快速掌握JWT(JWS/JWE)身份验证,用Python实战操作指南
JWT,即Json Web Token认证机制,常用于web会话认证,对比传统的Session认证而言,它的优势很多:更安全、支持Json扩展性强、减少服务器负载等。
JWT实际包括JWS和JWE两种,它们两者的加密方式是有区别的。而我们常用、网上常说的JWT其实指的是JWS。
基于token的鉴权机制
基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,但它可以鉴别是由谁创建的初始数据 。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
工作流程:
- 用户提交用户名和密码登录
- 服务器验证登录信息
- 通过验证,生成并返回token给用户
- 服务端储存token,并在每次请求时附带该token值
-
服务器验证token值确认用户身份,并返回数据
JWT与浏览器间的工作机制
需要知道的是,服务器使用特定加密算法生成token值但并不会保存该值。客户端每次请求必须将token携带在请求头中。
简介JWS(JSON Web Signature)构成
JWS即是我们常说的JWT,虽然这是一个错误的说法,因为它的使用相对于JWE是更为广泛的。
JWS是由三段信息构成,每段由一个.符号隔开,示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoyLCJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxQDEuY29tIiwiZXhwIjoxNTYxMjA1Mzc0fQ.LmedD_H8lARUkn-yrt294K9BW7HEAxrCrccLGv3jQUI
前两段将包含的内容进行base64加密:
- 第一段:header
json类型数据包含加密类型和算法,类型即jwt,算法一般为sha256(再base64加密)。 - 第二段:payload
payload载荷用于存放有效信息,如用户信息、过期时间等(base64加密)。
需要注意的是这里的过期时间指代的是截止到过期的那个datetime,而非时间长度。例如:设置两小时过期,则过期参数应设置为:
exp = datetime.timedelta.now() + datetime.deltatime(hours=2)
- 第三段:signature
签名信息,将第一段 、第二段、 secret秘钥 三者组合的字符串,采用header中声明的加密算法sha256进行再加密。
最终,将第一段、第二段、第三段字符串用.连接得到最终的token值。
即使token值被截取,也只能简单被破译前两部分,而就算伪造前两部分数据内容,但第三部分中保存了原始的前两部分字符串信息,可以简单的验证前两部分数据是否被篡改。
简介JWE(JSON Web Encryption)构成
相对于JWS,JWE则同时保证了安全性与数据完整性。 JWE由五部分组成:
具体生成步骤为:
- JOSE含义与JWS头部相同。
- 生成一个随机的Content Encryption Key (CEK)。
- 使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
- 生成JWE初始化向量。
- 使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。 6.对五个部分分别进行base64编码。
可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。
前端使用JWT
使用JWT的方式一般是固定的,请求需要在headers中用Authorization字段携带jwt加密的token值 ,且出于习惯,在加密token前加上Bearer标注。使用Authorization.token可以获取token。
JWT的Python库
其实JWT认证和python中另一个加密类:itsdangerous库中TimedJSONWebSignatureSerializer类实现的加密方法很类似。有兴趣可以了解以下,这里只对Python中pyjwt库实现JWT加密做介绍。
- 安装
pip install pyjwt
- 使用
- 生成JWT的加密token
调用jwt.encode()方法,需要传入的参数有3个,payload载荷、密钥、algorithm加密算法。其中payload为dict格式,包含需要加密的内容和过期时间,加密算法有HS256。
如需在payload中加入过期时间设置,则使用exp参数传递,一定注意过期时间是截止到期的datetime格式时间。 - 解密
调用jwt.decode()方法,需传入的参数也有3个,jwt加密的token字符串、密钥、algorithm加密算法。解密时密钥和algorithm加密算法必须与加密时的一致才能解密出payload载荷。
带两小时过期时间的使用示例:
>>> import jwt
>>> from datetime import datetime, timedelta
>>> now = datetime.now()
>>> expiry = now + timedelta(hours=2)
>>> encoded_jwt = jwt.encode({'some': 'payload', 'exp':expiry }, 'secret', algorithm='HS256')
>>> encoded_jwt
b'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg'
>>> jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
{'some': 'payload', 'exp': 1563578872}
如上,如果设置的过期时间已过期,则不会解密出值,在python中使用过程非常便捷简单。
特别值得提醒的是,过期时间的检验依赖于当前解释器环境的时间,如设置JWT与解密JWT时所处环境的时间是不同的,则可能会产生提前过期或者延时过期的情况,这点在生产部署中需要优先确定,如时间不同,要么调整环境时间,要么使用时间差值+过期时间 指定exp。
关于在Django中配置JWT认证,可以参考我的另一篇文章,https://www.jianshu.com/p/9f707289478b。
完。