【Python】PyJWT:轻松实现 JSON Web Token (JWT) 网络令牌的生成与验证

最新推荐文章于 2025-10-24 15:30:00 发布
原创 最新推荐文章于 2025-10-24 15:30:00 发布 · 3.1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #json #网络 #开发语言 #前端 #pip #ipython

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

点关注开车不迷路

PyJWT 是一个用 Python 实现的轻量级库,用于处理 JSON Web Token (JWT)。JWT 是一种安全的方式,用来表示双方之间经过签名的令牌,通常用于认证和授权场景。PyJWT 简化了 JWT 的生成和验证过程,使得开发者能够轻松地在 Python 项目中集成 JWT 功能。

在这篇博客中,我们将深入介绍 PyJWT,展示如何生成、解码和验证 JWT 令牌,并且会通过代码示例演示如何在实际项目中使用 PyJWT 进行认证和授权。

在这里插入图片描述

华丽的分割线

➰缘起


标题1

💯 什么是 JWT?

JWT 是一种将认证信息或用户信息以 JSON 格式进行编码并加密的令牌。JWT 令牌通常由三部分组成:

  • Header(头部):声明令牌的类型和签名算法。
  • Payload(负载):存储用户信息或其他数据。
  • Signature(签名):对前两部分进行签名,以确保数据的完整性和安全性。

一个典型的 JWT 结构如下:

Header.Payload.Signature

为什么选择 PyJWT?

  1. 轻量且易于使用:PyJWT 非常简洁,提供了简单的接口来生成和验证 JWT。
  2. 支持多种算法:PyJWT 支持多种签名算法,包括 HMAC 和 RSA,使得开发者可以根据需求选择合适的加密方式。
  3. 集成简单:无论是 Web 项目还是 API 服务,PyJWT 都可以轻松与 Python 的 Flask、Django 等框架集成。

标题2

💯 安装 PyJWT

要在项目中使用 PyJWT,可以通过 pip 进行安装:

pip install pyjwt

安装完成后,即可在你的 Python 项目中使用 PyJWT 进行令牌的生成和验证。


标题3

💯 PyJWT 的基本用法

1. 生成 JWT 令牌

使用 PyJWT,生成 JWT 令牌非常简单。你只需要定义一个 payload(即令牌中包含的信息),然后使用 jwt.encode() 方法对其进行签名。

import jwt
import datetime

# 定义一个 payload
payload = {
    "user_id": 123,
    "username": "test_user",
    "exp": datetime.datetime.utcnow() + datetime.timedelta(minutes=30)  # 令牌有效期为 30 分钟
}

# 使用密钥进行签名
secret = 'my_secret_key'

# 生成 JWT
token = jwt.encode(payload, secret, algorithm='HS256')

print(f"生成的 JWT 令牌:{token}")

在这个示例中,我们定义了一个包含用户 ID 和用户名的 payload,并且设置了令牌的过期时间为 30 分钟。jwt.encode() 会使用 HMAC-SHA256 算法对 payload 进行签名,生成最终的 JWT 令牌。

2. 解码 JWT 令牌

一旦生成了 JWT 令牌,在验证时我们可以使用 jwt.decode() 方法来解码令牌,并提取其中的 payload 数据。

# 解码 JWT
decoded_payload = jwt.decode(token, secret, algorithms=['HS256'])

print(f"解码后的 payload:{decoded_payload}")

通过解码,我们可以获得令牌中存储的用户信息或其他数据。

3. 验证 JWT 令牌

JWT 令牌通常用于认证系统中,因此在解码时,我们需要确保令牌的签名和内容是有效的。如果签名不匹配,或令牌已过期,解码将失败并抛出异常。

try:
    # 验证并解码 JWT
    decoded_payload = jwt.decode(token, secret, algorithms=['HS256'])
    print(f"有效的令牌,payload:{decoded_payload}")
except jwt.ExpiredSignatureError:
    print("令牌已过期")
except jwt.InvalidTokenError:
    print("无效的令牌")

在这个示例中,我们使用 try-except 块来处理令牌的有效性。如果令牌已过期或签名无效,PyJWT 会抛出相应的异常。


标题4

💯 PyJWT 支持的签名算法

PyJWT 支持多种签名算法,常见的有:

  • HS256:基于 HMAC 和 SHA256 的对称加密算法。
  • RS256:基于 RSA 的非对称加密算法。

以下是使用 RSA 私钥和公钥进行签名和验证的示例:

1. 使用 RS256 生成 JWT 令牌

# 加载私钥
with open('private.pem', 'r') as f:
    private_key = f.read()

# 生成 JWT
token = jwt.encode(payload, private_key, algorithm='RS256')

2. 使用公钥验证 JWT 令牌

# 加载公钥
with open('public.pem', 'r') as f:
    public_key = f.read()

try:
    # 使用公钥验证令牌
    decoded_payload = jwt.decode(token, public_key, algorithms=['RS256'])
    print(f"有效的令牌,payload:{decoded_payload}")
except jwt.InvalidTokenError:
    print("无效的令牌")

标题5

💯 PyJWT 在 Web 应用中的实际应用

PyJWT 非常适合用于 Web 应用中的身份认证和授权。以下是如何在 Flask 中使用 PyJWT 来保护 API 接口的示例。

1. 使用 PyJWT 进行用户认证

from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)
secret = 'my_secret_key'

# 用户登录接口
@app.route('/login', methods=['POST'])
def login():
    username = request.json.get('username')
    password = request.json.get('password')

    # 假设验证用户名和密码成功
    if username == 'test_user' and password == 'password123':
        payload = {
            "user_id": 123,
            "username": username,
            "exp": datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
        }
        token = jwt.encode(payload, secret, algorithm='HS256')
        return jsonify({"token": token})
    else:
        return jsonify({"message": "Invalid credentials"}), 401

# 受保护的 API 接口
@app.route('/protected', methods=['GET'])
def protected():
    token = request.headers.get('Authorization').split()[1]

    try:
        decoded_payload = jwt.decode(token, secret, algorithms=['HS256'])
        return jsonify({"message": f"Hello, {decoded_payload['username']}!"})
    except jwt.ExpiredSignatureError:
        return jsonify({"message": "Token has expired"}), 401
    except jwt.InvalidTokenError:
        return jsonify({"message": "Invalid token"}), 401

if __name__ == '__main__':
    app.run(debug=True)

在这个示例中,我们创建了两个接口:

  • /login:用户登录接口,成功登录后返回一个 JWT 令牌。
  • /protected:受保护的接口,只有在提供有效 JWT 令牌时才能访问。

标题6

💯 常见配置和选项汇总表

选项功能描述示例
algorithms指定签名算法algorithms=['HS256']
jwt.encode()生成 JWT 令牌jwt.encode(payload, secret, algorithm='HS256')
jwt.decode()解码并验证 JWT 令牌jwt.decode(token, secret, algorithms=['HS256'])
jwt.ExpiredSignatureError捕获令牌过期异常except jwt.ExpiredSignatureError
jwt.InvalidTokenError捕获无效令牌异常except jwt.InvalidTokenError

标题7

📥 下载地址


PyJWT 最新版 下载地址


标题8

💬 结语

PyJWT 是一个非常轻量级且功能强大的库,它为 Python 开发者提供了便捷的 JWT 生成和验证功能。通过本文的示例,你可以快速上手使用 PyJWT 并将其集成到你的认证系统中。无论是基于对称加密的 HMAC,还是基于非对称加密的 RSA,PyJWT 都能轻松应对。同时,PyJWT 的简单接口和易于扩展的特性,使得它成为 Web 应用中实现认证和授权的理想工具。

📒 参考文献


剩蛋快乐


愿者上钩

您可能感兴趣的与本文相关的镜像

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 7726
JWTJSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其中包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌
PyJwt使用
weixin_43950678的博客
11-07 2325
介绍 官网介绍https://jwt.io/introduction/ 什么是JSON Web令牌JSON Web令牌JWT)是一个开放标准(RFC 7519),它定义了一种紧凑而独立的方法,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密
PyJWTPython中处理JWT的实用指南,从入门到实战
最新发布
m0_58868237的博客
10-24 722
JWT是一种基于JSON的开放标准(RFC 7519),用于在各方之间安全传递信息。Header(头部):指定令牌类型和加密算法(如HS256、RS256);Payload(载荷):存储声明(如用户ID、过期时间等);Signature(签名):用密钥对头部和载荷进行加密,确保信息未被篡改。PyJWT的价值在于:简化JWT生成(encode)、验证(decode)和解析过程;支持多种加密算法(HMAC、RSA、EC等);自动处理过期时间、 issuer 验证等常见场景。JWT支持标准声明(如。
PyJWT,一个基于JSON的轻量级安全通信方式的python
xyh2004的博客
07-09 1757
在介绍PyJWT这个Python库之前,我们首先需要了解什么是JWTJWT,全称JSON Web Token,是一种基于JSON的轻量级安全通信方式。它允许你以JSON对象的形式在用户和服务器之间安全地传输信息。JWT通常用于身份验证和信息交换,因为它们可以被签名以确保数据的完整性和验证发送者的身份。
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3936
一.python 对于 jwt实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)生成token 仍然是可以被破译从而看到 jwt 的...
PythonPython使用Pyjwt生成Token
晴天のVlog
12-27 1010
【代码】【PythonPython使用Pyjwt生成Token
PyJWTPython实现JSON Web Token的安全编码解码
PyJWT 是一个用于实现 JSON Web TokenJWT)的 Python 库,其核心目标是为开发者提供一种简单、安全且符合标准的方式来生成验证 JWT 令牌。该库严格遵循 RFC 7519 标准,这是由互联网工程任务组(IETF)发布的...
pyjwtPython中的JSON Web令牌实现
02-05
JSON Web TokenJWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在Python中,`pyjwt`库是实现JWT...
pyjwt-Python 实现 JSON 网络令牌
09-26
pyjwtPython开发者提供了一个简单、高效且安全的处理JSON Web Tokens的方法,它使得在Web应用中实现基于令牌的认证变得非常方便。通过合理的使用pyjwt,可以极大地提高应用的安全性以及用户体验。
Web开发的身份证:JWT(json web token)令牌使用方法
liupenglove的专栏
08-21 1939
JWTJSON Web Token)是一种用于身份验证的机制,通过颁发令牌实现用户登录态保持。JWT由Header、Payload和Signature三部分组成,使用密钥签名确保安全性。工作流程包括登录生成令牌和访问资源时验证令牌。Golang实现中,需定义密钥和Claims结构,使用jwt生成验证令牌验证通常放在中间件中,确保请求安全。JWT类似于现实中的身份证验证机制,为Web服务提供安全认证方案。
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析
2401_84140580的博客
05-11 2327
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
Python-pythonjwt一个用来生成验证JSONWebTokens的模块
08-11
python-jwt:一个用来生成验证 JSON Web Tokens的模块
Python-PyJWTJSONWebToken的一个Python实现
08-11
PyJWTJSON Web Token的一个Python实现
python生成 jwt token
act50的专栏
09-11 460
django 生成jwt token
Python使用JWT的详细教程
hhq2002322的博客
07-30 5235
JWTJSON Web Tokens)是一种用于安全传输信息的URL安全令牌标准,由Header、Payload和Signature三部分组成。Header包含算法和类型信息,Payload存储用户数据,Signature用于验证完整性。在Python中可通过PyJWT实现JWT生成验证:使用jwt.encode()生成带有效期和密钥的令牌,通过jwt.decode()验证令牌有效性。示例代码演示了如何创建有效期为12小时的JWT令牌,并使用相同密钥进行解密验证JWT广泛应用于身份认证领域,能有效
Python 生成JWT
Ambition7786的博客
02-11 439
【代码】Python 生成JWT
使用Python生成和解码JWTToken
03-01 6356
一种用以产生访问令牌token)的开源标准;是目前Token鉴权机制下最流行的方案。PyJWT是一个Python库,官方文档, 安装如下:pip install pyjwt JWT编码:先上一张官方的图 举个例子: def encode_token(): payload = { 'exp': datetime.now() + timedelta(minutes=30), # 令牌过期时间 'username': 'BigFish' # 想要传递的信息,如用户名..
python-jwt 生成token
weixin_44517891的博客
04-19 819
一、安装 pip3 install pyjwt import jwt import time def get_token() payloads = { "iat": math.floor(int(time.time() * 1000) / (1000 * 3600)) * 3600, "_appId": base.appid } headers = {'alg': 'HS256', 'typ': 'JWT'}
JsonWebToken
aidikou5257的博客
01-24 273
概述 如果各位不了解 JWT,不要紧张,它并不可怕。 JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的 https://www.xxxx.com/make-friend/?f...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值