JSON Web Tokens的实现原理


Posted in Python onApril 02, 2017

前言

最近在做一个Python项目的改造,将python项目重构为Java项目,过程中遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路。

一、优势简介

JSON Web Tokens简称jwt,是rest接口的一种安全策略。本身有很多的优势:

解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。

服务端无状态可以横向扩展,Token可完成认证,无需存储Session。

系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。

防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。

二、原理简介

JSON Web Tokens的格式组成,jwt是一段被base64编码过的字符序列,用点号分隔,一共由三部分组成,头部header,消息体playload和签名sign。

1.jwt的头部Header是json格式:

{
  "typ":"JWT",
  "alg":"HS256",
  "exp":1491066992916
}

其中typ是type的简写,代表该类型是JWT类型,加密方式声明是HS256,exp代表当前时间.

2.jwt的消息体Playload

{
  "userid":"123456",
  "iss":"companyName"
}

消息体的具体字段可根据业务需要自行定义和添加,只需在解密的时候注意拿字段的key值获取value。

3.签名sign的生成

最后是签名,签名的生成是把header和playload分别使用base64url编码,接着用'.‘把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用'.‘ 连接起来就生成了整个JWT。

三、校验简介

整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上。

1.加密

比如要加密验证的是userid字段,首先按前面的格式组装json消息头header和消息体playload,按header.playload组成字符串,再根据密钥和HS256加密header.playload得到sign签名,最后得到jwtToken为header.playload.sign,在http请求中的url带上参数想后端服务请求认证。

2. 解密

后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先

用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值。

四、代码示例

1.python代码的加密解密

#!/usr/bin/env python
# coding: utf-8

from itsdangerous import BadTimeSignature, SignatureExpired
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

APP_SECRET_KEY="secret"
MAX_TOKEN_AGE=1800
token_generator = Serializer(APP_SECRET_KEY, expires_in=MAX_TOKEN_AGE)

def generate_auth_token(userid):
  access_token = token_generator.dumps({"userid":userid})
  return access_token
def verify_token(token):
  try:
    user_auth = token_generator.loads(token)
    print type(token_generator)
  except SignatureExpired as e:
    raise e
  except BadTimeSignature as e:
    raise e
  return user_auth

2. java代码的加密解密

package api.test.util;

import java.io.UnsupportedEncodingException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;

import javax.crypto.Mac;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import lombok.extern.slf4j.Slf4j;
import net.sf.json.JSONObject;

/**
 * jwt加解密实现
 * 
 * @author zhengsc
 */
@Slf4j
public class TokenUtil {

  private String ISSUER = "companyName"; // 机构

  private String APP_SECRET_KEY = "secret"; // 密钥

  private long MAX_TOKEN_AGE = 1800; // 存活期

  /**
   * 生成userId的accessToken
   * 
   * @param userid
   * @return
   */
  public String generateAccessToken(String userid) {
    JSONObject claims = new JSONObject();
    claims.put("iss", ISSUER);
    claims.put("userid", userid);
    String accessToken = sign(claims, APP_SECRET_KEY);
    return accessToken;
  }

  /**
   * 解密程序返回userid
   * 
   * @param token
   * @return
   */
  public String verifyToken(String token) {
    String userid = "";
    try {
      String[] splitStr = token.split("\\.");
      String headerAndClaimsStr = splitStr[0] + "." +splitStr[1];
      String veryStr = signHmac256(headerAndClaimsStr, APP_SECRET_KEY);
      // 校验数据是否被篡改
      if (veryStr.equals(splitStr[2])) {
        String header = new String(Base64.decodeBase64(splitStr[0]),"UTF-8");
        JSONObject head = JSONObject.fromObject(header);
        long expire = head.getLong("exp") * 1000L;
        long currentTime = System.currentTimeMillis();
        if (currentTime <= expire){ // 验证accessToken的有效期
          String claims = new String(Base64.decodeBase64(splitStr[1]),"UTF-8");
          JSONObject claim = JSONObject.fromObject(claims);
          userid = (String) claim.get("userid");
        }
      }
    } catch (UnsupportedEncodingException e) {
      log.error(e.getMessage(), e);
    }

    return userid;
  }

  /**
   * 组装加密结果jwt返回
   * 
   * @param claims
   * @param appSecretKey
   * @return
   */
  private String sign(JSONObject claims, String appSecretKey) {
    String headerAndClaimsStr = getHeaderAndClaimsStr(claims);
    String signed256 = signHmac256(headerAndClaimsStr, appSecretKey);
    return headerAndClaimsStr + "." + signed256;
  }

  /**
   * 拼接请求头和声明
   * 
   * @param claims
   * @return
   */
  private String getHeaderAndClaimsStr(JSONObject claims) {
    JSONObject header = new JSONObject();
    header.put("alg", "HS256");
    header.put("typ", "JWT");
    header.put("exp", System.currentTimeMillis() + MAX_TOKEN_AGE * 1000L);
    String headerStr = header.toString();
    String claimsStr = claims.toString();
    String headerAndClaimsStr = Base64.encodeBase64URLSafeString(headerStr.getBytes()) + "."
        + Base64.encodeBase64URLSafeString(claimsStr.getBytes());
    return headerAndClaimsStr;
  }

  /**
   * 将headerAndClaimsStr用SHA1加密获取sign
   * 
   * @param headerAndClaimsStr
   * @param appSecretKey
   * @return
   */
  private String signHmac256(String headerAndClaimsStr, String appSecretKey) {
    SecretKey key = new SecretKeySpec(appSecretKey.getBytes(), "HmacSHA256");
    String result = null;
    try {
      Mac mac;
      mac = Mac.getInstance(key.getAlgorithm());
      mac.init(key);
      result = Base64.encodeBase64URLSafeString(mac.doFinal(headerAndClaimsStr.getBytes()));
    } catch (NoSuchAlgorithmException | InvalidKeyException e) {
      log.error(e.getMessage(), e);
    }
    return result;
  }

}

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Python 相关文章推荐
Python日志模块logging简介
Apr 13 Python
让Python更加充分的使用Sqlite3
Dec 11 Python
Python返回数组/List长度的实例
Jun 23 Python
使用EduBlock轻松学习Python编程
Oct 08 Python
Python3 批量扫描端口的例子
Jul 25 Python
Python logging设置和logger解析
Aug 28 Python
Python之Django自动实现html代码(下拉框,数据选择)
Mar 13 Python
python torch.utils.data.DataLoader使用方法
Apr 02 Python
django 模型中的计算字段实例
May 19 Python
python小白学习包管理器pip安装
Jun 09 Python
Python 如何在字符串中插入变量
Aug 01 Python
基于python实现图片转字符画代码实例
Sep 04 Python
Python 40行代码实现人脸识别功能
Apr 02 #Python
Python可变参数用法实例分析
Apr 02 #Python
Python编程实现数学运算求一元二次方程的实根算法示例
Apr 02 #Python
Python中selenium实现文件上传所有方法整理总结
Apr 01 #Python
详解Python多线程Selenium跨浏览器测试
Apr 01 #Python
Python 基础之字符串string详解及实例
Apr 01 #Python
Python中格式化format()方法详解
Apr 01 #Python
You might like
PHP 木马攻击防御技巧
2009/06/13 PHP
PHP实现模仿socket请求返回页面的方法
2014/11/04 PHP
PHP+Ajax验证码验证用户登录
2016/07/20 PHP
php微信开发之百度天气预报
2016/11/18 PHP
PHP实现十进制、二进制、八进制和十六进制转换相关函数用法分析
2017/04/25 PHP
yii2.0框架多模型操作示例【添加/修改/删除】
2020/04/13 PHP
javascript 精粹笔记
2010/05/09 Javascript
简单的两种Extjs formpanel加载数据的方式
2013/11/09 Javascript
jquery制作居中遮罩层效果分享
2014/02/21 Javascript
JS实现双击内容变为可编辑状态
2017/03/03 Javascript
Node.js Mongodb 密码特殊字符 @的解决方法
2017/04/11 Javascript
bootstrap手风琴折叠示例代码分享
2017/05/22 Javascript
jquery easyui如何实现格式化列
2017/07/30 jQuery
ES6下子组件调用父组件的方法(推荐)
2018/02/23 Javascript
[05:03]显微镜下的DOTA2第十期——Ti3豪之超神幽鬼
2014/06/23 DOTA
Python自动连接ssh的方法
2015/03/07 Python
通过Python 获取Android设备信息的轻量级框架
2017/12/18 Python
python spyder中读取txt为图片的方法
2018/04/27 Python
python pandas消除空值和空格以及 Nan数据替换方法
2018/10/30 Python
Python中的取模运算方法
2018/11/10 Python
如何用C代码给Python写扩展库(Cython)
2019/05/17 Python
python中Lambda表达式详解
2019/11/20 Python
python3 deque 双向队列创建与使用方法分析
2020/03/24 Python
在服务器上安装python3.8.2环境的教程详解
2020/04/26 Python
python的help函数如何使用
2020/06/11 Python
python时间序列数据转为timestamp格式的方法
2020/08/03 Python
css3 clip实现圆环进度条的示例代码
2018/02/07 HTML / CSS
阿联酋网上花店:Ferns N Petals
2018/02/14 全球购物
Shopee印度尼西亚:东南亚与台湾市场最大电商平台
2018/06/17 全球购物
国贸类专业毕业生的求职信分享
2013/12/08 职场文书
大学班级计划书
2014/04/29 职场文书
检察机关个人对照检查材料
2014/09/15 职场文书
幼儿园开学家长寄语(2016春季)
2015/12/03 职场文书
创业计划书之蛋糕店
2019/08/29 职场文书
python opencv将多个图放在一个窗口的实例详解
2022/02/28 Python
淡雅古典唯美少女娇媚宁静迷人写真
2022/03/21 杂记