JWT---Python使用JWT感悟(网站基本业务实现)

最新推荐文章于 2025-09-12 08:30:00 发布
原创 最新推荐文章于 2025-09-12 08:30:00 发布 · 608 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#JWT #Python

本文介绍了JWT、JWS和JWE的基本概念,并重点讲解了Python中使用JWT进行网站登录认证的实践,包括JWT的生成、验证、有效期管理以及refresh_token的使用,确保用户登录状态的持久化。同时,文中还讨论了JWT禁用策略,防止密码修改后旧令牌仍能使用的问题。

1.JWT的介绍:

  • JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。
  • 官方文档

2.JWT && JWS && JWE

  • JWT包括JWS和JWE,如下图
    三者关系图
  • JWS简单介绍:
    • JSON Web Signature是一个有着简单的统一表达形式的字符串
    • JWS包括HeardPayloadSignature三部分
  • JWE简单介绍:
    • 相对于JWS,JWE则同时保证了安全性与数据完整性。JWE由五部分组成:
      • HeardJWE Encrypted KeyInitialization VectorCiphertextAuthentication Tag
    • 具体生成步骤为:
      1.JOSE含义与JWS头部相同。
      2.生成一个随机的Content Encryption Key (CEK)。
      3.使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
      4.生成JWE初始化向量。
      5.使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。
      6.对五个部分分别进行base64编码。
      可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。

3.Python的JWT

  • itsdangerous
    • JSONWebSignatureSerializer
    • TimedJSONWebSignatureSerializer (可设置有效期)
  • pyjwt
  • pyjwt使用
    • 1.安装
      • pip install pyjwt
    • 2.例子(官方)
      >>> import jwt

>>> encoded_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')
>>> encoded_jwt
'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg'

>>> jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
{'some': 'payload'}
    • 3.命令行
      #   pyjwt [options] INPUT
pyjwt --key=secret decode TOKEN
pyjwt decode --no-verify TOKEN

4.举个栗子(运用在网站上)

  • ①.需求:实现简单的网站业务逻辑,有首页,个人中心,登录。进行分析
  • ②.初级分析
    • 1.不需要登录的页面,如:首页。
    • 2.需要登陆的网页,如:个人中心。
    • 3.登录页面登陆时,服务端返回给客户端携带用户信息以及有效期的token。
    • 4.当用户想访问个人中心时,客户端将token发送给服务端,若token为空以及没有token字段,都跳转到登录界面。
    • 5.如果token存在,需要检测token的有效期,如果token失效以及token错误,都跳转用户登录页面,重新登陆,重新获取新的token。
  • ③.中级分析
    • 1.当客户端传递给服务端token时,如果token错误,应该和空token归为一类,都需要返回到登录页面,登录以获取token。
    • 2.若token过期(token需要频繁更换,否则有可能会被窃取破解),此时如果让用户去登陆,会显得非常麻烦,毕竟在逐渐智能化的时代,方便快捷的网页应用才会深得人心。借鉴wechat类APP应用几乎是登录一次,一年半载都不需要用户手动输入密码频繁登录。
    • 3.此时,可以想到的是在用户进行首次登陆时,返回给客户端两个token。一个token用于平常验证,过期时间短。另一个未过期(此token过期时间较长)refresh_token用于当token过期时,换取新的token值,以及一个新的refresh_token。
      • 为什么要返回一个新的refresh_token呢?
      • 答:保证token和refresh_token的状态时同生型,即重新刷新refresh_token的过期时间,能够循环往返,达到登陆状态持久化。
  • 四.深入分析(注:此时只把refresh_token的业务逻辑完善。)
    • 0.(承接初级分析1,2,3,4,其中3处服务端需要返回客户端token,refresh_token。4处需要加入token错误判断)
    • 1.如果token存在且正确,直接进入个人中心页面。
    • 2.如果token存在却过期,就需要给客户端发送相应以及携带专属响应状态码。
    • 3.客户端接收到响应状态后,紧接着将refresh_token发送给服务端。服务端接收到refresh_token,判断是否存在,若不存在,跳转登陆页面。
    • 4.若存在,判断refresh_token是否过期(将要过期【可有可无】)以及是否正确。
    • 5.若过期或者不正确(因为jwt.decode(refresh_token)会判断过期时间以及正确与否的判断),则跳转到登录界面,进行登录。
    • 5.若refresh_token未过期并且正确,则换取新的token值以及新的refresh_token值。

5.上代码!!!

import datetime
import json
from time import mktime
from rediscluster import RedisCluster
from flask_sqlalchemy import SQLAlchemy
import jwt
from flask import Flask, request, g, jsonify, redirect, url_for
from flask_restful import Api, Resource
import random
"""
1.此处采用了redis集群以及flask,mysql
"""

# 配置类
class Config(object):
    key = 'woobrain'
    algorithm = 'HS256'
    exp_time = {
        'days': 12,
        'hours': 2,
        'minutes': 3,
        'seconds': 4
    }
    DATE_HOURS = datetime.datetime.now() + datetime.timedelta(hours=2)
    DATE_DAYS = datetime.datetime.now() + datetime.timedelta(days=14)
    TIME_CHUO = mktime(datetime.datetime.now().timetuple())
	#链接mysql数据库
    SQLALCHEMY_DATABASE_URI = 'mysql://root:mysql@127.0.0.1:3306/user'


app = Flask(__name__)
app.config.from_object(Config)
db = SQLAlchemy(app=app)
api = Api(app)
# redis集群
REDIS_CLUSTER = [
    {'host': '127.0.0.1', 'port': '7000'},
    {'host': '127.0.0.1', 'port': '7001'},
    {'host': '127.0.0.1', 'port': '7002'},
]

# 定义模型类
class UserInfo(db.Model):
    __tablename__ = 'user_info'
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(20))
    password = db.Column(db.String(20))

    def __repr__(self):
        return self.username

# 登录生成token函数
def login_token(username):
    token = jwt.encode({'username': username,
    					'count':random.random(),
                        'exp': Config.DATE_HOURS},
                       key=Config.key, algorithm=Config.algorithm)
    refrash_token = jwt.encode({'username': username,
                                'exp': Config.DATE_DAYS,
                                'count':random.random(),
                                'token': True},
                               key=Config.key, algorithm=Config.algorithm)
    return token.decode(), refrash_token.decode()

# 检查客户端发来的token
def check_login(token):
    try:
        user_info = jwt.decode(token, key=Config.key)
    except Exception:
        return None
    else:
        return user_info


# 抽取
# 获取token
def check_token():
    breare_token = request.headers.get('Authorization')
    username = json.loads(request.data.decode()).get('username')
    key = 'user:{}:token'.format(username)
    if breare_token:
        token_list = breare_token.split(' ')
        if len(token_list) == 2:
            token = token_list[1]
            redis_con = RedisCluster(startup_nodes=REDIS_CLUSTER)
            res = redis_con.get(key)
            if token == res.decode():
                user_info = check_login(token)
                return user_info
    return None


# 获取用户信息
# 在获取请求之前进行的操作
@app.before_request
def UserInfoToken():
    # 前端给后端传入token时,形式是
    # Authorization:Bearer token
    user_info = check_token()

    if user_info:
        # 不会抛出错误的get
        if user_info.get('token') is None:
            g.username = user_info['username']
        else:
            return redirect('/login')
    else:
        g.username = None

# 装饰器进行token视图判断
def loginverify(func):
    def wrapper(*args, **kwargs):
        if g.username:
            return func(*args, **kwargs)
        else:
            print(g.username)
            return {'msg': 'token error'}, 401

    return wrapper


#首页视图 
class IndexView(Resource):
    def get(self):
        return {'msg': 'ok', 'index': 'index ....'}


# 登录视图
class LoginView(Resource):
    def get(self):
        return {'msg': 'ok', 'data': '这是登录'}

    def post(self):
        data = json.loads(request.data.decode())
        username = data.get('username')
        password = data.get('password')
        user = UserInfo.query.get(1)
        redis_con = RedisCluster(startup_nodes=REDIS_CLUSTER)
        if username == user.username and password == user.password:
            key = 'user:{}:token'.format(username)
            token, refrash_token = login_token(username)
            redis_con.setex(key, token, 6000)
            return {'msg': 'ok', 'data': {'token': token, 'refrash_token': refrash_token, 'exp': Config.TIME_CHUO}}


# 个人中心视图
class CenterVerView(Resource):
    method_decorators = [
        loginverify
    ]

    def get(self):
        return {'msg': 'ok', 'username': g.username}


# refresh_token视图
class RefreshTokenView(Resource):
    def get(self):
        user_info = check_token()
        if user_info:
            if user_info.get('token') is not None:
                print(user_info.get('token'))
                new_token, new_refresh_token = login_token(g.username)
                return {'msg': 'ok',
                        'data': {'token': new_token, 'refresh_token': new_refresh_token, 'exp': Config.TIME_CHUO}}

        return redirect('/login')



class PasswdVerify(Resource):
    def put(self):
        data = json.loads(request.data.decode())
        username = data.get('username')
        o_password = data.get('o_password')
        n_password = data.get('n_password')
        user = UserInfo.query.get(1)
        redis_con = RedisCluster(startup_nodes=REDIS_CLUSTER)
        if username == user.username and o_password == user.password:
            key = 'user:{}:token'.format(username)
            user.password = n_password
            db.session.commit()
            token, refrash_token = login_token(username)
            redis_con.setex(key, token, 6000)
            return {'msg': 'ok', 'data': {'token': token, 'refrash_token': refrash_token, 'exp': Config.TIME_CHUO}}


api.add_resource(IndexView, '/')
api.add_resource(LoginView, '/login')
api.add_resource(CenterVerView, '/token')
api.add_resource(RefreshTokenView, '/refresh_token')
api.add_resource(PasswdVerify, '/verifypasswd')
print(app.url_map)

if __name__ == '__main__':
    # db.create_all()
    app.run(debug=True, host='192.168.179.131')

6.解惑

  • 1.上述代码加入了JWT禁用,当用户修改密码的时候,需要让之前的token和refresh_token过期,生成新的。这就是为什么用到了redis,使用集合set,key为user:{username}:token,value为token。
  • 2.由于在进行登录时,我让token去查询redis数据库,所以可进行判断。这时候问题出现了,token和refresh_token几乎没什么不同,所以当进行密码修改时,字段几乎没有什么变动,所以,可能出现了token值一直不变的情况,此时想到使用一个随机值充当一个字段。这时候就加入了’count’:random.random()。产生随机浮点数。这样就解决了更改密码时token值可能不变的问题,真正的实现了JWT禁用。

7.初来乍到,如有不足之处,还请指出,共同进步。

【AI】GPT-5博士级AI使用教程及国内平替方案
funfan的博客
08-18 1073
【AI】GPT-5博士级AI使用教程及国内平替方案
腾讯面试经历:程序职业生涯学习成长的宝贵财富
AI天才研究院
06-05 810
本文聚焦"腾讯面试经历"这一具体场景,通过复盘作者从简历投递到终面通过的完整过程,提炼出技术能力、思维方式、职业认知三个维度的成长启示。内容覆盖面试前的准备策略、面试中的典型问题解析、面试后的反思沉淀,以及这些经验如何反哺日常工作与长期职业发展。本文将按照"故事引入→核心能力拆解→实战案例分析→成长启示总结"的逻辑展开。通过真实的面试场景(如算法题、系统设计题、项目深挖),讲解腾讯面试考察的底层能力模型;结合具体代码与设计方案,展示"如何将日常学习转化为面试竞争力";最后提炼出可复用的职业成长方法论。
python simplejwt
weixin_42015168的博客
08-03 86
使用 Python SimpleJWT 实现 JWT 身份验证 在现代 web 应用中,身份验证是非常重要的。使用 JWT(JSON Web Tokens)是一种流行的身份验证方法。本文将向你展示如何使用 Python 的 SimpleJWT 实现 JWT 身份验证。我们将系统地分步进行。 整体流程 下面的表格展示了实现 ...
Python3使用jwt的方法
什么都干的派森
12-02 1658
安装jwt依赖pyjwt2+的版本兼容python3+pyjwt1+的版本兼容python2+pyjwt2+和pyjwt1+的使用方法有差异,本人写的是pyjwt2+的使用方法,如果使用pyjwt1+的话本方法应该跑不通。
FastAPI实现JWT鉴权的几种方法
最新发布
EvanSun_ 的博客
09-12 398
JWT令牌实现指南 本文介绍了JSON Web Tokens(JWT)的实现过程,包括: 依赖安装:关键库包括jwtpython-jose和passlib 密码处理:使用Bcrypt算法进行密码哈希和验证 令牌生成:通过随机密钥、签名算法和过期时间设置创建JWT令牌 令牌验证:实现用户校验和令牌解密功能,处理各种异常情况 提供了完整的代码示例,包括用户模型定义、密码哈希函数、令牌生成/验证函数及登录API实现。支持通过Header或HTTPBearer两种方式获取令牌,并包含详细的错误处理机制。
Python面试者必看,245道经典Python面试题及答案解析,可下载
weixin_58753619的博客
02-08 2258
随着近些年机器学习、云计算等技术的发展,Python的职位需求越来越高。那么提前掌握最新的python面试题技巧,将有助于在求职中取得成功。 今天给大家分享一份精心整理的《Python面试大全》,资料包含245道面试题,包括文件操作、数据类型、企业面试题、函数、正则表达式、面向对象、爬虫、Django、数据库等等,供大家参考! 【领取方式在文末!!】 文档目录 数据类型 企业面试题 内存管理与垃圾回收机制 函数 设计模式 面向对象 正则表达式 系统编程 网络编程 Django 爬虫 数据库 数据
python_jwt,一个超酷的 Python 库!
涛哥聊Python
03-20 1916
python_jwt是一个Python库,用于生成、解析和验证JSON Web Tokens(JWT)。它完全符合JWT标准规范(RFC 7519),并提供了简单而强大的API,使得用户可以轻松地在Python应用中实现JWT功能。符合标准规范:python_jwt库完全符合JWT标准规范,保证了生成的JWT具有广泛的兼容性和可互操作性。灵活性:python_jwt库提供了丰富的配置选项和扩展功能,使得用户可以根据自己的需求定制JWT的生成和验证过程。安全可靠。
Python用户认证JWT——PyJWT
XerCis的博客
09-08 4838
PyJWTPython编解码JWT的库。JWT是JSON Web Token,基于RFC7519,用于跨域认证 ,便于服务器集群认证。服务器认证后,生成一个JWT返回客户端,之后客户端与服务器通信都要发回这个 JSON,用于身份认证。
Blog-完整功能源代码_博客_
09-28
- **服务器端语言**:可能是基于Node.js(Express)、Python(Django或Flask)、Java(Spring Boot)或其他后端框架实现- **数据库**:MySQL、PostgreSQL或MongoDB等用于存储博客文章、用户信息、评论等数据。 ...
2021年12月31日,我回来了 | 前端面试:请分析一下京东商城的身份认证与授权 | 系统架构师 面试:如果有多个服务需要协同处理一个请求,你会选择使用什么方式进行服务之间的通信?
追光者♂:记录、分享、总结、提升,现象级专栏《Python从入门到人工智能》作者,无惧黑暗,坚信曙光
12-31 582
Hi!大家好,我是【追光者♂】!一个平平无奇的在C站记录个人学习与工作中的小bug的,小技巧的平凡的普通人。 2021.3—2021.12, 9个月以来,博主一直在准备考研,无论结果如何,这一路都不后悔。 有很多话想说,暂时先编辑到此,以后有空再记录! 最后祝各位:2022新年快乐!系统架构师 面试:如果有多个服务需要协同处理一个请求,你会选择使用什么方式进行服务之间的通信? ...
博客::scroll:博客
02-09
博客是互联网上一种非常重要的信息分享和交流平台,它允许用户发布个人见解、技术教程、生活感悟等内容。在这个“博客::scroll:博客”的压缩包文件中,我们可能找到了一个完整的博客项目源代码,名为"blog-master...
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3914
一.python 对于 jwt实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
Python-JWT 项目常见问题解决方案
gitblog_00754的博客
01-01 1186
Python-JWT 项目常见问题解决方案 一、项目基础介绍 Python-JWT 是一个由 Gehirn Inc 开发的 JSON Web Token(JWT)的 Python 实现JWT 是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。Python-JWT 支持多种加密算法,包括对称加密和不对称加密算法,可以在 Python 3.6 及以上版...
java.text.ParseException: Unparseable date:
yiluoAK_47的专栏
01-17 7836
SimpleDateFormat sdf = new SimpleDateFormat("yyyyMMddHHmmss");这里的格式是 4位年 2位月 2位日 2位时 2位分 2位秒 共14位 但是你传入的字符串 只有12位 转换就出错了201104132200变成20110413220000就对了 输入的字符串要和你想要的格式长度神马的都一样才行 SimpleDateFormat sdf =
Unhandled exception:java.text.ParseException
热门推荐
天天吞吞吐吐跳跳糖
10-14 2万+
最近遇到一个这样的错,在我敲完这两句话后,下面自动跳红线了那么这是怎么回事呢? 解决办法: 在方法声明后加`throws Exception` 为什么要这么写: ”throws“的作用是不在本方法中进程异常处理,而是抛给调用此方法的类中进行处理。 解释:throws后,调用的方法必须进行此调用方法类的异常捕获,也可以继续向上抛出,最后一直到main方法上,此时虽然进行异常上抛,但是如果出现错误...
PyJWT使用
分享一点有用的知识
06-28 2288
PyJWT使用
chatgpt赋能pythonPython中的JWT解码(Decode)
laingziwei的博客
06-09 806
以上只是chatgpt能力的冰山一角。文章没有在chatgpt生成的基础上进行任何的修改。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
Pythonjwt解码
诗与浪子的博客
10-07 2019
【代码】jwt解码。
Python使用JWT的详细教程
hhq2002322的博客
07-30 5172
JWT(JSON Web Tokens)是一种用于安全传输信息的URL安全令牌标准,由Header、Payload和Signature三部分组成。Header包含算法和类型信息,Payload存储用户数据,Signature用于验证完整性。在Python中可通过PyJWT实现JWT的生成与验证:使用jwt.encode()生成带有效期和密钥的令牌,通过jwt.decode()验证令牌有效性。示例代码演示了如何创建有效期为12小时的JWT令牌,并使用相同密钥进行解密验证。JWT广泛应用于身份认证领域,能有效
掌握Python中的JWT实现python-jwt库详解
使用python-jwt库时,可以通过from_dict()和from_pem()等方法从不同的格式中加载JSON Web Keys(JWK)。JWK是用于在JWT中表示密钥的JSON数据结构,可以用来在公钥加密或HMAC算法中签名和验证令牌。 该库还支持JWT...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值