JSON Web Tokens的实现原理


Posted in Python onApril 02, 2017

前言

最近在做一个Python项目的改造,将python项目重构为Java项目,过程中遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路。

一、优势简介

JSON Web Tokens简称jwt,是rest接口的一种安全策略。本身有很多的优势:

解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。

服务端无状态可以横向扩展,Token可完成认证,无需存储Session。

系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。

防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。

二、原理简介

JSON Web Tokens的格式组成,jwt是一段被base64编码过的字符序列,用点号分隔,一共由三部分组成,头部header,消息体playload和签名sign。

1.jwt的头部Header是json格式:

{
  "typ":"JWT",
  "alg":"HS256",
  "exp":1491066992916
}

其中typ是type的简写,代表该类型是JWT类型,加密方式声明是HS256,exp代表当前时间.

2.jwt的消息体Playload

{
  "userid":"123456",
  "iss":"companyName"
}

消息体的具体字段可根据业务需要自行定义和添加,只需在解密的时候注意拿字段的key值获取value。

3.签名sign的生成

最后是签名,签名的生成是把header和playload分别使用base64url编码,接着用'.‘把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用'.‘ 连接起来就生成了整个JWT。

三、校验简介

整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上。

1.加密

比如要加密验证的是userid字段,首先按前面的格式组装json消息头header和消息体playload,按header.playload组成字符串,再根据密钥和HS256加密header.playload得到sign签名,最后得到jwtToken为header.playload.sign,在http请求中的url带上参数想后端服务请求认证。

2. 解密

后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先

用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值。

四、代码示例

1.python代码的加密解密

#!/usr/bin/env python
# coding: utf-8

from itsdangerous import BadTimeSignature, SignatureExpired
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

APP_SECRET_KEY="secret"
MAX_TOKEN_AGE=1800
token_generator = Serializer(APP_SECRET_KEY, expires_in=MAX_TOKEN_AGE)

def generate_auth_token(userid):
  access_token = token_generator.dumps({"userid":userid})
  return access_token
def verify_token(token):
  try:
    user_auth = token_generator.loads(token)
    print type(token_generator)
  except SignatureExpired as e:
    raise e
  except BadTimeSignature as e:
    raise e
  return user_auth

2. java代码的加密解密

package api.test.util;

import java.io.UnsupportedEncodingException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;

import javax.crypto.Mac;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import lombok.extern.slf4j.Slf4j;
import net.sf.json.JSONObject;

/**
 * jwt加解密实现
 * 
 * @author zhengsc
 */
@Slf4j
public class TokenUtil {

  private String ISSUER = "companyName"; // 机构

  private String APP_SECRET_KEY = "secret"; // 密钥

  private long MAX_TOKEN_AGE = 1800; // 存活期

  /**
   * 生成userId的accessToken
   * 
   * @param userid
   * @return
   */
  public String generateAccessToken(String userid) {
    JSONObject claims = new JSONObject();
    claims.put("iss", ISSUER);
    claims.put("userid", userid);
    String accessToken = sign(claims, APP_SECRET_KEY);
    return accessToken;
  }

  /**
   * 解密程序返回userid
   * 
   * @param token
   * @return
   */
  public String verifyToken(String token) {
    String userid = "";
    try {
      String[] splitStr = token.split("\\.");
      String headerAndClaimsStr = splitStr[0] + "." +splitStr[1];
      String veryStr = signHmac256(headerAndClaimsStr, APP_SECRET_KEY);
      // 校验数据是否被篡改
      if (veryStr.equals(splitStr[2])) {
        String header = new String(Base64.decodeBase64(splitStr[0]),"UTF-8");
        JSONObject head = JSONObject.fromObject(header);
        long expire = head.getLong("exp") * 1000L;
        long currentTime = System.currentTimeMillis();
        if (currentTime <= expire){ // 验证accessToken的有效期
          String claims = new String(Base64.decodeBase64(splitStr[1]),"UTF-8");
          JSONObject claim = JSONObject.fromObject(claims);
          userid = (String) claim.get("userid");
        }
      }
    } catch (UnsupportedEncodingException e) {
      log.error(e.getMessage(), e);
    }

    return userid;
  }

  /**
   * 组装加密结果jwt返回
   * 
   * @param claims
   * @param appSecretKey
   * @return
   */
  private String sign(JSONObject claims, String appSecretKey) {
    String headerAndClaimsStr = getHeaderAndClaimsStr(claims);
    String signed256 = signHmac256(headerAndClaimsStr, appSecretKey);
    return headerAndClaimsStr + "." + signed256;
  }

  /**
   * 拼接请求头和声明
   * 
   * @param claims
   * @return
   */
  private String getHeaderAndClaimsStr(JSONObject claims) {
    JSONObject header = new JSONObject();
    header.put("alg", "HS256");
    header.put("typ", "JWT");
    header.put("exp", System.currentTimeMillis() + MAX_TOKEN_AGE * 1000L);
    String headerStr = header.toString();
    String claimsStr = claims.toString();
    String headerAndClaimsStr = Base64.encodeBase64URLSafeString(headerStr.getBytes()) + "."
        + Base64.encodeBase64URLSafeString(claimsStr.getBytes());
    return headerAndClaimsStr;
  }

  /**
   * 将headerAndClaimsStr用SHA1加密获取sign
   * 
   * @param headerAndClaimsStr
   * @param appSecretKey
   * @return
   */
  private String signHmac256(String headerAndClaimsStr, String appSecretKey) {
    SecretKey key = new SecretKeySpec(appSecretKey.getBytes(), "HmacSHA256");
    String result = null;
    try {
      Mac mac;
      mac = Mac.getInstance(key.getAlgorithm());
      mac.init(key);
      result = Base64.encodeBase64URLSafeString(mac.doFinal(headerAndClaimsStr.getBytes()));
    } catch (NoSuchAlgorithmException | InvalidKeyException e) {
      log.error(e.getMessage(), e);
    }
    return result;
  }

}

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Python 相关文章推荐
Python使用百度API上传文件到百度网盘代码分享
Nov 08 Python
详细解析Python中__init__()方法的高级应用
May 11 Python
pycharm在调试python时执行其他语句的方法
Nov 29 Python
使用python进行拆分大文件的方法
Dec 10 Python
pyinstaller打包opencv和numpy程序运行错误解决
Aug 16 Python
python 实现仿微信聊天时间格式化显示的代码
Apr 17 Python
Python如何爬取qq音乐歌词到本地
Jun 01 Python
通过自学python能找到工作吗
Jun 21 Python
python实现数字炸弹游戏
Jul 17 Python
Windows环境下Python3.6.8 importError: DLLload failed:找不到指定的模块
Nov 01 Python
Python中Pyspider爬虫框架的基本使用详解
Jan 27 Python
python中spy++的使用超详细教程
Jan 29 Python
Python 40行代码实现人脸识别功能
Apr 02 #Python
Python可变参数用法实例分析
Apr 02 #Python
Python编程实现数学运算求一元二次方程的实根算法示例
Apr 02 #Python
Python中selenium实现文件上传所有方法整理总结
Apr 01 #Python
详解Python多线程Selenium跨浏览器测试
Apr 01 #Python
Python 基础之字符串string详解及实例
Apr 01 #Python
Python中格式化format()方法详解
Apr 01 #Python
You might like
PHP的Socket网络编程入门指引
2015/08/11 PHP
php利用imagemagick实现复古老照片效果实例
2017/02/16 PHP
silverlight线程与基于事件驱动javascript引擎(实现轨迹回放功能)
2011/08/09 Javascript
基于jQuery的星级评分插件
2011/08/12 Javascript
深入理解JavaScript系列(12) 变量对象(Variable Object)
2012/01/16 Javascript
jquery中focus()函数实现当对象获得焦点后自动把光标移到内容最后
2013/09/29 Javascript
从数组中随机取x条不重复数据的JS代码
2013/12/24 Javascript
javascript使用正则表达式检测IP地址
2014/12/03 Javascript
JavaScript实现在页面间传值的方法
2015/04/07 Javascript
在JavaScript中操作时间之getUTCDate()方法的使用
2015/06/10 Javascript
jQuery实现图片预加载效果
2015/11/27 Javascript
JS比较两个数值的大小实例
2016/11/25 Javascript
Angular ui.bootstrap.pagination分页
2017/01/20 Javascript
js实现拖拽上传图片功能
2017/08/01 Javascript
JavaScript控制浏览器全屏显示简单示例
2018/07/05 Javascript
vue中引用swiper轮播插件的教程详解
2018/08/16 Javascript
详解jQuery-each()方法
2019/03/13 jQuery
JS实现动态添加外部js、css到head标签的方法
2019/06/05 Javascript
[01:33:14]LGD vs VP Supermajor 败者组决赛 BO3 第二场 6.10
2018/07/04 DOTA
python错误:AttributeError: 'module' object has no attribute 'setdefaultencoding'问题的解决方法
2014/08/22 Python
python Crypto模块的安装与使用方法
2017/12/21 Python
详解python3中tkinter知识点
2018/06/21 Python
解决python中无法自动补全代码的问题
2018/12/04 Python
如何基于python测量代码运行时间
2019/12/25 Python
联想香港官方网站及网店:Lenovo香港
2018/04/13 全球购物
德国网上宠物店:Zoobio
2018/05/23 全球购物
通信工程专业个人找工作求职信范文
2013/09/21 职场文书
2015年元旦演讲稿
2014/09/12 职场文书
校园文化艺术节宣传标语
2014/10/09 职场文书
2014年学生会工作总结范文
2014/11/07 职场文书
2015元旦标语横幅
2014/12/09 职场文书
党员进社区活动总结
2015/05/07 职场文书
养成教育工作总结
2015/08/13 职场文书
MySQL悲观锁与乐观锁的实现方案
2021/11/02 MySQL
Spring Cloud OAuth2实现自定义token返回格式
2022/06/25 Java/Android
JS实现简单的九宫格抽奖
2022/06/28 Javascript