哈喽大家好,我是咸鱼。
最近写的一个 Python 项目用到了 jwcrypto 这个库,这个库是专门用来处理 JWT 的,JWT 全称是 JSON Web Token
,JSON 格式的 Token。
今天就来简单入门一下 JWT。
官方介绍:https://jwt.io/introduction
先聊聊 Token
Token 的意思是令牌,通常用于身份验证。
例如,当客户端首次登录服务器时,服务器会生成一个 Token 并返回给客户端。此后,客户端只需在请求数据时带上这个 Token,无需再次提供用户名和密码。
为什么要有 Token ?
我们知道 HTTP 请求是无状态的,也就是说服务器无法识别每个请求的发起者(例如,我登录淘宝网后刷新页面,会要求我重新输入用户名和密码进行登录)。
为了解决这个问题,出现了一种解决方案:即服务器为每个客户端分配一个 session。当客户端发起请求时带上这个 session,服务器就能识别请求的发起者。
然而,这种方法很快暴露了一些弊端。首先是开销问题。服务器需要保存所有客户端的 session,如果访问的客户端数量增加,服务器将需要保存成千上万个 session,带来巨大的存储开销。
其次是跨域问题。例如,在集群架构中有两台服务器 A 和 B。如果咸鱼第一次请求到了 A 服务器,A 服务器保存了咸鱼的 session,但如果下一次请求被分配到 B 服务器,B 服务器上没有咸鱼的 session,该怎么办?
一种解决方案是使用 session 粘滞(session sticky)方法,使咸鱼的每次请求都打到同一个服务器(如 A 服务器)。但如果 A 服务器宕机了,请求就不得不转到 B 服务器,依然无法解决问题。
于是,有人提出了另一种思路:为什么要让服务器保存 session 呢?可以让每个客户端自己保存!服务器只负责生成 session,不负责保存。
但是,如果不保存 session,如何区分客户端?又如何验证 session 是服务器生成的呢?
这时,人们想到了让服务器生成一个 token。这个 token 是通过服务器独有的密钥和算法(例如 RS256 算法)生成的,并且服务器不会保存这个 token。
这样,客户端发起请求时带上这个 token,服务器收到后会用相同的算法和密钥进行验证。如果 token 匹配,服务器就能验证客户端的身份。
再聊聊 JWT
简单介绍了 token,我们来看看 JWT。
JWT(JSON Web Token)是一种在网络中以 JSON 格式安全地传输信息的令牌。其原理是:服务器认证之后,生成一个 JSON 格式的 token,并将其发回给用户,类似下面这样:
{
"alg": "RSA",
"name": "咸鱼",
"role": "管理员",
"exp": "2024-05-20T00:00:00Z"
}
之后客户端与服务器通信的时候都通过这个 JSON Token 来验证身份,同时为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。
优点:
- 紧凑性:JWT 被设计成体积较小,便于 URL、POST 参数或 HTTP 头部传输。
- 自包含:JWT 负载中包含所有必要的信息,不需要在每次请求时访问数据库。
- 安全性:JWT 可以签名(使用 HMAC 或 RSA 算法),确保数据的完整性和真实性。通过加密(例如 JWE)还可以保证数据的机密性。
结构组成:
JWT 由 Header、Payload、Signature(签名) 三部分组成,其中 Header 和 Payload 都是 JSON 格式( JWT 中的 J ):
- Header : 描述 JWT 的元数据,定义了生成签名的算法以及
Token
的类型。 - Payload : 用来存放实际需要传递的数据
- Signature(签名):服务器通过 Payload、Header 和一个密钥 (Secret) 使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。
编码之后的 JWT 形式是一个很长的字符串,中间用点(.
)分隔成三个部分,写成一行(里面没有换行),类似下面这样:
Header.Payload.Signature
关于 JWT 三部分的内容就不多讲了,官网有详细介绍。
jwcrypto 使用
我们可以使用 Python 的 jwcrypto
库来生成和验证 JWT、加密和解密数据,以及签名和验证签名等操作。
jwcrypto
提供了一系列功能,包括但不限于:
- 生成和验证 JWT:可以使用
jwcrypto
生成 JWT,并在接收端验证 JWT 的有效性。 - 加密和解密数据:支持使用不同的算法对数据进行加密和解密,例如 AES、RSA 等。
- 签名和验证签名:支持使用不同的算法对数据进行签名,并在接收端验证签名的有效性。
- 密钥管理:支持生成和管理密钥对、公钥和私钥,以及密钥的导入和导出。
安装 jwcrypto
:
pip install jwcrypto
生成一个带有签名的 JWT,其中包含了指定的用户 ID:
from jwcrypto import jwt,jwk
# 使用 RSA 算法生成一个 2048 位的密钥对。
key = jwk.JWK.generate(kty='RSA', size=2048)
payload = {
'user_id': 123}
# 创建一个 JWT 对象,并指定其头部(header)为使用 RS256 算法进行签名。
token = jwt.JWT(header={
'alg': 'RS256'}, claims=payload)
# 使用之前生成的密钥对 JWT 进行签名。
token.make_signed_token(key)
生成 RSA 密钥对并导出公私钥:
from jwcrypto import jwk
# 生成 RSA 密钥对
key = jwk.JWK.generate(kty='RSA', size=2048)
# 导出公钥和私钥
public_key = key.export_public()
private_key = key.export_private()
# 打印公钥和私钥
print("公钥:")
print(public_key)
print("\n私钥:")
print(private_key)