快捷導(dǎo)航

Python使用JWT的超詳細(xì)教程

更新時(shí)間：2024年10月17日 11:34:02 作者：黃小耶@

這篇文章主要介紹了Python使用JWT的相關(guān)資料,JWT（JSON?Web?Tokens）是一種網(wǎng)絡(luò)應(yīng)用間傳輸信息的標(biāo)準(zhǔn),包括三部分：Header（頭部）,Payload（負(fù)載）,Signature（簽名）,頭部包含聲明類(lèi)型和算法,需要的朋友可以參考下

一、JWT的介紹

JWT（JSON Web Tokens）是一種用于在網(wǎng)絡(luò)應(yīng)用環(huán)境間安全地傳輸信息的簡(jiǎn)潔的、URL安全的令牌標(biāo)準(zhǔn)。JWT的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶(hù)身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

二、JWT的組成

JWT的結(jié)構(gòu)分為三部分,它是用點(diǎn)來(lái)分割的，Header（頭部），Payload（負(fù)載），Signature（簽名）。如下圖

1、Header（頭部）

頭部通常包含了兩部分信息：聲明類(lèi)型和使用什么算法，第一部分就是將json轉(zhuǎn)化為字符串，然后用Base64加密，如下格式

{
   "alg":"HS256",
   "type":"jwt"
}

2、Payload（負(fù)載）

負(fù)載里面通常就是我們要傳遞給前端的值，如用戶(hù)的一些信息啊，也是將json轉(zhuǎn)換為字符串，然后用Base64加密，如下格式

{
    "id":"123",
    "username":"xiaoming"
}

3、Signature（簽名）

簽名的作用是保證JWT的未被篡改。簽名的生成方式是將編碼后的頭部、編碼后的負(fù)載、秘密通過(guò)指定的算法進(jìn)行簽名。簽名的作用是保證JWT的發(fā)送者不能抵賴(lài)自己發(fā)送的消息，接收者能夠驗(yàn)證消息的完整性。這里是將前2部分的密文拼接起來(lái)，對(duì)這2部分進(jìn)行HS256加密，然后加鹽，最后在對(duì)加密后的內(nèi)容用Base64加密一次

三、Python寫(xiě)JWT

1、安裝Jwt

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple PyJWT

2、使用JWT

import datetime
import jwt

def create_jwt():
    headers = {
        'alg': 'HS256',
        'typ': 'JWT'
    }  # jwt的頭部，包含了類(lèi)型和算法的指定

    payload = {
        "id": 123,
        "username": '小明',
        'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=12),
    }  # jwt的負(fù)載，都是一些自定義值,其中exp中的內(nèi)容是我們指定jwt的一個(gè)有效時(shí)間，有效時(shí)間為12個(gè)小時(shí)

    token = jwt.encode(headers=headers, payload=payload, algorithm='HS256', key='123')  # 對(duì)上面內(nèi)容進(jìn)行加密，這里的key就是加的鹽
    print(token)

if __name__ == '__main__':
    create_jwt()

3、解密JWT

import datetime

import jwt

def create_jwt():
    headers = {
        'alg': 'HS256',
        'typ': 'JWT'
    }  # jwt的頭部，包含了類(lèi)型和算法的指定

    payload = {
        "id": 123,
        "username": '小明',
        'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=12),
    }  # jwt的負(fù)載，都是一些自定義值,其中exp中的內(nèi)容是我們指定jwt的一個(gè)有效時(shí)間，有效時(shí)間為12個(gè)小時(shí)

    token = jwt.encode(headers=headers, payload=payload, algorithm='HS256', key='123')  # 對(duì)上面內(nèi)容進(jìn)行加密,這里的key就是加的鹽,是自定義的,我們?cè)谑褂名}的時(shí)候一般是唯一的一個(gè)值
    print(token)
    return token

def decode_JWT(token):
    content = jwt.decode(jwt=token, key='123', algorithms=['HS256'])  # 對(duì)jwt進(jìn)行解密,這里用的key必須和上面用的key一樣，否則是無(wú)法解密出來(lái)的
    print(content)

if __name__ == '__main__':
    token = create_jwt()
    decode_JWT(token)

解密出來(lái)的結(jié)果如下圖