python实现JWT

一、常见的几种实现认证的方法

1.1basic auth

1.2cookie

1.3token

json web token--一种基于token的json格式web认证方法。基本原理是,第一次认证通过用户名和面膜,服务端签发一个json格式的token,后续客户端的请求都带着这个token,服务端仅需要解析这个token,来判断客户端的身份和合法性。jwt协议只是规范了这个协议的格式,分为三个部分

1.3.1header头部

{

    'type':'JWT',   #声名类型,这里是JWT

    'alg':'HS256'  #声名加密的算法,通常为 HMAC  SHA256

}

再将其解析base64编码

1.3.2payload载荷

payload是放置实际有效信息的地方。jwt定义了几种内容,包括:

  标准中注册的声明,如签发者,接收者,有效时间(exp),时间戳(iat,issued at)等;为官方建议但非必须

  公共声明

  私有声明

  

#一个常见的payload

{

    'user_id':12345,

    'user_role':admin,

    'iat':14234234

}

 

// 包括需要传递的用户信息;

{ "iss": "Online JWT Builder",       #该JWT的签发者,是否使用是可选的;

  "iat": 1416797419,                #在什么时候签发的(UNIX时间),是否使用是可选的;

  "exp": 1448333419,                #什么时候过期,这里是一个Unix时间戳,是否使用是可选的;

  "aud": "www.gusibi.com",           #接收该JWT的一方,是否使用是可选的;

  "sub": "uid",                        #该JWT所面向的用户,是否使用是可选的;

  "nickname": "goodspeed",

  "username": "goodspeed",

  "scopes": [ "admin", "user" ]

}

  

 

1.3.3signature

  原理

// 根据alg算法与私有秘钥进行加密得到的签名字串;

// 这一段是最重要的敏感信息,只能在服务端解密;

HMACSHA256(

    base64UrlEncode(header) + "." +

    base64UrlEncode(payload),

    SECREATE_KEY

)
第三部分是个签证信息,有三部分组成:
header(base64后的)
payload(base64后的)
secret

存储了序列化的secreate key和salt key。这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,
然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

 示例图:

二、认证需求

目标场景是一个前后端分离的后端系统,用于运维工作,虽在内网使用,也有一定的保密性要求

    API为restful+json的无状态接口,要求认证也是相同模式

    可横向扩展

    较低数据库压力

    证书可注销

    证书可自动延期

这样就选择JWT

三、JWT实现

如何生成token

import jwt

import time

# 使用 sanic 作为restful api 框架

def create_token(request):

    grant_type = request.json.get('grant_type')

    username = request.json['username']

    password = request.json['password']

    if grant_type == 'password':

        account = verify_password(username, password)

    elif grant_type == 'wxapp':

        account = verify_wxapp(username, password)

    if not account:

        return {}

    payload = {

        "iss": "gusibi.com",

         "iat": int(time.time()),

         "exp": int(time.time()) + 86400 * 7,

         "aud": "www.gusibi.com",

         "sub": account['_id'],

         "username": account['username'],

         "scopes": ['open']

    }

    token = jwt.encode(payload, 'secret', algorithm='HS256')

    return True, {'access_token': token, 'account_id': account['_id']}

def verify_bearer_token(token):

    #  如果在生成token的时候使用了aud参数,那么校验的时候也需要添加此参数

    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])

    if payload:

        return True, token

    return False, token

如何解析token

四、优化

总结

我们做了一个JWT的认证模块:

(access token在以下代码中为'token',refresh token在代码中为'rftoken')

首次认证

client -----用户名密码-----------> server

client <------token、rftoken----- server

access token存续期内的请求

client ------请求(携带token)----> server

client <-----结果----------------- server

access token超时

client ------请求(携带token)----> server

client <-----msg:token expired--- server

重新申请access token

client -请求新token(携带rftoken)-> server

client <-----新token-------------- server

rftoken token超时

client -请求新token(携带rftoken)-> server

client <----msg:rftoken expired--- server

如果设计一个针对此认证的前端,需要:

存储access token、refresh token

访问时携带access token,自动检查access token超时,超时则使用refresh token更新access token;状态延期用户无感知

用户登出直接抛弃access token与refresh token

  

python实现JWT的更多相关文章

  1. Python 生成 JWT(json web token) 及 解析方式

    一.关于 jwt 的原理及概念可以自行在网络上搜索了解一下,这里推荐一篇写的比较好的博客 深入了解Json Web Token之概念篇 另附 JWT 的官方文档: https://jwt.io/int ...

  2. Python 实现 JWT 生成

    Python 实现 JWT 生成 JWT 简介:https://www.jianshu.com/p/576dbf44b2ae Json web token (JWT), 是为了在网络应用环境间传递声明 ...

  3. Python 解密JWT验证苹果登录

    验证苹果登录,官方提供两种验证方法,一种是token,另一个种是code.这里使用的是token 登录流程: 苹果客户端调用苹果API,获取到用户的信息,包括: user_id 昵称 identity ...

  4. 理解JWT(JSON Web Token)认证及python实践

    原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 几种常用的认证机制 HTTP Basic Auth HTTP ...

  5. Python开发篇——如何在Flask下编写JWT登录

    首先,HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)--每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求 ...

  6. jwt的原理以及使用

    jwt原理(json web token) 我们之前是使用session实现登录,通过实际密码+盐组成字符串进行md5存入redis或者数据库中,输入的密码与实际校验通过,发送给客户端一个有效时间的t ...

  7. 理解JWT(JSON Web Token)认证

    理解JWT(JSON Web Token)认证 最近想做个小程序,需要用到授权认证流程.以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT 的认证方式 ...

  8. PyJWT 详解

    1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/ ...

  9. 使用python实现后台系统的JWT认证(转)

    今天的文章介绍一种适用于restful+json的API认证方法,这个方法是基于jwt,并且加入了一些从oauth2.0借鉴的改良. 1. 常见的几种实现认证的方法 首先要明白,认证和鉴权是不同的.认 ...

随机推荐

  1. DES的几种填补方式

    DES的几种填补方式 DES是对64位数据的加密算法,如数据位数不足64位的倍数,需要填充,补充到64位的倍数.   NoPadding    API或算法本身不对数据进行处理,加密数据由加密双方约定 ...

  2. nginx 详细配置

    Nginx全局变量 Nginx中有很多的全局变量,可以通过$变量名来使用.下面列举一些常用的全局变量: 变量 说明 boxClass 需要执行动画的元素的 变量 说明 $args 请求中的参数,如ww ...

  3. 「Algospot」量化QUANTIZE

    一道不难的DP题,主要是为了总结这类最优化题的思路:同时还学到了一个新操作 传送门:$>here<$ 题意 给出一个长度为$N$的序列,要求最多使用s个数字进行量化(有损压缩),即代替原数 ...

  4. django restframework Serializer field

    SerializerMethodField 这是一个只读字段.它通过调用它所连接的序列化类的方法来获得它的值.它可用于将任何类型的数据添加到对象的序列化表示中. 签名: SerializerMetho ...

  5. python第六天

    深浅拷贝,元祖,字典 ,集合的定义以及基本操作方法 深浅拷贝 # 值拷贝:应用场景最多​值拷贝:先创建一个列表ls = [1, 'abc', [10]] 再定义 ls1 = ls  此处ls1会直接将 ...

  6. ubuntu 默认 root 密码

    安装完Ubuntu后忽然意识到没有设置root密码,不知道密码自然就无法进入根用户下.到网上搜了一下,原来是这麽回事.Ubuntu的默认root密码是随机的,即每次开机都有一个新的root密码.我们可 ...

  7. mysql常用的用户授权语句

    一:授权主要的 SQL //某个数据库所有的权限 ALL 后面+ PRIVILEGES GRANT ALL PRIVILEGES ON 库名.* TO '用户'@'%' IDENTIFIED BY ' ...

  8. window.location.href 传参中文乱码问题!!!

    不是所有地方都会用Ajax  当你使用window.location.href 来传中文参数的时候 如何避免乱码问题 js 是这样写的    下面代码中  方式 封装编码  参数 username  ...

  9. 条件随机场(conditional random field,CRF)模型初探

    0. 引言 0x1:为什么会有条件随机场?它解决了什么问题? 在开始学习CRF条件随机场之前,我们需要先了解一下这个算法的来龙去脉,它是在什么情况下被提出的,是从哪个算法演进而来的,它又解决了哪些问题 ...

  10. python小练习: 给定一个数组 按重复次数 降序排列输出 数组非空且为正整数

    假设有个列表  a=[1,1,1,2,2,4,5,5,5,5] (非空且为正整数) 那么根据要求 最终输出的形式为  5,1,2,4  (按重复次数 降序排列输出) 代码实现及解释: a=[1,1,1 ...