jwt的原理以及使用

jwt原理(json web token)

　　我们之前是使用session实现登录,通过实际密码+盐组成字符串进行md5存入redis或者数据库中,输入的密码与实际校验通过,发送给客户端一个有效时间的token,期间可以实现登录访问了

　　　  而jwt无需通过redis或者存储在数据库中了,直接通过一串字符串就能拿到信息和时间

优势
'''
解决跨域问题：这种基于Token的访问策略可以克服cookies的跨域问题。
服务端无状态可以横向扩展，Token可完成认证，无需存储Session。
系统解耦，Token携带所有的用户信息，无需绑定一个特定的认证方案，只需要知道加密的方法和密钥就可以进行加密解密，有利于解耦。
防止跨站点脚本攻击，没有cookie技术，无需考虑跨站请求的安全问题。
'''

劣势
'''
jwt一旦发送不能撤回发送的信息
不能防止CSRF攻击等
'''

jwt格式分为三部分组成,header,playload,sign

header就是json格式 {"typ":"JWT","alg":"HS256","exp":1491066992916},typ表示类型为jwt格式,alg表示加密方式为hs256,exp表示时间

playroad是请求体,根据业务自行定义,可以是一个字典一个列表,一个字符串

sign表示签名的生成

加密原理:

把header和playload分别使用base64url编码,接着用'.'把两个编码后的字符串连接起来，再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密，最后再次base64编码下，这就拿到了签名sign. 最后把header和playload和sign用'.'连接起来就生成了整个JWT

解密原理:

后端服务校验jwtToken是否有权访问接口服务，进行解密认证，如校验访问者的userid，首先用将字符串按.号切分三段字符串，分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对，
如果一样就代表数据没有被篡改，然后从头部取出exp对存活期进行判断，如果超过了存活期就返回空字符串，如果在存活期内返回userid的值

校验原理:

整个jwt的结构是由header.playload.sign连接组成，只有sign是用密钥加密的，而所有的信息都在header和playload中可以直接获取，sign的作用只是校验header和playload的信息是否被篡改过，所以jwt不能保护数据，但以上的特性可以很好的应用在权限认证上

itsdangerous是python基于jwt的实现的,我们可以用第三方库来实现

　　itsdangerous安装

pip install itsdangerous

Signer(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)

# 签名加密/解密
from itsdangerous import Signer
s = Signer('rainbol')  # 设置盐值
res = s.sign('me').decode()  # 设置签名
print(res)  # me.OJZBr7m8IGARJ0qzK07wdy9xAJM 返回一个签名.字符串
print(s.unsign('me.OJZBr7m8IGARJ0qzK07wdy9xAJM').decode())  # 解签 返回me ,如果中间任意字符串不正确都会报错

TimestampSigner(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)

# 带时间签名加密/解密
from itsdangerous import TimestampSigner
s = TimestampSigner('rainbol')  # 设置盐值
string = s.sign('')  # 加签
print(string.decode())  # 返回123.XNkPLg.Qr0E6jJvj7-tg40SBtC0kunkM1w
res = s.unsign(string, max_age=20)  # 解签 max_age设置过期时间20秒
print(res.decode())  # 返回123 ,如果中间任意字符串不正确或者超过max_age时间都会报错

Serializer(secret_key, salt='itsdangerous', serializer=None, signer=None, signer_kwargs=None)

# 序列化
from itsdangerous import Serializer
l = Serializer('rainbol')  # 设置盐值
re = l.dumps(['', ''])
print(re)  # ["1314","2233"].V2vY21tK5Nc8wYP6rlY9-F2zhH0
print(l.loads(re))  # ['1314', '2233'] 如果不正确会报错
# 如果需要加入时间戳,需要加入TimedSerializer,用法和TimestampSigner一致

# url安全序列化
from itsdangerous import URLSafeSerializer
l = URLSafeSerializer('rainbol')
re = l.dumps(['', ''])  # 返回 WyIxMjIiLCIyMjMzIl0.SujNVMlTr3RTkuQIHIRjl1R7tTs 序列化更加安全,其他一致

# jsonweb签名
from itsdangerous import JSONWebSignatureSerializer
s = JSONWebSignatureSerializer('rainbol')  # 设置盐值
res = s.dumps({'rainbol': ''})  # 设置加密字典
print(res.decode())  # eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHeTSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg
res = s.loads('eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHe'
              'TSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg', return_header=True)  # 解密字典
print(res)  # 返回{'rainbol': '123456'} 如果中间任意字符串不正确都会报错

在实际开发过程中用以下方法即可

#带有时间的jsonweb签名
import itsdangerous
salt = 'saO)(&)H'  # 设置盐值
t = itsdangerous.TimedJSONWebSignatureSerializer(salt, expires_in=600)  # 指定参数,第一个是盐值,第二个是TTL加密过期时间
res = t.dumps({'username': 'rainbol', 'password': ''})  # 设置加密的字典
print(res.decode())  # 取加密信息
session = 'eyJhbGciOiJIUzUxMiIsImlhdCI6MTU1NzcyNzM4NywiZXhwIjoxNTU3NzI3OTg3fQ.eyJ1c2VybmFtZSI6InJhaW5ib2wiLCJwYXNzd29yZCI6IjEyMzQ1NiJ9.5r2_YYH06HLCW9Ix7EB5UGpk0wPD8RmWib0EoD9lgZIaRHEaH-qrMfQeKPriQNplD1gNLMM2Dn9NX-zoSz20Gg'
res  = t.loads(session)#解析加密信息,如果加密信息不正确会报错
print(res)

参考https://blog.csdn.net/weiker12/article/details/68950279

版权声明：本文原创发表于 博客园，作者为 RainBol本文欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则视为侵权。