
}
tjwss = TJWSS(salt, 1)
# 實(shí)例化jwt序列化對(duì)象,設(shè)置salt和超時(shí)時(shí)間,這里設(shè)置1s后超時(shí)
token = tjwss.dumps(payload).decode()
# 編碼payload數(shù)據(jù),生成token
data = tjwss.loads(token)
# 校驗(yàn)和解碼token
print(data)
time.sleep(2)
# 2s后讓token超時(shí)
try:
print(tjwss.loads(token))
except SignatureExpired:
print("token超時(shí)")
except BadData:
print("認(rèn)證失敗")
djangorestframework-jwt
DFM框架中的jwt插件,安裝:
pip install djangorestframework
pip install djangorestframework-jwt
參考:
http://www.lxweimin.com/p/740a0320f960
http://www.lxweimin.com/p/a399b98ab05b
