Flask实现JWT验证方式,令牌刷新

最新推荐文章于 2024-06-03 17:00:18 发布
最新推荐文章于 2024-06-03 17:00:18 发布
阅读量1.3k 收藏 7
点赞数
分类专栏: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44806438/article/details/107847223
版权
本文介绍了在前后端分离模式下,使用Flask实现JWT验证的方式,以解决跨域问题。讨论了JWT的三段式结构,并详细阐述了校验Token的过程,包括数据加密解密以及如何确保Token的有效性。同时提到了可以使用的第三方库如itsdangerous、flask_jwt_extended和pyjwt。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前后端分离模式

Flask Web验证方式(尝试过的):

  • cookie

    cookie跨域是个比较麻烦的问题

    # 在manage.py实例app后,加上钩子函数
@app.after_request
def after_request(res):
    resp = make_response(res)
    res.headers['Access-Control-Allow-Origin'] = request.origin
    res.headers["Access-Control-Allow-Headers"] = "Content-Type"
    res.headers['Access-Control-Allow-Credentials'] = 'true'
    res.headers['Access-Control-Allow-Methods'] = "GET,POST,PUT,DELETE,OPTIONS"
    res.headers['Cache-Control'] = 'no-store'
    return resp

"""
在每次请求结束,设置响应头,如果前端和后端在同一台服务器上,这样子可以解决。
如果前端的服务和后端服务不在同一台电脑,跨域问题会继续出现(没有深入)
"""

  • session

    加密版的cookie,而且移动端支持不好,一般存放在redis中

  • token

    解决跨域

    设置密文,保存于服务端。请求携带

  • JWT

    JSON Web Token

    主要使用算法实现,不用保存在服务端,解决跨域问题,

    三段字符串 格式: str1.str2.str3

    生成Token

    • 第一段字符串:固定格式 {“alg”:“HS256”, “typ”:“JWT”},转换为字符串,使用base64url加密

    • 第二段字符串:存放数据及过期时间{data":“data”, “exp”:“过期时间”},转换为字符串,使用base64url加密

    • 第三段字符串:

      • 第一段和第二段拼接起来
      • 然后使用HS256加密 (加盐)
      • 然后再对上一步结果进行base64url加密

    校验Token:

    前端请求携带token,后端对token校验

    • 获取Token,对Token进行切割
    • 对第二段进行解密,获取data信息,校验(是否过期等)
    • 将第一段和第二段进行HS256加密(加盐),判断是否和第三段相等

第三方库

  • itsdangersous
  • flask_jwt_extended
  • jwt
  • pyjwt

代码实现

基于itsdangersous实现

token及refresh_token

token_.py

import itsdangerous

SALT = "gogo"
SALT2 = "ogogosahfjbkbfskabk"

t = itsdangerous.TimedJSONWebSignatureSerializer(SALT, expires_in=120)
t2 = itsdangerous.TimedJSONWebSignatureSerializer(SALT2, expires_in=2592000)  # 默认一个月

# 生成access_token
def gen_token_(info: dict
最低0.47元/天 解锁文章
Flask 使用 JWT(一)
CITYDATA
09-13 861
1、注册声明 :这是一组预先定义的声明,不是强制性的,而是推荐的,它们提供了一套易于使用的、可共用的声明。这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。3、私有声明:这些是为了在同意使用这些声明的当事人之间共享信息而提出的,既不是注册声明的也不是公共声明。将这三部分用 . 连接成一个完整的字符串构成了最终的 jwt
Flask 学习-26.JWT(JSON Web Token)生成Token
qq_27371025的博客
09-02 1051
JSON Web Token(JWT)是一个非常轻巧的规范。jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 python 中 pyjwt 是一个独立的包,flask 的插件集成了该功能可以使用 flask-jwt-extended 插件来实现
Flask中的JWT
weixin_45439324的博客
12-03 6946
Flask中的JWT JWT认证 Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。 JWT是一个有着简单的统一表达形式的字符串: 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经Base64 编码生成字符串成为Head...
Flask flask_jwt_extended
Claroja
12-05 1273
参考: https://www.cnblogs.com/oklizz/p/11414446.html 流程图 https://flask-jwt-extended.readthedocs.io/en/stable/
【软件开发】前后端分离架构下JWT实现用户鉴权
书山有路,学海无涯。记录成长,追逐梦想
12-14 979
在【计算机网络】JWT(JSON Web Token)初识 中,我们讲解了 JWT 的基础知识。Token 验证方式一般是用在前后端分离的软件开发项目中,所以本篇文章将会从前端和后端的角度去考虑 JWT实现。前端 Vue,后端 Flask
JWT验证机制【Python版Flask或自己写的后端可以用】【刘新宇】
agrj56057的博客
08-06 296
JWT Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。 官方定义:JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between...
OAuth2与 JWT 做认证授权服务(四)
weixin_44400390的博客
07-31 932
OAuth2与 JWT 做认证授权服务 为了保证服务对外的安全性,往往都会在服务接口采用权限校验机制,为了防止客户端在发起请求中途被篡改数据等安全方面的考虑,还会有一些签名校验的机制。 在分布式微服务架构的系统中,我们把原本复杂的系统业务拆分成了若干个独立的微服务应用,我们不得不在每个微服务中都实现这样一套校验逻辑,这样就会有很多的代码和功能冗余,随着服务的扩大和业务需求的复杂度不断变化,修改校验...
最新laravel版本,laravel7安装jwt-auth,用户认证
ben_cxy的博客
06-10 3501
laravel构建api服务,安装laravel,根据官网(laravel中文官网)进行安装。 安装 通过shell进入项目根目录,运行以下命令进行安装jwt-auth $ composer require tymon/jwt-auth 配置 将下面这行添加至 config/app.php 文件 providers 数组中: app.php 'providers' => [ ... Tymon\JWTAuth\Providers\LaravelServiceProvider::c
MEAN堆栈打造全栈身份验证应用教程
Angular2-JWT是一个为Angular应用提供JWT支持的库,可以帮助开发者处理认证过程中的HTTP请求拦截、令牌存储以及令牌刷新等问题。它是社区驱动的解决方案,用于在Angular应用中整合JWT认证,使得实现用户登录和状态...
Flex单点登录实战:前后端代码及部署指南
6. 后端接收到请求后,验证令牌的有效性,并根据验证结果允许或拒绝服务访问。 #### Flex单点登录的技术要求 1. **认证服务器**:负责处理登录、注销以及生成和验证令牌。 2. **令牌格式**:如JWT(JSON Web ...
金融信息服务平台项目技术方案.pdf
09-27
在金融平台中,JWT用于身份验证和信息交换,通常作为Web应用中的令牌,用于验证用户身份并保持会话。 6. 安全和日志记录:安全机制如OAuth2用于资源访问的安全授权,而日志记录则使用了Log4J框架。Log4J是一个基于...
Flask-JWT重刷
黄雄进
12-10 1457
JWT重刷 access_token如果设为一直有效,无法防止用户盗用 access_token有过期时间,如果过期了,让用户重新登录有时候感受不太好 我们需要一个为已登录用户重新刷新access_token的机制 一种方式是将过期时间配置的长一点,配置JWT ACCESS TOKEN过期时间 (默认是15分钟) # JWT ACCESS TOKEN过期时间(单位秒) JWT_ACCESS_TOK...
flaskJWT认证实现
最新发布
lIujunXHU的博客
06-03 2398
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成,分别是头部、负载和签名。头部(Header)是一个 JSON 对象,描述了使用的算法和类型。它通常包含两个字段:算法(alg)和类型(typ)。负载(Payload)也是一个 JSON 对象,用于存储用户的相关信息。它可以包含一些预定义的字段,如过期时间(exp)、发布时间(iat)等,也可以包含一些自定义字段。签名(Signature)使用指定的算法对头部和负载进行加密,生成一段字符串。
Flask项目中实现JWT认证机制---双token机制
sn0wp3ak技术分享
04-06 2848
核心思想 解决单一token的安全问题,设置2个token一个对接业务,有需求就带着业务token去认证然后操作相关功能,有效期较短,2小时;另一个token专门用来刷新业务token,简称刷新token,具有较长的过期时间,14天; 当业务token过期时,必须携带刷新token通过put接口来实现token的刷新,新的业务token还是存活2小时,这期间刷新token一直不变,直到14天后刷新...
python flask 框架实现jwt用户登录 接口权限认证 案例
热门推荐
大蛇王的博客
01-24 1万+
环境:python3.6+ 模块:flaskjwt 目的:实现用于登录并返回token令牌,用于后续的接口权限验证。 前言介绍: jwt(JSON Web Tokens),在用户认证当中常用的方式,在如今的前后端分离项目当中应用广泛,提高了后端代码的简洁和效能。 传统token和jwt区别 传统token:服务端会对登录成功的用户生成一个随机token返回,同时也会在本地保留对应的token(如在数据库中存入:token、用户名、过期时间等),当用户再次访问时,会携带之前的toke
Django,flaskjwt的token认证
dreams_dream的博客
05-15 813
django flask token生成
flaskjwt登录认证(有刷新token)
冰冷的希望的博客
11-08 3843
1.获取token 每次请求都会获取token,token位于客户端的header的Authorization字段,取不到返回None common/utils/middleware.py # common/utils/middleware.py from flask import request, current_app, g from utils.jwt_util import verify_jwt def get_userinfo(): # 1.获取请求头中的token信息 [登录token
flask_jwt_extened官方文档学习(2)
qq_42573343的博客
07-05 1226
flask_jwt_extended:官方文档 7. 刷新令牌(一种令牌 refresh tokens) 可以用来在旧的令牌过期的时候创新新的访问令牌的一种令牌(不能访问jwt_required()节点,而access token不能访问 jwt_refresh_token_required()装饰的节点)。可以设置access_token的过期时间利用refresh_token生成新的access_token。 这里 refresh token的放置位置还是默认在请求头部,文档后面的配置字段可以更改这个
关于Vue和flaskJWT使用(实验项目第四期)
m0_72541842的博客
09-25 740
关于JWT的学习使用遇到的一些问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值