Python JWT 介绍

JWT 全称: json-web-token

JWT的大白话解释:
现在比较火的token中的一种,为了解决HTTP协议无状态的问题,开发出来的。就是一种解决方案。

1. 三大组成

JWT和cookie、session相比:

第一部分

  1. header

    在Python来看就是一个字典格式,元数据如下:

    {'alg':'HS256', 'typ':'JWT'}
    # alg代表要使用的 算法 HMAC-SHA256 简写HS256
    # typ表明该token的类别 此处必须为 大写的 JWT
    
    # 该部分数据需要转换成json串并用base64转码

    payload

    在cookie和session中会将用户id或名字写入到其中,在token中会将其写在payload中。

    格式为字典-此部分分为公有声明和私有声明

    公有声明: JWT提供了内置关键字用于描述常见的问题

    此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下:
     

    {'exp':xxx,  # EXpiration Time 此token的过期时间的时间戳 time.time()+300s  给一个未来过期时间
     'iss':xxx,  # (issuer) Claim 指明此token的签发者  是那台机器签发的token (当前项目没用)
     'aud':xxx,  # (Audience) Claim 指明此token的签发群体 token签发面向群体是那些人 区分pc,ios,android  (当前项目没用)
     'iat':xxx,  # (ISSued At) Claim 指明此创建时间的时间戳
     # 以上四项是我们的公有声明 保留字
     # 下边私有声明
     'username':'xxx',
    }
    

    私有声明: 用户可根据自己业务需求,添加自定义的key,

    公有声明和私有声明均在同一个字典中;转成json串并用bsase64转码

    Signature 签名

    签名规则如下:

    根据header中的alg确定具体算法,以下用HS256为例:

    HS256(自定义的key,base64后的header + b’.‘ + base64后的payload,digestmod=‘SHA256’)

    2. jwt结果格式

  2. base64(header) + b'.' + base64(payload) + b'.' + base64(Signature)

  3. . 校验jwt规则

  4. 解析header,确认alg使用的算法
  5. 签名校验-根据传过来的header和payload按 alg指明的算法进行签名,将签名结果和传过来的sign进行对比,若比对一致,则校验通过
  6. 获取payload自定义内容
  7. 第一部分:header
    #一般固定如下
    {
      'typ': 'JWT',     
      'alg': 'HS256'     
    }
    
    base64编码 ,并替换=号--->    "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9"

    第二部分: payload

    {
       'id': user.id,
       'username': user.username,
       ‘exp’: time.time() + 300,  #过期时间
    }
    
    base64编码-> "eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"

    第三部分: 前两部分的编码串通过 ‘.’ 连接,得到如下:

    temp = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZvaG4gRGdWV9"

    然后使用第一部分 声明的算法HS256进行加密,得到如下:

    import hmac
    h = hmac.new(b'key', temp.encode(), digestmod='SHA256')
    sign = base64.urlsafe_b64encode(h.digest())

    全部代码

    import datetime
    import jwt  #需要安装pip install pyjwt
    from django.conf import settings
    
    def generate_token(user):
        """
         :param user: 用户对象
         :return: 生成的token
        """
        #自己组织payload
        payload = {
            'user_id': user.id,
            'username': user.username,
            'exp': datetime.datetime.now() + datetime.timedelta(seconds=300)
        }
        token = jwt.encode(payload=payload, key=settings.SECRET_KEY, algorithm='HS256')
        return token

你可能感兴趣的:(python,开发语言,后端)