摘要:的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息���,以便于從資源服務(wù)器獲取資源�����,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息���,該也可直接被用于認(rèn)證�,也可被加密�����。
JWT認(rèn)證登錄
最近在做一個審核系統(tǒng)����,后臺登錄用到JWT登錄認(rèn)證����,在此主要做個總結(jié)
JWT是什么
Json web token (JWT), 根據(jù)官網(wǎng)的定義,是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn).該token被設(shè)計為緊湊且安全的���,特別適用于分布式站點的單點登錄場景�。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息�,以便于從資源服務(wù)器獲取資源��,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息���,該token也可直接被用于認(rèn)證,也可被加密���。
為什么使用JWT
此處主要和傳統(tǒng)的session作對比���,傳統(tǒng)的session在服務(wù)器端需要保存一些登錄信息,通常是在內(nèi)存中��,在后端服務(wù)器是集群等分布式的情況下�����,其他主機沒有保存這些信息��,所以都需要通過一個固定的主機進(jìn)行驗證���,如果用戶量大���,在認(rèn)證這個點上容易形成瓶頸,是應(yīng)用不易拓展����。
JWT原理
JWT由三個部分組成����,用點號分割�,看起來像是這樣,JWT token本身沒有空格換行等����,下面是為了美觀處理了下
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJpc3MiOiJsYWJzX3B1cmlmaWVyLWFwaS1wYW5lbCIsImlhdCI6MTU1Mjk3NTg3OCwiZXhwIjoxNTU1NTY3ODc4LCJhdWQiOiJodHRwOi8vZmYtbGFic19wdXJpZmllci1hcGktdGVzdC5mZW5kYS5pby9wcm9kL3YxL2F1dGgvand0Iiwic3ViIjoiMTUwMTM4NTYxMTg4NDcwNCIsInNjb3BlcyI6WyJyZWdpc3RlciIsIm9wZW4iLCJsb2dpbiIsInBhbmVsIl19.
m0HD1SUd30TWKuDQImwjIl9a-oWJreG7tKVzuGVh7e4
1.頭部(Header)
Header部分是一個json,描述JWT的元數(shù)據(jù)�����,通常是下面這樣
{
"alg": "HS256",
"typ": "JWT"
}
alg表示簽名使用的的算法�,默認(rèn)是HMAC SHA256,寫成HS256����, tye表示這個token的類型���,JWT token統(tǒng)一使用JWT����,上面這段Header生成的token是
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
2.負(fù)載(Payload)
官方規(guī)定了7個字段,解釋如下
iss: 簽發(fā)人�,可以填寫生成這個token的ID等等,可選參數(shù)
sub: 該JWT所面向的客戶��,可以存儲用戶的account_id等等��,可選
aud:該JWTtoken的接收方��,可以填寫生成這個token的接口URL�,但是不強制,可選
exp: 過期時間���,時間戳����,整數(shù)�����,可選參數(shù)
iat:生成token的時間�����,unix時間��,時間戳,可選參數(shù)
nbf(Not Before): 表示該token在此時間前不可用��,驗證不通過的意思��,可選
jti: JWT ID,主要用來生成一次性token����,可選的參數(shù)
除了官方之外,我們還可以定義一部分自定義字段����,但是考慮到BASE64是可逆的,所以不要放入敏感信息
下面是一個例子��;
{
"iss": "labs_purifier-api-panel",
"iat": 1552975878,
"exp": 1555567878,
"aud": "http://ff-labs_purifier-api-test.fenda.io/prod/v1/auth/jwt",
"sub": "1501385611884704",
"scopes": [
"register",
"open",
"login",
"panel"
]
}
上面這個Payload�����,經(jīng)過BASE64加密后��,生成的token是
eyJpc3MiOiJsYWJzX3B1cmlmaWVyLWFwaS1wYW5lbCIsImlhdCI6MTU1Mjk3NTg3OCwiZXhwIjoxNTU1NTY3ODc4LCJhdWQiOiJodHRwOi8vZmYtbGFic19wdXJpZmllci1hcGktdGVzdC5mZW5kYS5pby9wcm9kL3YxL2F1dGgvand0Iiwic3ViIjoiMTUwMTM4NTYxMTg4NDcwNCIsInNjb3BlcyI6WyJyZWdpc3RlciIsIm9wZW4iLCJsb2dpbiIsInBhbmVsIl19
3.簽名(Signature)
Signature是對前面兩部分生成的兩段token的加密�����,使用的加密方式是Header里面指定的�,此處是HS256,此時����,需要一個秘鑰,不可以泄露����,大致過程如下:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
JWT的使用
JWT token 一般放在請求頭里面,當(dāng)然也可以放在cookie里面����,但是放在cookie里面不可以跨域,例如:
Authorization: Bearer
JWT在Python中的簡單生成和驗證
jwt庫
生成token
def create_token():
payload={
"iss": "labs_purifier-api-panel",
"iat": 1552975878,
"exp": 1555567878,
"aud": Config.AUDIENCE,
"sub": "1501385611884704",
"scopes": [
"register",
"open",
"login",
"panel"
]
}
token = jwt.encode(payload, Config.SECRET_KEY, algorithm="HS256")
return True, {"access_token": token}
驗證token
def verify_jwt_token(token):
try:
payload = jwt.decode(token, Config.SECRET_KEY,
audience=Config.AUDIENCE,
algorithms=["HS256"])
except (ExpiredSignatureError, DecodeError):
return False, token
if payload:
return True, jwt_model
需要注意的是��,如果在生成的時候���,加上了aud參數(shù)�,驗證的時候也要用上audience參數(shù)�����,并且值必須一樣
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/43462.html
