JWT原理和簡單應用的介紹（附程式碼）

這篇文章帶給大家的內容是關於JWT原理和簡單應用的介紹（附程式碼），有一定的參考價值，有需要的朋友可以參考一下，希望對你有幫助。

JWT認證登入

最近在做一個審核系統，後台登入用到JWT登入認證，在此主要做個總結

JWT是什麼

Json web token (JWT), 根據官網的定義，是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準.該token被設計為緊湊且安全的，特別適用於分佈式站點的單一登入場景。 JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可加密。

為什麼使用JWT

此處主要和傳統的session作對比，傳統的session在伺服器端需要保存一些登入信息，通常是在記憶體中，在後端伺服器是叢集等在分散式的情況下，其他主機沒有保存這些信息，所以都需要通過一個固定的主機進行驗證，如果用戶量大，在認證這個點上容易形成瓶頸，是應用不易拓展。

JWT原理

JWT由三個部分組成，用點號分割，看起來像是這樣，JWT token本身沒有空格換行等，下面是為了美觀處理了下

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJpc3MiOiJsYWJzX3B1cmlmaWVyLWFwaS1wYW5lbCIsImlhdCI6MTU1Mjk3NTg3OCwiZXhwIjoxNTU1NTY3ODc4LCJhdWQiOiJodHRwOi8vZmYtbGFic19wdXJpZmllci1hcGktdGVzdC5mZW5kYS5pby9wcm9kL3YxL2F1dGgvand0Iiwic3ViIjoiMTUwMTM4NTYxMTg4NDcwNCIsInNjb3BlcyI6WyJyZWdpc3RlciIsIm9wZW4iLCJsb2dpbiIsInBhbmVsIl19.
m0HD1SUd30TWKuDQImwjIl9a-oWJreG7tKVzuGVh7e4

1.頭部(Header)

Header部分是一個json，描述JWT的元數據，通常是下面這樣

{
  "alg": "HS256",
  "typ": "JWT"
}

alg表示簽名使用的的演算法，預設是HMAC SHA256，寫成HS256， tye表示這個token的類型，JWT token統一使用JWT，上面這段Header生成的token是

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2.負載(Payload)

官方規定了7個字段，解釋如下

• iss: 簽發人，可以填寫生成這個token的ID等等，可選參數
• sub: 該JWT所面向的客戶，可以儲存用戶的account_id等等，可選
• aud：該JWTtoken的接收方，可以填寫產生這個token的介面URL，但是不強制，可選
• exp: 過期時間，時間戳，整數，可選參數
• iat：產生token的時間，unix時間，時間戳，可選參數
• nbf(Not Before): 表示該token在此時間前不可用，驗證不通過的意思，可選
• jti: JWT ID,主要用來產生一次性token，可選的參數

##除了官方之外，我們還可以定義一部分自定義字段，但考慮到BASE64是可逆的，所以不要放入敏感資訊

下面是一個例子；

{
  "iss": "labs_purifier-api-panel",
  "iat": 1552975878,
  "exp": 1555567878,
  "aud": "http://ff-labs_purifier-api-test.fenda.io/prod/v1/auth/jwt",
  "sub": "1501385611884704",
  "scopes": [
    "register",
    "open",
    "login",
    "panel"
  ]
}

上面這個Payload，經過BASE64加密後，產生的token是

eyJpc3MiOiJsYWJzX3B1cmlmaWVyLWFwaS1wYW5lbCIsImlhdCI6MTU1Mjk3NTg3OCwiZXhwIjoxNTU1NTY3ODc4LCJhdWQiOiJodHRwOi8vZmYtbGFic19wdXJpZmllci1hcGktdGVzdC5mZW5kYS5pby9wcm9kL3YxL2F1dGgvand0Iiwic3ViIjoiMTUwMTM4NTYxMTg4NDcwNCIsInNjb3BlcyI6WyJyZWdpc3RlciIsIm9wZW4iLCJsb2dpbiIsInBhbmVsIl19

3.簽名(Signature)

Signature是對前面兩部分產生的兩段token的加密，使用的加密方式是Header裡面指定的，此處是HS256，此時，需要一個秘鑰，不可以洩露，大致過程如下：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

JWT的使用

JWT token 一般放在請求頭裡面，當然也可以放在cookie裡面，但是放在cookie裡面不可以跨域，例如：

Authorization: Bearer <token>

JWT在Python中的簡單產生和驗證

#jwt庫

#產生token

def create_token():
    payload={
              "iss": "labs_purifier-api-panel",
              "iat": 1552975878,
              "exp": 1555567878,
              "aud": Config.AUDIENCE,
              "sub": "1501385611884704",
              "scopes": [
                "register",
                "open",
                "login",
                "panel"
              ]
            }
    token = jwt.encode(payload, Config.SECRET_KEY, algorithm='HS256')
    return True, {'access_token': token}

驗證token

def verify_jwt_token(token):
    try:
        payload = jwt.decode(token, Config.SECRET_KEY,
                             audience=Config.AUDIENCE,
                             algorithms=['HS256'])
    except (ExpiredSignatureError, DecodeError):
        return False, token
    if payload:
        return True, jwt_model

要注意的是，如果在生成的時候，加上了aud參數，驗證的時候也要用上audience參數，而且值必須一樣

這篇文章到這裡就已經全部結束了，更多其他精彩內容可以關注PHP中文網的

python影片教學專欄！

#

以上是JWT原理和簡單應用的介紹（附程式碼）的詳細內容。更多資訊請關注PHP中文網其他相關文章！