现在用JWT 加密太火了,怎么能不跟上潮流?否则销售都不好意思出去吹牛逼!

PyJWT是一个Python库,用来编码/解码JWT(JSON Web Token)的

1.定义:根据维基百科的定义,JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。

1.1头信息指定了该JWT使用的签名算法:

header = '{"alg":"HS256","typ":"JWT"}'

1.2消息体包含了JWT的意图:

payload = '{"loggedInAs":"admin","iat":1422779638}'//iat表示令牌生成的时间  

1.3未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成

key = 'secretkey'

unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload)

signature = HMAC-SHA256(key, unsignedToken)

2.上代码:摘自https://www.cnblogs.com/liufei1983/p/8546505.html  写都不错,挺清晰的借鉴一下,不过项目里一般都是封装成装饰器,作为接口认证

import datetime, jwt, time

from app.dao.userDao import UserDao

from flask import jsonify

from .. import common

class Auth():

    @staticmethod

    def encode_auth_token(user_id, login_time):

        """

        生成认证Token

        :param user_id: int

        :param login_time: int(timestamp)

        :return: string

        """

        try:

            payload = {

                'exp': datetime.datetime.utcnow() + datetime.timedelta(days=0, seconds=10),

                'iat': datetime.datetime.utcnow(),

                'iss': 'ken',

                'data': {

                    'id':user_id,

                    'login_time': login_time

                }

            }

            return jwt.encode(

                payload,

                'secret',

                algorithm='HS256'

            )

        except Exception  as e:

            return e

    @staticmethod

    def decode_auth_token(auth_token):

        """

        验证Token

        :param auth_token:

        :return: integer|string

        """

        try:

            payload = jwt.decode(auth_token, 'secret', options= {'verify_exp':False})

            if ('data' in payload and 'id' in payload['data']):

                return payload

            else:

                raise jwt.InvalidTokenError

        except jwt.ExpiredSignatureError:

            return "Token过期"

        except jwt.InvalidTokenError:

            return "无效的Token"

    def authenticate(self, username, password):

        """

        用户登录,登录成功返回token,写将登录时间写入数据库;登录失败返回失败原因

        :param password:

        :return: json

        """

        userDao = UserDao()

        user = userDao.search(username)

        if (user is None):

            return jsonify(common.falseReturn('', '找不到用户'))

        else:

            if (user.password == password):

                login_time = int(time.time())

                token = self.encode_auth_token(user.username, login_time)

                return jsonify(common.trueReturn(token.decode(), '登陆成功'))

            else:

                return jsonify(common.falseReturn('', '密码不正确'))

    def identify(self, request):

        """

        用户鉴权

        :return: list

        """

        auth_header = request.headers.get('Authorization')

        if (auth_header):

            auth_tokenArr = auth_header.split(" ")

            if (not auth_tokenArr or auth_tokenArr[0]!= 'jwt' or len(auth_tokenArr) != 2 ):

                result = common.falseReturn('','请传递正确的验证头信息')

            else:

                auth_token = auth_tokenArr[1]

                payload = self.decode_auth_token(auth_token)

                if not isinstance(payload, str):

                    userDao = UserDao()

                    user = userDao.search(payload['data']['id'])

                    if (user is None):

                        result = common.falseReturn('', '找不到该用户信息')

                    else:

                        result = common.trueReturn('', '请求成功')

                else:

                    result = common.falseReturn('', payload)

        else:

            result = common.falseReturn('','没有提供认证token')

        return result

代码说明:

authenticate: 根据用户名/密码,到DB中进行校验,如果是合法的用户名/密码,调用encode_auth_token生成token返回;username加入到token的payload中。
encode_auth_token:  生成token的函数,payload可以存储一些不敏感的信息,比如用户名等,但是不能存密码;还有指定签名算法和秘钥。
identify: 用户的请求需要携带token信息,这个函数对request进行校验,调用decode_auth_token完成的校验。
decode_auth_token: 调用jwt.decode进行token校验(要指定秘钥,秘钥和生成token的秘钥一样)

3.参数详解

exp是expires的简写,是用来指定token的生命周期

iss是issuer的简写,表明请求的实体,可以是发出请求的用户的信息

iss(签发者),exp(过期时间戳), sub(面向的用户), aud(接收方), iat(签发时间)

4.最简单的例子

加密

def _set_token(self, studentMids):
  doc = {
    'relate_info': {'Phone': Phone,'secret':self.Secret},
    'exp': datetime.datetime.utcnow() + datetime.timedelta(seconds=JWTConfig.EXP)
}
  encodeds = jwt.encode(
    doc,
    JWTConfig.SECRET_KEY,
    algorithm=JWTConfig.ALGORITHM
)
  return encodeds

解密(主要还要看你自己写的加密规则来解密)

token = request.headers.get('Authorization')

            decryptData = token.split(".")[1] + "=" * (4 - len(token.split(".")[1]) % 4)

            secret = osjson.loads(base64.b64decode(decryptData))['relate_info']['secret']

           separator = encrypt(CUSTOMSECRET, "")

      res = secret[::-1].split(str(base64.b64encode(separator.encode('utf-8')),"utf-8"))

5.奉送一个写的不错,特别详细的博客链接https://blog.csdn.net/cruise_h/article/details/50888225

pyJWT的更多相关文章

  1. flask_login 整合 pyjwt + json 简易flask框架

    现在很多框架都实现前后端分离,主要为了适应以下几个目的: 1,前后端的分离,可以使前端开发和后端开发更加分工明确,而不是后端还需要在视图模板中加入很多{% XXXX %}标签 2,是为了适应跨域调用或 ...

  2. Pyjwt ,python jwt ,jwt

    pip install Pyjwt 不错的jwt 文章: https://www.cnblogs.com/wayneiscoming/p/7513487.html Sampleimport jwt i ...

  3. PyJWT 使用

    最近要用 Falsk 开发一个大点的后端,为了安全考虑,弃用传统的Cookie验证.转用JWT. 其实 Falsk 有一个 Falsk-JWT 但是我觉得封装的太高,还是喜欢通用的 PyJWT . J ...

  4. flask-login 整合 pyjwt + json 简易flask框架

    现在很多框架都实现前后端分离,主要为了适应以下几个目的: 1,前后端的分离,可以使前端开发和后端开发更加分工明确,而不是后端还需要在视图模板中加入很多{% XXXX %}标签 2,是为了适应跨域调用或 ...

  5. 五 pyJWT使用

    PyJWT是一个Python库,用来编码/解码JWT(JSON Web Token)的. 1:安装PyJWT 2:  直接上代码了: import datetime, jwt, time from a ...

  6. PyJWT 详解

    1.首先,我们需要先了解 JWT 的概念,所以我们先看pyjwt的官网 https://jwt.io/ 2.对于官方 JWT 有两篇博文写的不错分别如下: https://blog.csdn.net/ ...

  7. Python 资源大全中文版

    Python 资源大全中文版 我想很多程序员应该记得 GitHub 上有一个 Awesome - XXX 系列的资源整理.awesome-python 是 vinta 发起维护的 Python 资源列 ...

  8. 使用 AngularJS & NodeJS 实现基于token 的认证应用(转)

    认证是任何 web 应用中不可或缺的一部分.在这个教程中,我们会讨论基于 token 的认证系统以及它和传统的登录系统的不同.这篇教程的末尾,你会看到一个使用 AngularJS 和 NodeJS 构 ...

  9. [转载]Python 资源大全

    原文链接:Python 资源大全 环境管理 管理 Python 版本和环境的工具 p – 非常简单的交互式 python 版本管理工具. pyenv – 简单的 Python 版本管理工具. Vex  ...

随机推荐

  1. Cocos2d-x之Director

    |   版权声明:本文为博主原创文章,未经博主允许不得转载. Director类简介 在Cocos2d-x-3.x引擎中,采用节点树形结构来管理游戏对象,一个游戏可以划分为不同的场景,一个场景又可以分 ...

  2. CSS Sprites技术原理和使用

      在分析各个网站的CSS时,我们经常可以看到一些网站有很多的元素共享了一张背景图片,而这张背景图片包含了所有这些元素需要的背景,这种技术就叫做CSS Sprites. 淘宝的css sprites ...

  3. 利用TKinter模块创建GUI窗口

    # -*- coding: utf-8 -*- from Tkinter import *     root = Tk() # 80x80代表了初始化时主窗口的大小,0,0代表了初始化时窗口所在的位置 ...

  4. spark复习总结03

    1.DataFrame的创建方式 1.1 通过加载外部文件创建 //通过sqlContext读取json文件创建DataFrame DataFrame dataFrame=sqlContext.rea ...

  5. 如何在web项目中配置Spring的Ioc容器

    在web项目中配置Spring的Ioc容器其实就是创建web应用的上下文(WebApplicationContext) 自定义要使用的IoC容器而不使用默认的XmlApplicationContext ...

  6. Java Socket NIO示例总结

    Java NIO是非阻塞IO的实现,基于事件驱动,非常适用于服务器需要维持大量连接,但是数据交换量不大的情况,例如一些即时通信的服务等等,它主要有三个部分组成: Channels Buffers Se ...

  7. MHA + proxysql 高可用以及读写分离

    环境 vip 192.168.1.101 slave 192.168.1.16 5.7.17 3306 master 192.168.1.135 5.7.17 3306 proxysql 192.16 ...

  8. web.xml中配置——解决post乱码

    <!-- 解决post乱码 --> <filter> <filter-name>CharacterEncodingFilter</filter-name> ...

  9. loj2472[九省联考2018]IIIDX

    题意:要求构造一个d的排列使得满足d[i/k]<=d[u]且字典序最大. 标程(bzoj上并不能过): #include<bits/stdc++.h> #define mid ((l ...

  10. 读取Properties

    package com.infotech.common.util; import java.io.FileNotFoundException; import java.io.IOException; ...