jwt的原理以及使用

jwt的原理以及使用jwt原理(jsonwebtoken)我们之前是使用session实现登录,通过实际密码+盐组成字符串进行md5存入redis或者数据库中,输入的密码与实际校验通过,发送给客户端一个有效时间的token,期间可以实现登录访问了而jwt无需通过redis或者存储在数据库中了,直接通过一串字符串

大家好,欢迎来到IT知识分享网。jwt的原理以及使用"

jwt原理(json web token)

  我们之前是使用session实现登录,通过实际密码+盐组成字符串进行md5存入redis或者数据库中,输入的密码与实际校验通过,发送给客户端一个有效时间的token,期间可以实现登录访问了

     而jwt无需通过redis或者存储在数据库中了,直接通过一串字符串就能拿到信息和时间

优势
''' 解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。 服务端无状态可以横向扩展,Token可完成认证,无需存储Session。 系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。 防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。 '''
劣势
'''
jwt一旦发送不能撤回发送的信息
不能防止CSRF攻击等
'''
jwt格式分为三部分组成,header,playload,sign
header就是json格式 {"typ":"JWT","alg":"HS256","exp":1491066992916},typ表示类型为jwt格式,alg表示加密方式为hs256,exp表示时间
playroad是请求体,根据业务自行定义,可以是一个字典一个列表,一个字符串
sign表示签名的生成

加密原理:
把header和playload分别使用base64url编码,接着用'.'把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用'.'连接起来就生成了整个JWT
解密原理:
后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,
如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值
校验原理:
整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上

 

itsdangerous是python基于jwt的实现的,我们可以用第三方库来实现

  itsdangerous安装

pip install itsdangerous

 


Signer(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)
# 签名加密/解密
from itsdangerous import Signer  
s = Signer('rainbol')  # 设置盐值
res = s.sign('me').decode()  # 设置签名
print(res)  # me.OJZBr7m8IGARJ0qzK07wdy9xAJM 返回一个签名.字符串
print(s.unsign('me.OJZBr7m8IGARJ0qzK07wdy9xAJM').decode())  # 解签 返回me ,如果中间任意字符串不正确都会报错

 


TimestampSigner(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)
# 带时间签名加密/解密
from
itsdangerous import TimestampSigner s = TimestampSigner('rainbol') # 设置盐值 string = s.sign('123') # 加签 print(string.decode()) # 返回123.XNkPLg.Qr0E6jJvj7-tg40SBtC0kunkM1w res = s.unsign(string, max_age=20) # 解签 max_age设置过期时间20秒 print(res.decode()) # 返回123 ,如果中间任意字符串不正确或者超过max_age时间都会报错

 


Serializer(secret_key, salt='itsdangerous', serializer=None, signer=None, signer_kwargs=None)
# 序列化
from itsdangerous import Serializer  
l = Serializer('rainbol')  # 设置盐值
re = l.dumps(['1314', '2233'])
print(re)  # ["1314","2233"].V2vY21tK5Nc8wYP6rlY9-F2zhH0
print(l.loads(re))  # ['1314', '2233'] 如果不正确会报错
# 如果需要加入时间戳,需要加入TimedSerializer,用法和TimestampSigner一致

 

# url安全序列化
from itsdangerous import URLSafeSerializer  
l = URLSafeSerializer('rainbol')
re = l.dumps(['122', '2233'])  # 返回 WyIxMjIiLCIyMjMzIl0.SujNVMlTr3RTkuQIHIRjl1R7tTs 序列化更加安全,其他一致

 

# jsonweb签名
from itsdangerous import JSONWebSignatureSerializer
s = JSONWebSignatureSerializer('rainbol')  # 设置盐值
res = s.dumps({'rainbol': '123456'})  # 设置加密字典
print(res.decode())  # eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHeTSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg
res = s.loads('eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHe'
              'TSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg', return_header=True)  # 解密字典
print(res)  # 返回{'rainbol': '123456'} 如果中间任意字符串不正确都会报错

 

在实际开发过程中用以下方法即可

#带有时间的jsonweb签名
import itsdangerous
salt = 'saO)(&)H'  # 设置盐值
t = itsdangerous.TimedJSONWebSignatureSerializer(salt, expires_in=600)  # 指定参数,第一个是盐值,第二个是TTL加密过期时间
res = t.dumps({'username': 'rainbol', 'password': '123456'})  # 设置加密的字典
print(res.decode())  # 取加密信息
session = 'eyJhbGciOiJIUzUxMiIsImlhdCI6MTU1NzcyNzM4NywiZXhwIjoxNTU3NzI3OTg3fQ.eyJ1c2VybmFtZSI6InJhaW5ib2wiLCJwYXNzd29yZCI6IjEyMzQ1NiJ9.5r2_YYH06HLCW9Ix7EB5UGpk0wPD8RmWib0EoD9lgZIaRHEaH-qrMfQeKPriQNplD1gNLMM2Dn9NX-zoSz20Gg'
res  = t.loads(session)#解析加密信息,如果加密信息不正确会报错
print(res)
参考https://blog.csdn.net/weiker12/article/details/68950279
版权声明:本文原创发表于 博客园,作者为 RainBol 本文欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则视为侵权。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/31053.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信