python实现JWT

python实现JWT

一、常见的几种实现认证的方法

1.1basic auth

1.2cookie

1.3token

json web token--一种基于token的json格式web认证方法。基本原理是，第一次认证通过用户名和面膜，服务端签发一个json格式的token，后续客户端的请求都带着这个token，服务端仅需要解析这个token,来判断客户端的身份和合法性。jwt协议只是规范了这个协议的格式，分为三个部分

1.3.1header头部

{
    'type':'JWT',   #声名类型，这里是JWT
    'alg':'HS256'  #声名加密的算法，通常为 HMAC  SHA256
}

再将其解析base64编码

1.3.2payload载荷

payload是放置实际有效信息的地方。jwt定义了几种内容，包括：

　　标准中注册的声明，如签发者，接收者，有效时间（exp），时间戳（iat,issued at）等；为官方建议但非必须
　　公共声明
　　私有声明

　　

#一个常见的payload
{
    'user_id':12345,
    'user_role':admin,
    'iat':14234234
}

　

// 包括需要传递的用户信息；
{ "iss": "Online JWT Builder",       #该JWT的签发者，是否使用是可选的；
  "iat": 1416797419,                #在什么时候签发的(UNIX时间)，是否使用是可选的；
  "exp": 1448333419,                #什么时候过期，这里是一个Unix时间戳，是否使用是可选的；
  "aud": "www.gusibi.com",           #接收该JWT的一方，是否使用是可选的；
  "sub": "uid",                        #该JWT所面向的用户，是否使用是可选的；
  "nickname": "goodspeed",
  "username": "goodspeed",
  "scopes": [ "admin", "user" ]
}

　　

　

1.3.3signature

　　原理

// 根据alg算法与私有秘钥进行加密得到的签名字串；
// 这一段是最重要的敏感信息，只能在服务端解密；
HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    SECREATE_KEY
)

第三部分是个签证信息，有三部分组成：
header(base64后的)
payload(base64后的)
secret

存储了序列化的secreate key和salt key。这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，
然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。

　示例图：

二、认证需求

目标场景是一个前后端分离的后端系统，用于运维工作，虽在内网使用，也有一定的保密性要求
    API为restful+json的无状态接口，要求认证也是相同模式
    可横向扩展
    较低数据库压力
    证书可注销
    证书可自动延期
这样就选择JWT

三、JWT实现

如何生成token

import jwt
import time

# 使用 sanic 作为restful api 框架
def create_token(request):
    grant_type = request.json.get('grant_type')
    username = request.json['username']
    password = request.json['password']
    if grant_type == 'password':
        account = verify_password(username, password)
    elif grant_type == 'wxapp':
        account = verify_wxapp(username, password)
    if not account:
        return {}
    payload = {
        "iss": "gusibi.com",
         "iat": int(time.time()),
         "exp": int(time.time()) + 86400 * 7,
         "aud": "www.gusibi.com",
         "sub": account['_id'],
         "username": account['username'],
         "scopes": ['open']
    }
    token = jwt.encode(payload, 'secret', algorithm='HS256')
    return True, {'access_token': token, 'account_id': account['_id']}

def verify_bearer_token(token):
    #  如果在生成token的时候使用了aud参数，那么校验的时候也需要添加此参数
    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])
    if payload:
        return True, token
    return False, token

如何解析token

四、优化

总结

我们做了一个JWT的认证模块:
(access token在以下代码中为'token'，refresh token在代码中为'rftoken')

首次认证
client -----用户名密码-----------> server

client <------token、rftoken----- server

access token存续期内的请求
client ------请求（携带token）----> server

client <-----结果----------------- server

access token超时
client ------请求（携带token）----> server

client <-----msg:token expired--- server

重新申请access token
client -请求新token（携带rftoken）-> server

client <-----新token-------------- server

rftoken token超时
client -请求新token（携带rftoken）-> server

client <----msg:rftoken expired--- server

如果设计一个针对此认证的前端，需要：

存储access token、refresh token

访问时携带access token，自动检查access token超时，超时则使用refresh token更新access token；状态延期用户无感知

用户登出直接抛弃access token与refresh token