2018-08-15(22)数据加密

数据加密

hashlib数据加密

用于加密的相关操作，代替MD5模块和sha模块，主要提供SHA1，SHA224，SHA256，SHA384，SHA512算法。

要想使用它，要先导入hashlib模块。

import hashlib

• 简单加密：

  psw = "12345"
  temp = hashlib.sha1(psw.encode()) # HASA类型
  print(temp.hexdigest) # 返回16进制字符串

• hash加盐加密

1. 导入加密函数
   from werkzeug.security import generate_password_hash, check_password_hash

2. 密码生成函数generate_password_hash
   temp = generate_password_hash(password, method = "pbkdf2:sha1:200", salt_length = 8)

   参数说明:

• password: 明文密码
• method: 哈希加密的方法，格式为pdpdf2:[:iterations]
• method: 哈希的方式， 一般为SHA1
• iterations: (可选参数) 迭代次数，默认为1000
• salt_length: 盐值的长度，默认为8

加密后的字符串：

method$salt$hash

1. 密码验证函数: check_password_hash
   check_password_hash(pwhash, password)
   定义参数：
   pwhash: generate_password_hash 生成的哈希字符串
   password: 需要验证的明文密码
   check_password_hash 函数用于验证经过generate_password_hash加密过的密码；
   若密码匹配，则返回真，否则返回假。

token（jwt）令牌

站在主流的框架都已经实现了前后端分离，为什么呢？

1. 可以让前后端的工作分工更明确，不需要在视图模板中加入很多{%XXX%}标签
2. 为了适应跨域调用或者多客户端调用。例如：手机应用调用的接口大都是第三方API。

虽然flask有json支持，但是对象转化是一大问题；所以整合JWT，让框架具有更多的适应性。JWT就是基于token的权限验证。

什么是token？？？

Json Web Token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准，该token被设计的紧凑且安全，特别适用于分布式站点的单点登录（SSO）场景。

JWT的声明一般被用来在身份提供者和服务提供者见传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其他业务逻辑所必须的生命信息。该token也可以直接被用于认证，也可以被加密。

token的工作流程：

1. 用户使用用户信息请求服务器  

2. 服务器验证用户信息  

3. 服务器向通过验证的用户发送一个token  

4. 客户端存储token， 并且在之后的每次请求时附加这个token值  

5. 服务器验证token，并且返回对应数据。  

    token必须要在每次请求时发送给服务器，它应该保存在请求头中，并且服务器要支持CORS（跨域资源共享）策略，一般我们在服务器中执行如下操作：

    Access-Control-Allow-Origin:*

JWT 构成

JWT是由三部分构成,各部分之间通过“.”来分隔。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U

第一部分：头部（header）

第二部分：荷载（payload）

第三部分：签证（signature）

1. header
   头部承载了两部分信息：

   • 声明类型（jwt）
   • 声明加密算法：（通常直接使用HMAC SHA256）
     完整的头部信息示例：
     "typ":"JWT",
     "alg":"HS256"
     然后将头部进行base64加密构成第一部分。

2. plyload
   荷载用来存放有效信息，包含三个部分：

   • 标准中注册的声明
   • 公共的声明
   • 私有的声明
     标注中注册的声明
     iss: jwt签发者
     sub: jwt所面向的用户
     aud: 接收jwt的一方
     exp: jwt的过期时间，这个过期时间必须大于签发时间
     nbf: 定义在什么时间之前，该jwt都是不可用的
     iat: jwt的签发时间
     jti: jwt的唯一身份标识，主要用来作为一次性token，从而回避重放攻击
     公共的声明：
     公共的声明可以添加任何信息，一般添加用户的相关信息或其它业务需要的必要信息，但是不建议添加敏感信息，因为该客户端可解密；
     私有的声明:
     私有的声明是提供者和消费者功能定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

   # 定义一个payload
   payload = {
       "sub":"123456789",
       "name":"John Doe",
       "admin":true    
   }
   

然后将其base64加密，得到jwt的第二部分。

signature

jwt的第三部分是签证信息，它由三部分组成：

• header（base64后的）

• payload(base64后的)
  secred
  这个部分需要base64加密后的header和base64加密后的payload使用“.”连接组成的字符串，然后通过header中声明的加密方式进行secret组合加密，然后构成了jwt的第三部分。

  var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
  var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：

secret是保存在服务器端的，jwt的签发也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以它就是你服务端的私钥，在任何场景都不应该泄露出去。

总结

优点：

因为json的通用性，所以JWT是可以跨语言支持的，像C#，JavaScript，NodeJS，PHP等许多语言都可以使用

因为由了payload部分，所以JWT可以在自身存储一些其它业务逻辑所必要的非敏感信息

便于传输，jwt的构成非常简单，字节占用很小，所以它是非常便于传输的

它不需要在服务端保存会话信息，所以它易于应用的扩展

安全相关

不应该在jwt的payload部分存储敏感信息，因为该部分是客户端可解密的部分

保护好secret私钥。该私钥非常重要

如果可以，请使用https协议