JWT

最新推荐文章于 2025-03-24 09:00:00 发布
最新推荐文章于 2025-03-24 09:00:00 发布
阅读量671 收藏
点赞数 1
分类专栏: jwt 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Achaoll/article/details/112640651
版权
本文介绍了JWT(JSON Web Token)的结构和使用方法,包括Header、Payload和Signature三部分的详细解释,以及如何进行签名和校验。还提到了Python中使用pyjwt库进行JWT操作的示例,包括encode和decode函数的使用,并通过示例展示了过期时间的处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,header

​ 格式为字典-元数据格式如下

{‘alg’:‘HS256’, ‘typ’:‘JWT’}
#alg代表要使用的 算法
#typ表明该token的类别 - 此处必须为 大写的 JWT
1
2
3
​ 该部分数据需要转成json串并用base64 加密

​ 2,payload

​ 格式为字典-此部分分为公有声明和私有声明

公共声明:JWT提供了内置关键字用于描述常见的问题
1
此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下:

{‘exp’:xxx, # Expiration Time 此token的过期时间的时间戳
‘iss’:xxx,# (Issuer) Claim 指明此token的签发者
‘aud’:xxx, #(Audience) Claim 指明此token的
‘iat’:xxx, # (Issued At) Claim 指明此创建时间的时间戳
‘aud’:xxx, # (Audience) Claim 指明此token签发面向群体
}
1
2
3
4
5
6
​ 私有声明:用户可根据自己业务需求,添加自定义的key,例如如下:

{‘username’: ‘guoxiaonao’}
1
​ 公共声明和私有声明均在同一个字典中;转成json串并用base64加密

​ 3,signature 签名

​ 签名规则如下:

​ 根据header中的alg确定 具体算法,以下用 HS256为例

​ HS256(自定义的key , base64后的header + b’.’ + base64后的payload)

​ 解释:用自定义的key, 对base64后的header + b’.’ + base64后的payload进行hmac计算

2,jwt结果格式
​ base64(header) + b’.’ + base64(payload) + b’.’ + base64(sign)

​ 最终结果如下: b’eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6Imd1b3hpYW9uYW8iLCJpc3MiOiJnZ2cifQ.Zzg1u55DCBqPRGf9z3-NAn4kbA-MJN83SxyLFfc5mmM’

import base64
import json
import copy
import time
import hmac
class JWT:
def init(self):
pass

@staticmethod
def encode(payload,key,exp=300):
    #init header
    header = {'alg':'HS256','typ':'JWT'}
    #将header 转成json串
    header_json = json.dumps(header,sort_keys=True,separators=(',',':'))
    #base64 - json串
    header_bs = base64.urlsafe_b64encode(header_json.encode())

    #init payload {'username':'guoxiaonao'}
    payload = copy.deepcopy(payload)
    payload['exp'] = time.time() + exp
    payload_json = json.dumps(payload,sort_keys=True,separators=(',',':'))
    payload_bs = base64.urlsafe_b64encode(payload_json.encode())

    if isinstance(key,str):
        key = key.encode()

    #sign
    hm = hmac.new(key,header_bs+ b'.' +payload_bs,digestmod='SHA256')
    hm_bs = base64.urlsafe_b64encode(hm.digest())

    return header_bs + b'.' + payload_bs + b'.' + hm_bs

if name == ‘main’:

res = JWT.encode({'username':'guoxiaonao',},'123456')
print(res)

结果:
b’eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjkzMTIyMjAuNjIyODg3LCJ1c2VybmFtZSI6Imd1b3hpYW9uYW8ifQ==.eqOdC9mh-puGT3Dx-KKCVtEWByplZeKVLgx0a_NRYsw=’
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
3,校验jwt规则
​ 1,解析header, 确认alg

​ 2,签名校验 - 根据传过来的header和payload按 alg指明的算法进行签名,将签名结果和传过来的sign进行对比,若对比一致,则校验通过

​ 3,获取payload自定义内容
4,若payload中含有exp,则校验过期时间

4,pyjwt
​ 1,安装 pip3 install pyjwt

方法 参数说明 返回值
encode(payload, key, algorithm) payload: jwt三大组成中的payload,需要组成字典,按需添加公有声明和私有声明
例如: {‘username’: ‘guoxiaonao’, ‘exp’: 1562475112}
参数类型: dict token串
返回类型:bytes
key : 自定义的加密key
参数类型:str
algorithm: 需要使用的加密算法[HS256, RSA256等]
参数类型:str
decode(token,key,algorithm,) token: token串
参数类型: bytes/str payload明文
返回类型:dict
key : 自定义的加密key ,需要跟encode中的key保持一致
参数类型:str
algorithm: 同encode
issuer: 发布者,若encode payload中添加 ‘iss’ 字段,则可针对该字段校验
参数类型:str 若iss校验失败,则抛出jwt.InvalidIssuerError
audience:签发的受众群体,若encode payload中添加’aud’字段,则可针对该字段校验
参数类型:str 若aud校验失败,则抛出jwt.InvalidAudienceError
PS: 若encode得时候 payload中添加了exp字段; 则exp字段得值需为 当前时间戳+此token得有效期时间, 例如希望token 300秒后过期 {‘exp’: time.time() + 300}; 在执行decode时,若检查到exp字段,且token过期,则抛出jwt.ExpiredSignatureError

In [1]: import jwt

In [2]: jwt.encode({‘username’:‘guoxiaonao’},‘123456’,algorithm=‘HS256’)
Out[2]: b’eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6Imd1b3hpYW9uYW8ifQ.kgWAwfADg3M79kr0rX3GW5zrkFdpUK2Uq_9qnQ9Ub4I’

In [3]: s = jwt.encode({‘username’:‘guoxiaonao’},‘123456’,algorithm=‘HS256’)

In [4]: jwt.decode(s,‘123456’,algorithm = ‘HS256’)
Out[4]: {‘username’: ‘guoxiaonao’}

这里面的’123456’是key,这个调包还是比较方便的~
1
2
3
4
5
6
7
8
9
10
11
我自己写的.py文件,可以切换time.sleep()来查看不同的结果,假如成功就会解析出信息,假如token过时,就会报错

import time
import jwt
def make_token(username, expire=3):
key = ‘123456’
now_t = time.time()
payload = {‘username’: username, ‘exp’: now_t + expire}
return jwt.encode(payload, key, algorithm=‘HS256’)

def func():
try:
b = make_token(‘123’)
# time.sleep(2)
time.sleep(4)
a = jwt.decode(b,‘123456’,algorithms=‘HS256’)
print(a)
except Exception as e:
print(e)

func()

jwt加解密 Java_使用JWT简化http接口鉴权,告别烦人的加密、解密代码吧
weixin_33406440的博客
02-26 819
在项目开发过程经常对接其他系统和被其他系统对接,发现很多系统都有一套自己的鉴权规则,还不提供库或代码,只有文字描述,经常需要自己实现鉴权方法,这真是太低效了。本文介绍一个在项目中使用一个成熟稳定的开源框架JWT( JSON Web Token )。哎呀,不好意思,还是在写鉴权哎。 希望不要烦到你哦详细地址在:https://jwt.io/ 。JWT的特点有:简单:有各种语言的sdk和样例,不需要自...
JWT使用
海里鱼的技术博客
09-14 1400
Json Web Token(JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 什么场景使用JWTPermalink 在前后端分离情况下前端的每一次请求都会携带指定url地址和参数, 从而很可能被不法分子根据指定的url来仿照前端直接请求后端,造成性能与数据的流失 , 只需更换一些参数
JWT的Java使用 (JJWT)
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWT在Java中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWT 在Java中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
JWT令牌——详解(保姆式解析代码教学)
最新发布
cnjdd的博客
03-24 2560
等号它是一个补位的符号。指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。运行测试方法,输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。指的是它能够以较小的体积包含所有的信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
Java实现JWT
天涯明月
10-19 2704
JWT(JSON Web Token) JWT在web环境中通常作为一种用户凭证,它是一个以.分隔,由heaer.payload.signature组成的字符串,其中每个部分都经过Base64编码。header包含token采用的算法、类型(JWT)、KeyId等信息,payload中包含token的发行人iss、过期时间exp、业务信息等(比如用户ID、昵称等),signature是对(header.payload)的Base64组合串用密钥加密得到的摘要,代表header.payloa....
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
.NET 9.0 Web API 中实现 Scalar 接口文档及JWT集成
02-20
.NET 9.0 Web API中集成Scalar接口文档和JWT是一项非常实用的技术实践,它允许开发者在构建Web API的同时,也能够提供一个详尽的接口文档,并且通过JWT(JSON Web Tokens)来实现安全的用户认证机制。随着Swagger...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
网络安全 - JWT 密钥爆破 - CrackingJWTKeys.py
09-29
JWT(JSON Web Token)是一种广泛用于身份验证和信息交换的开放标准。然而,JWT的安全性在很大程度上依赖于其签名的有效性,而签名的有效性又依赖于密钥的保密性。因此,保护JWT密钥不被破解至关重要。`...
Delphi JOSE and JWT Library
03-03
**Delphi JOSE and JWT Library 知识点详解** JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,广泛应用于分布式系统、API安全等领域。它通过将用户信息编码为一个安全的JSON对象,该对象可以被签名,也...
推荐使用:jwt-decode - 简单易用的JWT解码库
gitblog_00038的博客
05-11 2596
推荐使用:jwt-decode - 简单易用的JWT解码库 项目地址:https://gitcode.com/gh_mirrors/jw/jwt-decode 在现代Web开发中,JSON Web Tokens(JWTs)被广泛用于身份验证和授权,以确保数据的安全传输。为此,我们强烈推荐一个轻量级、易于使用的JavaScript库——jwt-decode。这个库能帮助你在浏览器环境中轻松解码Bas...
java加密算法之JWT
剑行歌之
06-04 1万+
加密 字符串 public static String token(String subject, String secretKey, Date date) { Key key = decodeKey(secretKey); String token = Jwts.builder().setExpiration(date).setSubject(subject).signWith(SignatureAlgorithm.HS256, key).compact(); String bas
JWT加密详解
qq_37647812的博客
10-07 5049
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密来进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
JWT 加密解密
xyx_0300的博客
05-12 5189
1.1 什么是JWT JSON Web Token(JWT)是一个非常轻巧的规范。 这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 简称JWT,在HTTP通信过程中,进行身份认证。 我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。 因此需要对访问的客户端进行识别,常用的做法是通过session机制: 客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,
Python实现JWT加解密
students33的博客
01-15 1538
JWT(JSON Web Tokens)是一种用于在网络应用环境间安全地传输信息的简洁的、URL安全的令牌标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
fastapi jwt加密解密示例 encode decode
nongcunqq的博客
12-03 706
from jose import jwt encode_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') print(encode_jwt) decode_jwt = jwt.decode(encode_jwt, 'secret', algorithms='HS256') print(decode_jwt) 参考 https://pyjwt.readthedocs.io/en/stable/
使用Python生成和解码JWTToken
03-01 5855
一种用以产生访问令牌(token)的开源标准;是目前Token鉴权机制下最流行的方案。PyJWT是一个Python库,官方文档, 安装如下:pip install pyjwt JWT编码:先上一张官方的图 举个例子: def encode_token(): payload = { 'exp': datetime.now() + timedelta(minutes=30), # 令牌过期时间 'username': 'BigFish' # 想要传递的信息,如用户名..
java decode jwt_Java DecodedJWT.getSubject方法代码示例
weixin_31688873的博客
03-04 1231
import com.auth0.jwt.interfaces.DecodedJWT; //导入方法依赖的package包/类@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值