首页 > 其他分享 >jwt

jwt

时间:2022-12-03 10:57:02浏览次数:36  
标签:__ jwt 校验 token payload 服务端

JSON Web Tokens,是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。

1. jwt认证流程

image

在项目开发中,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户看数据,否则,返回一些错误信息。

传统token方式和jwt在认证方面有什么差异?

  • 传统token方式

用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。

  • jwt方式

用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。

2. jwt创建token

2.1 原理

jwt的生成token格式如下,即:由 . 连接的三段字符串组成。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
生成规则如下:

第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段。

{
  "alg": "HS256",
  "typ": "JWT"
}

第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段

{
  "sub": "1234567890",
  "name": "szw",
  "iat": 1516239022
  ...
}

第三段SIGNATURE部分,把前两段的base密文通过.拼接起来,然后对其进行HS256加密,再然后对hs256密文进行base64url加密,最终得到token的第三段。

base64url(
    HMACSHA256(
      base64UrlEncode(header) + "." + base64UrlEncode(payload),
      your-256-bit-secret (秘钥加盐)
    )
)

最后将三段字符串通过 .拼接起来就生成了jwt的token。

注意:base64url加密是先做base64加密,然后再将 - 替代 + 及 _ 替代 / 。

2.2 代码实现

基于Python的pyjwt模块创建jwt的token。

安装

pip3 install pyjwt

实现

import jwt
import datetime
from jwt import exceptions
 
SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='
 
def create_token():
     
    # 构造header
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    # 构造payload
    payload = {
        'user_id': 1, # 自定义用户ID
        'username': 'szw', # 自定义用户名
        'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超时时间
    }
    result = jwt.encode(payload=payload, key=SALT.encode('utf-8'), algorithm="HS256", headers=headers)
    return result
 
if __name__ == '__main__':
    token = create_token()
    print(token)

3. jwt校验token

一般在认证成功后,把jwt生成的token返回给用户,以后用户再次访问时候需要携带token,此时jwt需要对token进行超时及合法性校验。

获取token之后,会按照以下步骤进行校验:

  1. 将token分割成 header_segment、payload_segment、crypto_segment 三部分
  2. 对第一部分header_segment进行base64url解密,得到header
  3. 对第二部分payload_segment进行base64url解密,得到payload
  4. 对第三部分crypto_segment进行base64url解密,得到signature
  5. 对第三部分signature部分数据进行合法性校验
  • 拼接前两段密文,即:signing_input
  • 从第一段明文中获取加密算法,默认:HS256
  • 使用 算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较。
import jwt
import datetime
from jwt import exceptions
 
def get_payload(token):
    """
    根据token获取payload
    :param token:
    :return:
    """
    try:
        # 从token中获取payload【不校验合法性】
        # unverified_payload = jwt.decode(token, None, False)
        # print(unverified_payload)
 
        # 从token中获取payload【校验合法性】
        verified_payload = jwt.decode(token, SALT,  algorithms=["HS256"])
        return verified_payload
    except exceptions.ExpiredSignatureError:
        print('token已失效')
    except jwt.DecodeError:
        print('token认证失败')
    except jwt.InvalidTokenError:
        print('非法的token')
         
if __name__ == '__main__':
    token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU"
    payload = get_payload(token)

标签:__,jwt,校验,token,payload,服务端
From: https://www.cnblogs.com/sherwin1995/p/16947131.html

相关文章

  • spring cloud alibaba gateway 整合 jwt 实现鉴权
    最近在搭建阿里巴巴的微服务框架,这次是引入jwt实现鉴权,主要包括以下功能(1)登录。接收用户名,密码,校验密码是否正确,若正确则返回token(jwt生成),若错误返回提示信息。(2)请求网关......
  • JWT和Base64加密,解密
    JWT参考文档http://121.5.151.41/mylesson/Django/%E7%BE%8E%E5%A4%9A%E5%95%86%E5%9F%8E%E9%A1%B9%E7%9B%AE%E8%AF%BE%E4%BB%B6/C02-Users/JWT.html基于token的鉴权......
  • SpringBoot JWT
    JWT是一种鉴权机制,实现前后端分离登陆和权限的一种解决方式,用户在登陆之后后端生成token传到前端,以后每次的请求都携带着token到后端验证,如果过期或者失效就要求重新登陆......
  • 开发SpringBoot+Jwt+Vue的前后端分离后台管理系统VueAdmin - 前端笔记
    一个springsecurity+jwt+vue的前后端分离项目!综合运用!关注公众号MarkerHub,回复【VueAdmin】可以加群讨论学习、另外还会不定时安排B站视频直播答疑!首发公众号......
  • 开发SpringBoot+Jwt+Vue的前后端分离后台管理系统VueAdmin - 后端笔记
    为了让更多同学学习到前后端分离管理系统的搭建过程,这里我写了详细的开发过程的文档,使用的是springsecurity+jwt+vue的技术栈组合,如果有帮助,别忘了点个赞和关注我的公......
  • JWT 结构
    Jsonwebtoken的结构Header头部+Payload负载+Signature签名1.JWT-headerheader由两部分组成:令牌类型+散列算法JWT头部分是一个描述JWT元数据......
  • 1.jwt的基本使用
    1.简介JosnWebToken:常用于前后端分离中/微信小程序/app开发中的用户认证官网地址:https://jwt.io/2.传统的用户认证流程   基于传统的token进行用户验证流程......
  • 基于 JWT Bearer 的身份认证方案
    基于JWTBearer的身份认证方案认证流程匿名访问资源,server响应401client跳转至登录页面client请求RSA公钥,用户输入账号、密码client对密码执行RSA加密,请......
  • asp.net core api 基于token的JWT bearer 的鉴权验证实现探索
    .net的各种框架啥的都不是很熟悉,当时只是想怎么实现快速校验授权确保api是通过验证之后才能打开。我说的快速就是不需要写重复的样板代码,通过总体控制,最后发现,似乎也只能通......
  • Spring Boot+Spring Security+JWT 刷新Token之实现 RESTful Api 认证(二)
    作者:迷彩SpringBoot+SpringSecurity+JWT实现RESTfulApi认证(二)摘要上一篇​​javascript:void(0)​​我们已经实现了基本的登录和token认证接口,但是这里有个问题,对于......