首页 > 其他 > 详细

解析jwt实现原理

时间:2020-03-22 16:25:33      阅读:1147      评论:0      收藏:0      [点我收藏+]

标签:视频   last   rgs   ora-   转换   dsi   

熟悉drf框架:https://www.cnblogs.com/wupeiqi 武沛奇

哔哩哔哩视频教学笔记:

1.jwt(登录注册)

json web token,一般用于用户认证(前后端分离、微信小程序/APP开发) 其他直接用cookies/session即可

 

token的校验过程:

前端——携带token进行认证——后端———返回携带的token进行校验

基于传统的token认证:

# 用户登录,服务段返回token,并将token保存在服务器,以后用户再来访问时,需要携带token,服务端获取token后再去数据库中获取token进行校验。

 

jwt:

# 用户登录,服务端给用户返回一个token(服务器不保存),
以后用户再来访问,需要携带token,服务器获取token后,再做token的校验,
优势:相较于传统的token相比,它无需在服务器端保存token。

 

2.jwt实现过程

*第一步瀛湖提交用户和密码给服务端。如果登录成功,使用创建一个token,并给用户返回。

官网:

技术分享图片

 

 

 

注意:jwt生成的token由三段字符串组成,并用.连接起来的。

*第一段字符串,HEADER,内部包括算法/token类型,

json转换成字符串,然后做base64url加密(base64加密:+_).

{
    "alg":"HS256",
    "typ":"JWT"
}

 

*第二段字符串,payload自定义值。

json转换成字符串,然后做base64url加密(base64加密:+_).

{
    "id":"123123",
    "name":"Eric",
    "exp":"124521589" # 超时时间
}

 

  • 第三段字符串:

  • ‘‘‘‘
    第一步:第1、2部分密文件拼接起来
    第二步:对前2部分密文进行HS256加密 + 加盐
    第三步:对HS256加密后的密文再做base64url加密
    
    ‘‘‘‘

     

  • 以后用户再来访问时候,需要携带token,后端需要对token进行校验

  • 获取token:

  • 第一步:对token进行切割

  • 第二部:对第二段进行base64url解密,并获取payload信息,检测token是否已经超时

    {
        "id":"123123",
        "name":"Eric",
        "exp":"124521589" # 超时时间
    }

     

  • 
    
  • 第三步:把第1,2段拼接起来,再次执行sah256加密

  • 技术分享图片

3.应用

 # pip install pyjwt

 

使用:刨析内部源码

pyjwt.encode 生成token
pyjwt.decode token解密

 

4.扩展

# pip3 install djangoresframework-jwt

 

djangorestframework-jwt本质是调用pyjwt实现。

 

django案例

from django.http import JsonResponse
from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

from utils.jwt_auth import create_token


@method_decorator(csrf_exempt, name=dispatch)
class LoginView(View):
    def post(self, request, *args, **kwargs):
        """ 用户登录 """
        user = request.POST.get(username)
        pwd = request.POST.get(password)

        # 检测用户和密码是否正确,此处可以在数据进行校验。
        if user == wupeiqi and pwd == 123:
            # 用户名和密码正确,给用户生成token并返回
            token = create_token({username: wupeiqi})
            return JsonResponse({status: True, token: token})
        return JsonResponse({status: False, error: 用户名或密码错误})


@method_decorator(csrf_exempt, name=dispatch)
class OrderView(View):

    def get(self, request, *args, **kwargs):
        print(request.user_info)
        return JsonResponse({data: 订单列表})

    def post(self, request, *args, **kwargs):
        print(request.user_info)
        return JsonResponse({data: 添加订单})

    def put(self, request, *args, **kwargs):
        print(request.user_info)
        return JsonResponse({data: 修改订单})

    def delete(self, request, *args, **kwargs):
        print(request.user_info)
        return JsonResponse({data: 删除订单})

drf_jwr_demo

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions

JWT_SALT = iv%x6xo7l7_u9bf_u!9#g#m*)*[email protected])(@u3kh*72+unjv=


def create_token(payload, timeout=20):
    """
    :param payload:  例如:{‘user_id‘:1,‘username‘:‘wupeiqi‘}用户信息
    :param timeout: token的过期时间,默认20分钟
    :return:
    """
    headers = {
        typ: jwt,
        alg: HS256
    }
    payload[exp] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode(utf-8)
    return result


def parse_payload(token):
    """
    对token进行和发行校验并获取payload
    :param token:
    :return:
    """
    result = {status: False, data: None, error: None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result[status] = True
        result[data] = verified_payload
    except exceptions.ExpiredSignatureError:
        result[error] = token已失效
    except jwt.DecodeError:
        result[error] = token认证失败
    except jwt.InvalidTokenError:
        result[error] = 非法的token
    return result

view.py

from rest_framework.views import APIView
from rest_framework.response import Response

from utils.jwt_auth import create_token
from extensions.auth import JwtQueryParamAuthentication, JwtAuthorizationAuthentication


class LoginView(APIView):
    def post(self, request, *args, **kwargs):
        """ 用户登录 """
        user = request.POST.get(username)
        pwd = request.POST.get(password)

        # 检测用户和密码是否正确,此处可以在数据进行校验。
        if user == wupeiqi and pwd == 123:
            # 用户名和密码正确,给用户生成token并返回
            token = create_token({username: wupeiqi})
            return Response({status: True, token: token})
        return Response({status: False, error: 用户名或密码错误})


class OrderView(APIView):
    # 通过url传递token
    authentication_classes = [JwtQueryParamAuthentication, ]

    # 通过Authorization请求头传递token
    # authentication_classes = [JwtAuthorizationAuthentication, ]

    def get(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({data: 订单列表})

    def post(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({data: 添加订单})

    def put(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({data: 修改订单})

    def delete(self, request, *args, **kwargs):
        print(request.user, request.auth)
        return Response({data: 删除订单})

 

 

 

 

 

解析jwt实现原理

标签:视频   last   rgs   ora-   转换   dsi   

原文:https://www.cnblogs.com/Gaimo/p/12546259.html

(0)
(0)
   
举报
评论 一句话评论(0
© 2014 bubuko.com 版权所有 鲁ICP备09046678号-4
打开技术之扣,分享程序人生!
             

鲁公网安备 37021202000002号