现在用JWT 加密太火了,怎么能不跟上潮流?否则销售都不好意思出去吹牛逼!

PyJWT是一个Python库,用来编码/解码JWT(JSON Web Token)的

1.定义:根据维基百科的定义,JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。

1.1头信息指定了该JWT使用的签名算法:

header = '{"alg":"HS256","typ":"JWT"}'

1.2消息体包含了JWT的意图:

payload = '{"loggedInAs":"admin","iat":1422779638}'//iat表示令牌生成的时间  

1.3未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成

key = 'secretkey'

unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload)

signature = HMAC-SHA256(key, unsignedToken)

2.上代码:摘自https://www.cnblogs.com/liufei1983/p/8546505.html  写都不错,挺清晰的借鉴一下,不过项目里一般都是封装成装饰器,作为接口认证

import datetime, jwt, time

from app.dao.userDao import UserDao

from flask import jsonify

from .. import common

class Auth():

    @staticmethod

    def encode_auth_token(user_id, login_time):

        """

        生成认证Token

        :param user_id: int

        :param login_time: int(timestamp)

        :return: string

        """

        try:

            payload = {

                'exp': datetime.datetime.utcnow() + datetime.timedelta(days=0, seconds=10),

                'iat': datetime.datetime.utcnow(),

                'iss': 'ken',

                'data': {

                    'id':user_id,

                    'login_time': login_time

                }

            }

            return jwt.encode(

                payload,

                'secret',

                algorithm='HS256'

            )

        except Exception  as e:

            return e

    @staticmethod

    def decode_auth_token(auth_token):

        """

        验证Token

        :param auth_token:

        :return: integer|string

        """

        try:

            payload = jwt.decode(auth_token, 'secret', options= {'verify_exp':False})

            if ('data' in payload and 'id' in payload['data']):

                return payload

            else:

                raise jwt.InvalidTokenError

        except jwt.ExpiredSignatureError:

            return "Token过期"

        except jwt.InvalidTokenError:

            return "无效的Token"

    def authenticate(self, username, password):

        """

        用户登录,登录成功返回token,写将登录时间写入数据库;登录失败返回失败原因

        :param password:

        :return: json

        """

        userDao = UserDao()

        user = userDao.search(username)

        if (user is None):

            return jsonify(common.falseReturn('', '找不到用户'))

        else:

            if (user.password == password):

                login_time = int(time.time())

                token = self.encode_auth_token(user.username, login_time)

                return jsonify(common.trueReturn(token.decode(), '登陆成功'))

            else:

                return jsonify(common.falseReturn('', '密码不正确'))

    def identify(self, request):

        """

        用户鉴权

        :return: list

        """

        auth_header = request.headers.get('Authorization')

        if (auth_header):

            auth_tokenArr = auth_header.split(" ")

            if (not auth_tokenArr or auth_tokenArr[0]!= 'jwt' or len(auth_tokenArr) != 2 ):

                result = common.falseReturn('','请传递正确的验证头信息')

            else:

                auth_token = auth_tokenArr[1]

                payload = self.decode_auth_token(auth_token)

                if not isinstance(payload, str):

                    userDao = UserDao()

                    user = userDao.search(payload['data']['id'])

                    if (user is None):

                        result = common.falseReturn('', '找不到该用户信息')

                    else:

                        result = common.trueReturn('', '请求成功')

                else:

                    result = common.falseReturn('', payload)

        else:

            result = common.falseReturn('','没有提供认证token')

        return result

代码说明:

authenticate: 根据用户名/密码,到DB中进行校验,如果是合法的用户名/密码,调用encode_auth_token生成token返回;username加入到token的payload中。
encode_auth_token:  生成token的函数,payload可以存储一些不敏感的信息,比如用户名等,但是不能存密码;还有指定签名算法和秘钥。
identify: 用户的请求需要携带token信息,这个函数对request进行校验,调用decode_auth_token完成的校验。
decode_auth_token: 调用jwt.decode进行token校验(要指定秘钥,秘钥和生成token的秘钥一样)

3.参数详解

exp是expires的简写,是用来指定token的生命周期

iss是issuer的简写,表明请求的实体,可以是发出请求的用户的信息

iss(签发者),exp(过期时间戳), sub(面向的用户), aud(接收方), iat(签发时间)

4.最简单的例子

加密

def _set_token(self, studentMids):
  doc = {
    'relate_info': {'Phone': Phone,'secret':self.Secret},
    'exp': datetime.datetime.utcnow() + datetime.timedelta(seconds=JWTConfig.EXP)
}
  encodeds = jwt.encode(
    doc,
    JWTConfig.SECRET_KEY,
    algorithm=JWTConfig.ALGORITHM
)
  return encodeds

解密(主要还要看你自己写的加密规则来解密)

token = request.headers.get('Authorization')

            decryptData = token.split(".")[1] + "=" * (4 - len(token.split(".")[1]) % 4)

            secret = osjson.loads(base64.b64decode(decryptData))['relate_info']['secret']

           separator = encrypt(CUSTOMSECRET, "")

      res = secret[::-1].split(str(base64.b64encode(separator.encode('utf-8')),"utf-8"))

5.奉送一个写的不错,特别详细的博客链接https://blog.csdn.net/cruise_h/article/details/50888225

pyJWT的更多相关文章

  1. flask_login 整合 pyjwt + json 简易flask框架

    现在很多框架都实现前后端分离,主要为了适应以下几个目的: 1,前后端的分离,可以使前端开发和后端开发更加分工明确,而不是后端还需要在视图模板中加入很多{% XXXX %}标签 2,是为了适应跨域调用或 ...

  2. Pyjwt ,python jwt ,jwt

    pip install Pyjwt 不错的jwt 文章: https://www.cnblogs.com/wayneiscoming/p/7513487.html Sampleimport jwt i ...

  3. PyJWT 使用

    最近要用 Falsk 开发一个大点的后端,为了安全考虑,弃用传统的Cookie验证.转用JWT. 其实 Falsk 有一个 Falsk-JWT 但是我觉得封装的太高,还是喜欢通用的 PyJWT . J ...

  4. flask-login 整合 pyjwt + json 简易flask框架

    现在很多框架都实现前后端分离,主要为了适应以下几个目的: 1,前后端的分离,可以使前端开发和后端开发更加分工明确,而不是后端还需要在视图模板中加入很多{% XXXX %}标签 2,是为了适应跨域调用或 ...

  5. 五 pyJWT使用

    PyJWT是一个Python库,用来编码/解码JWT(JSON Web Token)的. 1:安装PyJWT 2:  直接上代码了: import datetime, jwt, time from a ...

  6. PyJWT 详解

    1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/ ...

  7. Python 资源大全中文版

    Python 资源大全中文版 我想很多程序员应该记得 GitHub 上有一个 Awesome - XXX 系列的资源整理.awesome-python 是 vinta 发起维护的 Python 资源列 ...

  8. 使用 AngularJS & NodeJS 实现基于token 的认证应用(转)

    认证是任何 web 应用中不可或缺的一部分.在这个教程中,我们会讨论基于 token 的认证系统以及它和传统的登录系统的不同.这篇教程的末尾,你会看到一个使用 AngularJS 和 NodeJS 构 ...

  9. [转载]Python 资源大全

    原文链接:Python 资源大全 环境管理 管理 Python 版本和环境的工具 p – 非常简单的交互式 python 版本管理工具. pyenv – 简单的 Python 版本管理工具. Vex  ...

随机推荐

  1. leetcode.矩阵.766托普里茨矩阵-Java

    1. 具体题目 如果一个矩阵的每一方向由左上到右下的对角线上具有相同元素,那么这个矩阵是托普利茨矩阵.给定一个 M x N 的矩阵,当且仅当它是托普利茨矩阵时返回 True. 示例 1: 输入: ma ...

  2. 通过一条很慢的SQL梳理下SQL优化基础

  3. 服务器安装宝塔linux系统控制面板

    一.使用远程连接软件 (如 Putty.XShell) 连接你的Linux服务器,本教程以 Putty 为例. 1   启动 Putty.exe 程序,进入 Putty 主界面. 2  在 Host ...

  4. CentOS 7 安装详细步骤

    VMware安装centos 7 前期准备: 1. VMware虚拟机软件(使用的是15x) 2. CentOS-7-x86_64-DVD-1810.iso 一.安装VMware虚拟机软件 略 二.新 ...

  5. compiz隐藏最大化窗口标题栏

    xfwm换了compiz试试,还行,挺方便.就是这个隐藏最大化窗口的标题栏没有现成的ui设置项,google到如下解决方案: 修改后立即生效. https://planetkris.com/2009/ ...

  6. ZOJ-3524 拓扑排序+完全背包(好题)

    题意:在一个DAG上,主角初始有W钱起点在s点,每个点有一个代价wi和价值vi,主角从起点走到某一点不能回头走,一路上可以买东西(一个点的东西可以买无限次),且体力消耗为身上负重*路径长度.主角可以在 ...

  7. hdu 3450 后缀数组

    题目大意: 求多个字符串的最长公共子串 基本思路: 参加我的博客hdu2774 代码如下: #include<cstdio> #include<cstring> using n ...

  8. 【JavaWeb项目】一个众筹网站的开发(六)后台用户权限控制

    登陆成功进入控制面板后 左侧的菜单是共同的元素,抽取出来做静态包含 要求必须是按照不同的用户得到不同的菜单 用户做了权限限制,哪个用户能操作哪些内容(链接.按钮.内容) 一.RBAC权限模型 权限管理 ...

  9. 【JZOJ6435】【luoguP5666】【CSP-S2019】树的重心

    description analysis 需要知道一棵树的重心一定在从根出发的重链上,可以考虑先进行树链剖分弄出重儿子和次重儿子,再倍增维护重儿子 由于重链上有一个或两个重心,接下来求的重心都是深度较 ...

  10. python读取ini配置文件的示例代码(仅供参考)

    这篇文章主要介绍了python读取ini配置文件过程示范,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 安装 pip install configp ...