JWT原理和简单应用

JWT认证登录最近在做一个审核系统，后台登录用到JWT登录认证，在此主要做个总结JWT是什么Json web token (JWT), 根据官网的定义，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。为什么使用JWT此处主要和传统的session作对比，传统的session在服务器端需要保存一些登录信息，通常是在内存中，在后端服务器是集群等分布式的情况下，其他主机没有保存这些信息，所以都需要通过一个固定的主机进行验证，如果用户量大，在认证这个点上容易形成瓶颈，是应用不易拓展。JWT原理JWT由三个部分组成，用点号分割，看起来像是这样，JWT token本身没有空格换行等，下面是为了美观处理了下eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJsYWJzX3B1cmlmaWVyLWFwaS1wYW5lbCIsImlhdCI6MTU1Mjk3NTg3OCwiZXhwIjoxNTU1NTY3ODc4LCJhdWQiOiJodHRwOi8vZmYtbGFic19wdXJpZmllci1hcGktdGVzdC5mZW5kYS5pby9wcm9kL3YxL2F1dGgvand0Iiwic3ViIjoiMTUwMTM4NTYxMTg4NDcwNCIsInNjb3BlcyI6WyJyZWdpc3RlciIsIm9wZW4iLCJsb2dpbiIsInBhbmVsIl19.m0HD1SUd30TWKuDQImwjIl9a-oWJreG7tKVzuGVh7e41.头部(Header)Header部分是一个json，描述JWT的元数据，通常是下面这样{ “alg”: “HS256”, “typ”: “JWT”}alg表示签名使用的的算法，默认是HMAC SHA256，写成HS256， tye表示这个token的类型，JWT token统一使用JWT，上面这段Header生成的token是eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ92.负载(Payload)官方规定了7个字段，解释如下iss: 签发人，可以填写生成这个token的ID等等，可选参数sub: 该JWT所面向的客户，可以存储用户的account_id等等，可选aud：该JWTtoken的接收方，可以填写生成这个token的接口URL，但是不强制，可选exp: 过期时间，时间戳，整数，可选参数iat：生成token的时间，unix时间，时间戳，可选参数nbf(Not Before): 表示该token在此时间前不可用，验证不通过的意思，可选jti: JWT ID,主要用来生成一次性token，可选的参数除了官方之外，我们还可以定义一部分自定义字段，但是考虑到BASE64是可逆的，所以不要放入敏感信息下面是一个例子；{ “iss”: “labs_purifier-api-panel”, “iat”: 1552975878, “exp”: 1555567878, “aud”: “http://ff-labs_purifier-api-test.fenda.io/prod/v1/auth/jwt", “sub”: “1501385611884704”, “scopes”: [ “register”, “open”, “login”, “panel” ]}上面这个Payload，经过BASE64加密后，生成的token是eyJpc3MiOiJsYWJzX3B1cmlmaWVyLWFwaS1wYW5lbCIsImlhdCI6MTU1Mjk3NTg3OCwiZXhwIjoxNTU1NTY3ODc4LCJhdWQiOiJodHRwOi8vZmYtbGFic19wdXJpZmllci1hcGktdGVzdC5mZW5kYS5pby9wcm9kL3YxL2F1dGgvand0Iiwic3ViIjoiMTUwMTM4NTYxMTg4NDcwNCIsInNjb3BlcyI6WyJyZWdpc3RlciIsIm9wZW4iLCJsb2dpbiIsInBhbmVsIl193.签名(Signature)Signature是对前面两部分生成的两段token的加密，使用的加密方式是Header里面指定的，此处是HS256，此时，需要一个秘钥，不可以泄露，大致过程如下：HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)JWT的使用JWT token 一般放在请求头里面，当然也可以放在cookie里面，但是放在cookie里面不可以跨域，例如：Authorization: Bearer <token>JWT在Python中的简单生成和验证jwt库生成tokendef create_token(): payload={ “iss”: “labs_purifier-api-panel”, “iat”: 1552975878, “exp”: 1555567878, “aud”: Config.AUDIENCE, “sub”: “1501385611884704”, “scopes”: [ “register”, “open”, “login”, “panel” ] } token = jwt.encode(payload, Config.SECRET_KEY, algorithm=‘HS256’) return True, {‘access_token’: token}验证tokendef verify_jwt_token(token): try: payload = jwt.decode(token, Config.SECRET_KEY, audience=Config.AUDIENCE, algorithms=[‘HS256’]) except (ExpiredSignatureError, DecodeError): return False, token if payload: return True, jwt_model需要注意的是，如果在生成的时候，加上了aud参数，验证的时候也要用上audience参数，并且值必须一样