介紹
jwt(JSON Web Tokens),在用戶認證當中常用的方式,在如今的前後端分離項目當中應用廣泛
傳統token和jwt區別
傳統token:服務端會對登錄成功的用戶生成一個隨機token返回,同時也會在本地保留對應的token(如在數據庫中存入:token、用戶名、過期時間等),當用戶再次訪問時,會攜帶之前的token給服務端進行校驗,服務端則通過與本地保留的token進行對比,若尋找到符合條件的token數據,則校驗成功
jwt:服務端會對登錄成功的用戶生成一個隨機token返回,但並不會在服務端本地保留(這是jwt和傳統token最大的區別),而當用戶再次訪問時,服務端會基於jwt對token進行校驗和解碼(由於jwt是基於base64url編碼,因此是可以反向解碼的,所以一定要小心token泄漏的問題,以及不要在token中存放敏感數據,可以在:https://jwt.io/裏解碼基於jwt生成的token)
安裝
pip install pyjwt
簡單示例
import jwt
import time
headers = {
"alg": "HS256",
"typ": "JWT"
}
# 設置headers,即加密算法的配置
salt = "asgfdgerher"
# 隨機的salt密鑰,只有token生成者(同時也是校驗者)自己能有,用於校驗生成的token是否合法
exp = int(time.time() + 1)
# 設置超時時間:當前時間的100s以後超時
payload = {
"name": "dawsonenjoy",
"exp": exp
}
# 配置主體信息,一般是登錄成功的用戶之類的,因爲jwt的主體信息很容易被解碼,所以不要放敏感信息
# 當然也可以將敏感信息加密後再放進payload
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
# 生成token
print(token)
info = jwt.decode(token, salt, True, algorithm='HS256')
# 解碼token,第二個參數用於校驗
# 第三個參數代表是否校驗,如果設置爲False,那麼只要有token,就能夠對其進行解碼
print(info)
time.sleep(2)
# 等待2s後再次驗證token,因超時將導致驗證失敗
try:
info = jwt.decode(token, salt, True, algorithm='HS256')
print(info)
except Exception as e:
print(repr(e))
info = jwt.decode(token, '', False, algorithm='HS256')
# 第三個參數設置爲False,不進行校驗,直接解碼token
print(info)
結果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1NzgzODUwMDl9.pL2zyBUvlJA6blZG_8W9CwXEgFFKkhE-IOSC8WX9MYE
{'name': 'dawsonenjoy', 'exp': 1578385009}
ExpiredSignatureError('Signature has expired',)
{'name': 'dawsonenjoy', 'exp': 1578385009}
可以看到第一次校驗是成功的,到了第二次解密時因爲已經過期,從而拋出過期異常,第三次因爲不進行校驗,所以直接給出解碼信息
jwt生成token所需字段
生成token時,首先需要傳入一些字段,主要包括:
- headers:主要配置一些加密的算法
- payload:規範當中有以下標準字段,但不是絕對:
iss: jwt簽發者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大於簽發時間
nbf: 定義在什麼時間之前,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份標識,主要用來作爲一次性token,從而回避重放攻擊。
參考鏈接:https://www.jianshu.com/p/671cc06679f6
- secret_key:簽名密鑰,示例代碼裏寫的是salt,用於校驗token的有效、合法性
jwt生成token過程
由上面的簡單示例可以看出,jwt生成的token主要有三部分,用.
隔開,分別代表:編碼後的headers
、payload
,以及校驗字段。
具體過程:
- 通過對
headers
的json數據進行base64url編碼生成第一部分 - 通過對
payload
的json數據進行base64url編碼生成第二部分 - 將第一部分和第二部分通過
.
拼接起來,然後對拼接後的內容結合簽名密鑰進行HS256加密生成密文(加密算法可以自己選,默認HS256),然後再進行base64url編碼,從而生成第三部分 - 三個部分通過
.
拼接起來,作爲token
base64url編碼:先進行base64編碼,然後將其中的
+
替換成-
、/
替換成_
,並且最後一般會將=
都去掉
這裏簡單模擬一下jwt的生成(參照了一下源碼):
import jwt
import time
import json
import base64
import hashlib
import hmac
headers = {
"typ": "JWT",
"alg": "HS256"
}
salt = "asgfdgerher"
exp = time.time() + 1
payload = {
"name": "dawsonenjoy",
"exp": exp
}
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
# 實際生成
first = base64.urlsafe_b64encode(json.dumps(headers, separators=(',', ':')).encode('utf-8').replace(b'=', b'')).decode('utf-8').replace('=', '')
# 模擬第一部分生成
second = base64.urlsafe_b64encode(json.dumps(payload, separators=(',', ':')).encode('utf-8').replace(b'=', b'')).decode('utf-8').replace('=', '')
# 模擬第二部分生成
first_second = f"{first}.{second}"
# 拼接前兩部分
third = base64.urlsafe_b64encode(hmac.new(salt.encode('utf-8'), first_second.encode('utf-8'), hashlib.sha256).digest()).decode('utf-8').replace('=', '')
# 模擬第三部分生成
my_token = ".".join([first, second, third])
print(token)
print(my_token)
print(token == my_token)
# 可以看出結果是一樣的
# 結果:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1Nzg1NTQxMjcuOTkwNDQ0N30.0XYnGgXXb3HrJzfoYsu-9IfqJs4GwTvf6H8uYIH78LY
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiZGF3c29uZW5qb3kiLCJleHAiOjE1Nzg1NTQxMjcuOTkwNDQ0N30.0XYnGgXXb3HrJzfoYsu-9IfqJs4GwTvf6H8uYIH78LY
True
可以看出整體生成的就是一樣的(畢竟就是參照源碼寫的)
jwt校驗和解碼過程
- 對於獲取到的
token
,首先基於.
將其切割成三個部分 - 對第二段進行base64url解碼,並獲取payload信息,檢查token是否超時
- 將第一段和第二段拼接,並結合簽名密鑰進行HS256加密(默認HS256,選擇和加密時一樣的算法就行了),生成校驗字段
- 將第三段進行base64url解碼,判斷是否和上一步生成的校驗字段相同,相同則說明token有效
jwt常見異常處理
jwt校驗拋出的異常類基本都在jwt
和jwt.exceptions
下,舉例:
import jwt
import time
from jwt import exceptions
headers = {
"alg": "HS256",
"typ": "JWT"
}
salt = "asgfdgerher"
exp = int(time.time() - 1)
# 設置立即失效
payload = {
"name": "dawsonenjoy",
"exp": exp
}
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
try:
info = jwt.decode(token, salt, True, algorithm='HS256')
print(info)
except exceptions.ExpiredSignatureError:
print('token已失效')
except jwt.DecodeError:
print('token認證失敗')
except jwt.InvalidTokenError:
print('非法的token')
WEB開發中簡單示例
基於傳統token
首先我們來看看使用傳統的token的示例(這裏基於flask,使用全局字典模擬數據庫來演示):
# 基於傳統token實現用戶校驗
from flask import Flask, request
import json
import uuid
app = Flask(__name__)
# 這裏用全局字典模擬數據庫:
# user_table表裏存放用戶名、密碼用於用戶登錄校驗
# user_token表裏存放token,用於token校驗
# user_info_table存放用戶信息
db_source = {
'user_table': {
'dawsonenjoy': {
'pwd': '111111'
}
},
'user_token': {},
'user_info_table': {
'dawsonenjoy': {
'age': 18
}
}
}
@app.route('/login', methods=['POST'])
def login():
'''用戶登錄,用戶名密碼驗證成功將會生成對應token,並將token保存以及返回給用戶'''
username = request.form.get('username', None)
pwd = request.form.get('password', None)
if (not username) or (not pwd):
return json.dumps({'status': 1, 'code': '400', 'msg': '用戶或密碼不允許爲空!'}, ensure_ascii=False)
if not db_source['user_table'].get(username, None):
return json.dumps({'status': 1, 'code': '401', 'msg': '用戶不存在!'}, ensure_ascii=False)
if db_source['user_table'][username]['pwd'] != pwd:
return json.dumps({'status': 1, 'code': '402', 'msg': '用戶名或密碼錯誤!'}, ensure_ascii=False)
# 當登錄校驗通過,則爲用戶存入token,並返回token
token = str(uuid.uuid4())
db_source['user_token'][token] = username
return json.dumps({'status': 1, 'code': '200', 'data': {'token': token}})
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用戶信息,需要和本地保存的token進行校驗'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允許爲空!'}, ensure_ascii=False)
if not db_source['user_token'].get(token, None):
return json.dumps({'status': 1, 'code': '501', 'msg': 'token校驗失敗!'}, ensure_ascii=False)
# 當token校驗成功則返回用戶信息
username = db_source['user_token'][token]
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True, port=5000)
基於jwt
爲了更好地對比(主要是懶得再寫代碼),這裏就基於前面代碼該進成基於jwt版本的校驗,代碼示例如下:
# 基於jwt實現的用戶校驗
from flask import Flask, request
import jwt
from jwt import exceptions
import json
import time
app = Flask(__name__)
# 這裏用全局字典模擬數據庫:
# user_table表裏存放用戶名、密碼用於用戶登錄校驗
# 因爲jwt校驗無需在服務端存儲,所以user_token表也就不需要
# user_info_table存放用戶信息
db_source = {
'user_table': {
'dawsonenjoy': {
'pwd': '111111'
}
},
'user_info_table': {
'dawsonenjoy': {
'age': 18
}
}
}
SECRET_KEY = "asgfddasdasdasgerher"
# 定義簽名密鑰,用於校驗jwt的有效、合法性
def create_token(name):
'''基於jwt創建token的函數'''
global SECRET_KEY
headers = {
"alg": "HS256",
"typ": "JWT"
}
exp = int(time.time() + 20)
payload = {
"name": name,
"exp": exp
}
token = jwt.encode(payload=payload, key=SECRET_KEY, algorithm='HS256', headers=headers).decode('utf-8')
# 返回生成的token
return token
def validate_token(token):
'''校驗token的函數,校驗通過則返回解碼信息'''
global SECRET_KEY
payload = None
msg = None
try:
payload = jwt.decode(token, SECRET_KEY, True, algorithm='HS256')
# jwt有效、合法性校驗
except exceptions.ExpiredSignatureError:
msg = 'token已失效'
except jwt.DecodeError:
msg = 'token認證失敗'
except jwt.InvalidTokenError:
msg = '非法的token'
return (payload, msg)
@app.route('/login', methods=['POST'])
def login():
'''用戶登錄,用戶名密碼驗證成功將會生成對應token,但不需要在本地保存,直接返回給用戶'''
username = request.form.get('username', None)
pwd = request.form.get('password', None)
if (not username) or (not pwd):
return json.dumps({'status': 1, 'code': '400', 'msg': '用戶或密碼不允許爲空!'}, ensure_ascii=False)
if not db_source['user_table'].get(username, None):
return json.dumps({'status': 1, 'code': '401', 'msg': '用戶不存在!'}, ensure_ascii=False)
if db_source['user_table'][username]['pwd'] != pwd:
return json.dumps({'status': 1, 'code': '402', 'msg': '用戶名或密碼錯誤!'}, ensure_ascii=False)
# 當登錄校驗通過,則爲用戶創建並返回token
token = create_token(username)
# 注意這裏不存入本地了
return json.dumps({'status': 1, 'code': '200', 'data': {'token': token}})
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用戶信息,需要token校驗'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允許爲空!'}, ensure_ascii=False)
payload, msg = validate_token(token)
# 直接對token進行合法性校驗
if msg:
return json.dumps({'status': 1, 'code': '500', 'msg': msg}, ensure_ascii=False)
username = payload['name']
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True, port=5000)
其他相關庫
itsdangerous
一個基於jwt再封裝了一層的庫,方便我們對jwt的使用,簡單示例:
# pip install itsdangerous
from itsdangerous import TimedJSONWebSignatureSerializer as TJWSS, SignatureExpired, BadData
import time
salt = "adsafergberhere"
payload = {
"name": "dawsonenjoy",
}
tjwss = TJWSS(salt, 1)
# 實例化jwt序列化對象,設置salt和超時時間,這裏設置1s後超時
token = tjwss.dumps(payload).decode()
# 編碼payload數據,生成token
data = tjwss.loads(token)
# 校驗和解碼token
print(data)
time.sleep(2)
# 2s後讓token超時
try:
print(tjwss.loads(token))
except SignatureExpired:
print("token超時")
except BadData:
print("認證失敗")
djangorestframework-jwt
DFM框架中的jwt插件,安裝:
pip install djangorestframework
pip install djangorestframework-jwt
參考:
https://www.jianshu.com/p/740a0320f960
https://www.jianshu.com/p/a399b98ab05b