python实现JWT

一、常见的几种实现认证的方法

1.1basic auth

1.2cookie

1.3token

json web token--一种基于token的json格式web认证方法。基本原理是,第一次认证通过用户名和面膜,服务端签发一个json格式的token,后续客户端的请求都带着这个token,服务端仅需要解析这个token,来判断客户端的身份和合法性。jwt协议只是规范了这个协议的格式,分为三个部分

1.3.1header头部

{

    'type':'JWT',   #声名类型,这里是JWT

    'alg':'HS256'  #声名加密的算法,通常为 HMAC  SHA256

}

再将其解析base64编码

1.3.2payload载荷

payload是放置实际有效信息的地方。jwt定义了几种内容,包括:

  标准中注册的声明,如签发者,接收者,有效时间(exp),时间戳(iat,issued at)等;为官方建议但非必须

  公共声明

  私有声明

  

#一个常见的payload

{

    'user_id':12345,

    'user_role':admin,

    'iat':14234234

}

 

// 包括需要传递的用户信息;

{ "iss": "Online JWT Builder",       #该JWT的签发者,是否使用是可选的;

  "iat": 1416797419,                #在什么时候签发的(UNIX时间),是否使用是可选的;

  "exp": 1448333419,                #什么时候过期,这里是一个Unix时间戳,是否使用是可选的;

  "aud": "www.gusibi.com",           #接收该JWT的一方,是否使用是可选的;

  "sub": "uid",                        #该JWT所面向的用户,是否使用是可选的;

  "nickname": "goodspeed",

  "username": "goodspeed",

  "scopes": [ "admin", "user" ]

}

  

 

1.3.3signature

  原理

// 根据alg算法与私有秘钥进行加密得到的签名字串;

// 这一段是最重要的敏感信息,只能在服务端解密;

HMACSHA256(

    base64UrlEncode(header) + "." +

    base64UrlEncode(payload),

    SECREATE_KEY

)
第三部分是个签证信息,有三部分组成:
header(base64后的)
payload(base64后的)
secret

存储了序列化的secreate key和salt key。这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,
然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

 示例图:

二、认证需求

目标场景是一个前后端分离的后端系统,用于运维工作,虽在内网使用,也有一定的保密性要求

    API为restful+json的无状态接口,要求认证也是相同模式

    可横向扩展

    较低数据库压力

    证书可注销

    证书可自动延期

这样就选择JWT

三、JWT实现

如何生成token

import jwt

import time

# 使用 sanic 作为restful api 框架

def create_token(request):

    grant_type = request.json.get('grant_type')

    username = request.json['username']

    password = request.json['password']

    if grant_type == 'password':

        account = verify_password(username, password)

    elif grant_type == 'wxapp':

        account = verify_wxapp(username, password)

    if not account:

        return {}

    payload = {

        "iss": "gusibi.com",

         "iat": int(time.time()),

         "exp": int(time.time()) + 86400 * 7,

         "aud": "www.gusibi.com",

         "sub": account['_id'],

         "username": account['username'],

         "scopes": ['open']

    }

    token = jwt.encode(payload, 'secret', algorithm='HS256')

    return True, {'access_token': token, 'account_id': account['_id']}

def verify_bearer_token(token):

    #  如果在生成token的时候使用了aud参数,那么校验的时候也需要添加此参数

    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])

    if payload:

        return True, token

    return False, token

如何解析token

四、优化

总结

我们做了一个JWT的认证模块:

(access token在以下代码中为'token',refresh token在代码中为'rftoken')

首次认证

client -----用户名密码-----------> server

client <------token、rftoken----- server

access token存续期内的请求

client ------请求(携带token)----> server

client <-----结果----------------- server

access token超时

client ------请求(携带token)----> server

client <-----msg:token expired--- server

重新申请access token

client -请求新token(携带rftoken)-> server

client <-----新token-------------- server

rftoken token超时

client -请求新token(携带rftoken)-> server

client <----msg:rftoken expired--- server

如果设计一个针对此认证的前端,需要:

存储access token、refresh token

访问时携带access token,自动检查access token超时,超时则使用refresh token更新access token;状态延期用户无感知

用户登出直接抛弃access token与refresh token

  

python实现JWT的更多相关文章

  1. Python 生成 JWT(json web token) 及 解析方式

    一.关于 jwt 的原理及概念可以自行在网络上搜索了解一下,这里推荐一篇写的比较好的博客 深入了解Json Web Token之概念篇 另附 JWT 的官方文档: https://jwt.io/int ...

  2. Python 实现 JWT 生成

    Python 实现 JWT 生成 JWT 简介:https://www.jianshu.com/p/576dbf44b2ae Json web token (JWT), 是为了在网络应用环境间传递声明 ...

  3. Python 解密JWT验证苹果登录

    验证苹果登录,官方提供两种验证方法,一种是token,另一个种是code.这里使用的是token 登录流程: 苹果客户端调用苹果API,获取到用户的信息,包括: user_id 昵称 identity ...

  4. 理解JWT(JSON Web Token)认证及python实践

    原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 几种常用的认证机制 HTTP Basic Auth HTTP ...

  5. Python开发篇——如何在Flask下编写JWT登录

    首先,HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)--每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求 ...

  6. jwt的原理以及使用

    jwt原理(json web token) 我们之前是使用session实现登录,通过实际密码+盐组成字符串进行md5存入redis或者数据库中,输入的密码与实际校验通过,发送给客户端一个有效时间的t ...

  7. 理解JWT(JSON Web Token)认证

    理解JWT(JSON Web Token)认证 最近想做个小程序,需要用到授权认证流程.以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT 的认证方式 ...

  8. PyJWT 详解

    1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/ ...

  9. 使用python实现后台系统的JWT认证(转)

    今天的文章介绍一种适用于restful+json的API认证方法,这个方法是基于jwt,并且加入了一些从oauth2.0借鉴的改良. 1. 常见的几种实现认证的方法 首先要明白,认证和鉴权是不同的.认 ...

随机推荐

  1. Spring MVC 使用介绍(十三)数据验证 (一)基本介绍

    一.消息处理功能 Spring提供MessageSource接口用于提供消息处理功能: public interface MessageSource { String getMessage(Strin ...

  2. codeforces932E Team Work

    题目链接:CF932E 由第二类斯特林数知 \[ n^m=\sum_{i=0}^nS(m,i)*i!*\dbinom{n}{i} \] \[ \begin{aligned} \sum_{i=1}^n ...

  3. 【BZOJ3999】[TJOI2015]旅游(Link-Cut Tree)

    [BZOJ3999][TJOI2015]旅游(Link-Cut Tree) 题面 BZOJ 洛谷 题解 一道不难的\(LCT\)题(用树链剖分不是为难自己吗,这种有方向的东西用\(LCT\)不是方便那 ...

  4. placeholder中文字添加换行方法

    需求: 文本域内的提示文字两行显示 解决方案: 表示回车 表示换行 <textarea id="textarea" maxlength="22" plac ...

  5. CF1157A-Reachable Numbers题解

    原题地址 题目大意:有一个函数\(f(x)\),效果是将\(x+1\)后,去掉末尾所有的\(0\),例如: \(f(599)=6\),因为\(599+1=600→60→6\) \(f(7)=8\),因 ...

  6. python之路day07-集合set的增删查、列表如何排重(效率最高的方法)、深浅copy

    集合set 集合是无序的,不重复的数据集合,它里面的元素是可哈希的(不可变类型),但是集合本身是不可哈希(所以集合做不了字典的键)的.以下是集合最重要的两点: 去重,把一个列表变成集合,就自动去重了. ...

  7. ASP.NET MVC 企业级实战

    1.泛型 public class List<T>{ } 当定义泛型类的实例时,必须指定这个实例所存储的实际类型,泛型允许程序员将一个实际的数据类型规约延迟至泛型的实例被创建时才确定,泛型 ...

  8. 将Python3导出为exe程序

    一.pyinstaller简介 Python是一个脚本语言,被解释器解释执行.它的发布方式: .py文件:对于开源项目或者源码没那么重要的,直接提供源码,需要使用者自行安装Python并且安装依赖的各 ...

  9. php的api接口

    在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么, ...

  10. mysql的The user specified as a definer (”@’%') does not exist 的解决办法

    两种可能: 1.用户权限不够 赋给用户所有权限试试 mysql> grant all privileges on *.* to root@"%" identified by ...