第 82 天:Python Web 开发之 JWT 简介

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 第 82 天:Python Web 开发之 JWT 简介

在之前的课程中,介绍过 Flask-Login 框架,它是基于 Session 和 Cookie 技术来实现用户授权和验证的,不过 Session 有很多的局限性,这一节介绍一种基于 token 的验证方式 —— JWT (JSON Web Token),除了对 JWT 的概念讲解之外,还有在 Flask 中简单实践


session 的局限性


基于 Session 的验证过程大体是:服务器端有一个 Session 词典,当用户验证登录后,在词典中为该用户创建一个 Session 对象,在响应( response )中返回一个 Session id,当用户下次请求时,携带 Session id,服务器从 Session 词典中可以恢复出 Session 对象,以完成用户的验证,在用 Session id 从恢复出认证实体。


从 Session 验证过程可以看出一些局限性:


  • 服务器横向扩展很困难:因为 Session 只能存活在一个服务实例中,将用户请求引导到其他服务器,将丢掉用户的登录状态



  • 携带信息量少,恢复会话信息比较耗时:Session 认证后,客户端得到 Session ID, 服务器无法从 Session ID 中得到更多信息,需要从数据库、文件系统或缓存中取得用户信息,比较耗时


  • 没有统一标准:Session 由各个服务器框架自己实现,没有统一标准,存在应用扩展困难的问题,特别加密方式,五花八门,有很大的安全隐患


token 简介


为了解决 Session 的问题,有了 token 的验证方式。


token 可以理解成票据,或者凭证,当用户得到服务器的认证后,由服务器颁发,在之后的请求时携带,免去频繁登录。


token 不同于 Session 的地方:


  • 可以独立于具体的服务器框架生成和校验



  • 可以携带更多的信息,避免对持久层的查询操作


  • 基于标准的算法可以由不同的节点完成验证



为了利用好 token 的验证机制,IEIT (互联网工程任务组),制定了基于 JSON 数据结构的网络认证方式 JWA(JSON Web Algorithms),还针对不同应用场景提出了具体协议,如 JWS、JWE、JWK 等,他们可以统称为 JWT,即 Javascript Web Token。


理解 JWA


JWA 的全称是 JSON Web Algorithms


JSON 是 Javascript 的语言的文本对象表示法,是一种独立语言环境的数据结构表示,可以用网络数据传输,在前面 RESTful 章节中,对 API 调用的返回数据格式就是 JSON。

Algorithms 本义是算法的意思,这里特指加密算法,也就是用 JSON 表示的数据,经过加密后在在服务器端和客户段之间传输。


有了数据结构和加密算法的基础,根据不同的应用场景,定义出了具体实现:


  • JWS(JSON Web Signature)对数据进行签名的,用于防止数据被篡改,传输不敏感数据的情况


  • JWE(JSON Web Encryption)对数据做了加密的,用于传输敏感数据,具有更好的安全性


  • JWK(JSON Web Key)是通过密钥对数据进行加密的方法,规定了相应的加密算法

JWT(JSON Web Token)上面 JWS、JWE 和 JWK 的总称。



JWT 简介


JWT Wiki 上的定义是:


JSON Web Token is an Internet standard for creating JSON-based access tokens that assert some number of claims.




大致意思是,JWT 是用基于 JSON 数据结构的生成包含了一些权限声明的网络访问凭证的网络标准


数据结构


JWT 由 HeaderPayloadSignature,三部分组成,像这样的形式:


eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJBdXRobGliIiwic3ViIjoiMTIzIiwibmFtZSI6ImJvYiJ9.cBo6e7Uss5__16mlqZECjHJSKJDdyisevDP5cUGvJms

换行符只是为了展示用,实际 token 中不包括换行符


Header

用于指定采用的加密算法,以及 JWT 采用的形式类型,例如:


{    "alg" : "HS256",    "typ" : "JWT"}
  • alg 指定前面所用的算法,默认为 HmacSHA256 简写为 HS256,还有 HS384、RS256 等


  • typ 是指令牌的类型,JWT 令牌的类型为 JWT


Payload

用于携带一些信息,例如用户名,过期时间 等等,例如:


{  "sub": "1234567890",  "name": "John Doe",  "admin": true}


JWT 标准定义了 7 个字段:

字段 说明
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

这些字段有实现这自由选取,也可以加入其他自定义字段


Signature


首先,需要指定一个密钥(secret)。密钥很重要,需要严格保密

然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名:



HMACSHA256(  base64UrlEncode(header) + "." +    base64UrlEncode(payload),  secret)


即先将 headerpayload 分别做 base64url 编码, 然后用 . 将他们连接成一个字符串,用加密算法,使用密钥 secret, 得到的加密结果就算签名


Base64URL 编码字符集是 Base64 字符集的子集

= 被省略、+ 替换成 -/ 替换成_

因为 token 可能通过 URL 进行传输,而=+/ 在 URL 中有特殊含义


验证


当客户端发送请求时将 token 送到服务器端,可以用和签名同样的方式,重新计算一次签名,如果和客户端送过来的签名一致,说明 token 没有被篡改,如果不一致,说明 token 已被篡改,不安全了。


由此可见,用于做签名的密钥 secret 很重要,一旦泄漏,将无法鉴别 token 的真伪


JWT 应用


关于 Python 的 JWT 实现不止一个,不同的库,不同的实现方式层出不穷,今天要讲解的是 Python 的 Authlib 库,它是一个大而全的 Python Web 验证库支持多种 Python 框架


Authlib 的 JWT


Authlib 是构建 OAuth 和 OpenID 安全连接服务器的终极 Python 库,包括了 JWS, JWE, JWK, JWA, JWT


Authlib 功能强大而丰富,今天我们只了解他的 JWT 部分,之后在介绍基于第三方认证的 OAuth 技术时还会进一步讲解


安装

使用 pip 安装


pip install Authlib

如果一切正常,可以导入 Authlib 模板,例如,引入 jwt :


>>> from authlib.jose import jwt>>>


小试牛刀


JWT 是服务器端的机制,所以可以在命令行中做测试


生成 token


>>> from authlib.jose import jwt>>> header = {'alg': 'HS256'}>>> payload = {'iss': 'Authlib', 'sub': '123', 'name': 'bob'}>>> secret = '123abc.'>>> token = jwt.encode(header, payload, secret)>>> print(token)b'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJBdXRobGliIiwic3ViIjoiMTIzIiwibmFtZSI6ImJvYiJ9.cBo6e7Uss5__16mlqZECjHJSKJDdyisevDP5cUGvJms'
  • 导入 jwt 模块
  • 定义 header,并且设置签名算法为 HS256
  • 定义 payload,作为传输信息
  • 定义 secret,注意这里只是方便演示,实际项目中最好是随机生成,并妥善保存
  • 使用 jwt 的 encode 方法,生成 token,encode 方法一次性实现了所有关于 JWT 协议的定义
  • 打印出 token,可见,被 . 分隔为三部分,前两部分是 headerpayload的 Base64Url 编码,最后一部分是 签名


解码 token

接上面的环境:


>>> claims = jwt.decode(token, secret)>>> print(claims){'iss': 'Authlib', 'sub': '123', 'name': 'bob'}>>> print(claims.header){'alg': 'HS256', 'typ': 'JWT'}>>> claims.validate()>>>
  • 用 jwt 模块的 decode 方法,利用 secrettoken 进行解码,如果签名正确,就会得到解码内容,解码对象是 authlib.jose.JWTClaims 类的实例
  • 打印出解码内容,可以看到和生成 token 时的 payload 内容一致
  • 打印出 header,可以看到 typJWT,即使用默认值
  • validate 方法用于检验 token 的有效性,比如:是否过期、主题是否一致,是否没到生效时间等等,也可以针对每种情况单独做验证,例如validate_exp 可用检验是否过期


虽然 JWT 理论很繁琐,但 Authlib 库提供了简洁的方法,让开发应用变得更高效


与客户端交互


JWT 之所有流行,有个重要原因是可以支持多种客户端,例如 浏览器和 app,JWT 标准规定,一般情况下,客户端需要将 token 放在 Http 请求的 Header 中的 Authorization 字段中,举个例子:


GET /resource HTTP/1.1     Host: server.example.com     Authorization: Bearer mF_9.B5f-4.1JqM


  • 用 GET 方式请求 /resource ,在 Header 中添加了 Authorization 字段
  • 不能直接将 token 作为 Authorization的值,必须有类型声明,这里是Bearer


Bearer 表示这个 token 是认证服务器生成的,用来做身份识别的,除此之外,IEIT 还定义了其他 认证类型,如 Bisic, Digest,可以简单理解成 Bearer 就是 JWT 的认证类型


除了通过 Http Header 类携带 token 之外,还可以通过 POST 请求主体,以及 URL 中的 querystring 来向服务器发送 token,这两种情况下,需要使用 access_token 字段来表示 token


JWT 标准建议使用 Header 方式,除非 Header 无法使用时才考虑其他方式


Flask JWT


Authlib 主要的用途在打造一个 OAuth 应用,对于单独做 JWT 的实践有些麻烦,因此我们用 flask-jwt 框架,做 JWT 的实践。


flask-jwt 和之前讲述的 flask-login 用法很像,是基于 JWT 的认证的框架,提供和很多方便实践的特性


安装 flask-jwt


pip install Flask-JWT


创建应用


为了简单,将所有代码放在 app.py 中:



from flask import Flaskfrom flask_jwt import JWT, jwt_required, current_identityfrom werkzeug.security import safe_str_cmp
# User 类,用于模拟用户实体class User(object):    def __init__(self, id, username, password):        self.id = id        self.username = username        self.password = password
    def __str__(self):        return "User(id='%s')" % self.id
# User 实体集合,用于模拟用户对象的缓存users = [    User(1, 'user1', 'abcxyz'),    User(2, 'user2', 'abcxyz'),]
username_table = {u.username: u for u in users}userid_table = {u.id: u for u in users}
# 获取认证的回调函数,从 request 中得到登录凭证,返回凭证所代表的 用户实体def authenticate(username, password):    user = username_table.get(username, None)    if user and safe_str_cmp(user.password.encode('utf-8'), password.encode('utf-8')):        return user
# 通过 token 获得认证主体的回调函数def identity(payload):    user_id = payload['identity']    return userid_table.get(user_id, None)
app = Flask(__name__)app.debug = Trueapp.config['SECRET_KEY'] = 'super-secret'
jwt = JWT(app, authenticate, identity)  # 用 JWT 初始化应用
@app.route('/protected', methods= ["GET", "POST"])  # 定义一个 endpoint@jwt_required()  # 声明需要 token 才能访问def protected():    return '%s' % current_identity  # 验证通过返回 认证主体
if __name__ == '__main__':    app.run()

运行:



$ python app.py * Serving Flask app "app" (lazy loading) * Environment: production   WARNING: This is a development server. Do not use it in a production deployment.   Use a production WSGI server instead. * Debug mode: on * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit) * Restarting with stat * Debugger is active! * Debugger PIN: 566-326-511


获取 access_token


flask-jwt 默认的获取 token 的路由是/auth,请求方式是 POST,用 JSON 传送用户名密码给服务器,例如:



$ curl -X POST -H "Content-Type: application/json" localhost:5000/auth -d '{"username":"user1","password":"abcxyz"}'{  "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.  eyJleHAiOjE...<省略>...VudGl0eSI6MX0.  M-shnDPAVdu...<省略>...LaH1EMIbrWjPto"}

如果登录凭证正确,则返回 access_token,可以看到被 . 分隔成三部分,即 JWT 的结构


使用 access_token


flask-jwt 默认通过 Header 传送 token,为了和 OAuth 生成的 JWT 做区分,默认使用JWT 作为 token 的类型,例如,用上面生成的 JWT 请求 /protected


curl -H "Authorization: jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE...<省略>...VudGl0eSI6MX0.M-shnDPAVdu...<省略>...LaH1EMIbrWjPto" localhost:5000/protectedUser(id='1')


如果 token 有效,则返回 token 对应的认证实体,这个例子中打印出了 user 实体


总结


本节课程讲解了基于 token 验证的 JWT,使用 Authlib 库对 JWT 做了实践练习,期望能帮助您更好的理解 JWT,最后通过 flask-jwt 模块,实践了 JWT 的验证方式,和使用方式。在后续的课程中还会对目前流行的第三方认证框架 OAuth 做介绍,敬请期待。


参考

示例代码:Python-100-days

目录
相关文章
|
4天前
|
设计模式 前端开发 数据库
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第27天】本文介绍了Django框架在Python Web开发中的应用,涵盖了Django与Flask等框架的比较、项目结构、模型、视图、模板和URL配置等内容,并展示了实际代码示例,帮助读者快速掌握Django全栈开发的核心技术。
74 44
|
1天前
|
JSON 安全 数据安全/隐私保护
Python认证新风尚:OAuth遇上JWT,安全界的时尚Icon👗
在当今互联网世界中,数据安全和隐私保护至关重要。Python 作为 Web 开发的主流语言,其认证机制也在不断进步。OAuth 2.0 和 JSON Web Tokens (JWT) 是当前最热门的安全认证方案,不仅保障数据安全传输,还简化用户认证流程。本文介绍如何在 Python 中结合 OAuth 2.0 和 JWT,打造一套既安全又高效的认证体系。通过 Flask-HTTPAuth 和 PyJWT 等库,实现授权和验证功能,确保每次请求的安全性和便捷性。
12 3
|
1天前
|
JSON 安全 数据安全/隐私保护
告别密码泄露!Python OAuth与JWT双剑合璧,守护你的数字资产💰
本文探讨了在Python环境中利用OAuth 2.0和JSON Web Tokens (JWT) 提高系统安全性的方法。OAuth 2.0是一种开放标准授权协议,通过用户授权和令牌颁发来保护资源访问。JWT则是一种紧凑、自包含的认证方式,用于安全传输信息。文章详细介绍了如何使用Flask-OAuthlib实现OAuth 2.0认证,以及使用PyJWT生成和验证JWT。结合这两种技术,可以构建出既安全又高效的认证体系,为数据安全提供双重保障。
9 3
|
1天前
|
JSON 安全 数据安全/隐私保护
Python安全守护神:OAuth与JWT,让黑客望而却步的魔法阵🧙‍♂️
在网络世界中,数据安全至关重要。本文介绍了如何在Python环境中使用OAuth 2.0和JSON Web Tokens (JWT) 构建安全的认证系统。OAuth 2.0是一种开放标准授权协议,允许客户端在不暴露用户凭证的情况下访问资源。JWT则是一种轻量级的数据交换格式,用于在各方之间安全地传输信息。结合两者,可以构建出既安全又高效的认证体系。文章通过Flask-OAuthlib和PyJWT库的示例代码,详细展示了实现过程。
13 2
|
2天前
|
XML 安全 PHP
PHP与SOAP Web服务开发:基础与进阶教程
本文介绍了PHP与SOAP Web服务的基础和进阶知识,涵盖SOAP的基本概念、PHP中的SoapServer和SoapClient类的使用方法,以及服务端和客户端的开发示例。此外,还探讨了安全性、性能优化等高级主题,帮助开发者掌握更高效的Web服务开发技巧。
|
5天前
|
安全 数据库 开发者
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第26天】本文详细介绍了如何在Django框架下进行全栈开发,包括环境安装与配置、创建项目和应用、定义模型类、运行数据库迁移、创建视图和URL映射、编写模板以及启动开发服务器等步骤,并通过示例代码展示了具体实现过程。
22 2
|
6天前
|
JSON API 数据格式
如何使用Python和Flask构建一个简单的RESTful API。Flask是一个轻量级的Web框架
本文介绍了如何使用Python和Flask构建一个简单的RESTful API。Flask是一个轻量级的Web框架,适合小型项目和微服务。文章从环境准备、创建基本Flask应用、定义资源和路由、请求和响应处理、错误处理等方面进行了详细说明,并提供了示例代码。通过这些步骤,读者可以快速上手构建自己的RESTful API。
18 2
WK
|
5天前
|
安全 Java 编译器
C++和Java哪个更适合开发web网站
在Web开发领域,C++和Java各具优势。C++以其高性能、低级控制和跨平台性著称,适用于需要高吞吐量和低延迟的场景,如实时交易系统和在线游戏服务器。Java则凭借其跨平台性、丰富的生态系统和强大的安全性,广泛应用于企业级Web开发,如企业管理系统和电子商务平台。选择时需根据项目需求和技术储备综合考虑。
WK
9 0
|
7天前
|
JavaScript 前端开发 Java
SpringBoot_web开发-webjars&静态资源映射规则
https://www.91chuli.com/ 举例:jquery前端框架
10 0
|
设计模式 Web App开发 存储
移动 Web 开发的10个优秀 JavaScript 框架
选择正确的 JavaScript 框架,对于开发移动 Web 应用程序是至关重要的,也是移动应用程序开发的一项重要任务。开发人员可以使用框架实现的功能高效地达到他们的开发目标。这些预实现的组件采用优秀的设计模式和最佳实践,促进应用程序以标准化的方式开发。最重要的是,它让开人员在开发过程中得心应手。
499 0
移动 Web 开发的10个优秀 JavaScript 框架