JWT全称JSON-Web-Tokens,是一套应对Http其无状态且明文传递请求的特性的规范,保证请求的安全性。我们一般用它来在服务端和客户端之间传递用户的身份信息,实现状态保持。
1,相较于常见的session+cookie的实现方式,它有哪些优势呢?
Session: 每次用户登录认证通过后,我们的应用都要在服务端(通常为redis服务器中)存储用户的登录信息,并在响应中设置cookies中设置session的key值进行返回。这在服务器实现负载均衡时,增加负载均衡服务器的性能负担。而面对CSRF攻击时, 因为是基于cookie+session的方式来进行用户识别的, cookie一旦被截获,用户就会很容易受到跨站请求伪造的攻击。
JWT:
2,JWT的组成:
JWT是一串加密后的字符串,共由三部分组成,分别为:头部,载荷和签名信息。
头部(header)
{ "alg": "HS256", # 使用的签名算法 "typ": "JWT", # 令牌的类型 }
载荷(payloader),用于存放有效信息。
{ "id": user.id, # 接口中定义的需要返回的信息 "mobile": user.mobile # 同上 }
签名(signature),第三部分是将header和payload用base64进行转码后的字符串拼接的结果用header中指明的算法进行加密再用base64转码。
def encode(payload, signer=None, encrypter=None): if signer and encrypter: raise SignAndEncryptError() headers = {'typ': 'JWT', 'alg': 'none'} if signer: #更新你所选用的算法,一般都是hs256 headers.update(signer.headers) if encrypter: headers.update(encrypter.headers) #头部序列化 headers_json = json.dumps(headers, separators=(',', ':')) #消息主体序列化 payload_json = json.dumps(payload, separators=(',', ':')) #使用base64来编码 header_b64 = b64encode(headers_json) payload_b64 = b64encode(payload_json) first_part = header_b64 second_part = payload_b64 third_part = '' if signer: #jwt 签名的生成方式. 他会把header playload的base64url编码加密后再次base64编码. third_part = b64encode(signer.sign(first_part + '.' + second_part)) if encrypter: pass # TODO #返回可用的JWT return first_part + '.' + second_part + '.' + third_part def b64encode(data): return base64.urlsafe_b64encode(data).rstrip('=') #使用hmac来加密 class HmacSha(JwsBase): def sign(self, signing_input, key=None): if not key: key = self.key if not key: raise KeyRequiredException() return hmac.new(key, signing_input, self.digestmod).digest()
3、JWT的防篡改
加密后的Token在下次请求时, 服务端通过加密生成的私钥,重新与前2部分组合再次加密,与第三部分进行对比,如果校验成功,则数据没有被修改。