快速理解JWT(JWS/JWE)认证并在Python中实现

Published on with 0 views and 0 comments

JWT,即Json Web Token认证机制,常用于web会话认证,对比传统的Session认证而言,它的优势很多:更安全、支持Json扩展性强、减少服务器负载等。

JWT实际包括JWS和JWE两种,它们两者的加密方式是有区别的。而我们常用、网上常说的JWT其实指的是JWS。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,但它可以鉴别是由谁创建的初始数据 。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

工作流程:

  • 用户提交用户名和密码登录
  • 服务器验证登录信息
  • 通过验证,生成并返回token给用户
  • 服务端储存token,并在每次请求时附带该token值
  • 服务器验证token值确认用户身份,并返回数据

JWT与浏览器间的工作机制

需要知道的是,服务器使用特定加密算法生成token值但并不会保存该值。客户端每次请求必须将token携带在请求头中。

简介JWS(JSON Web Signature)构成

JWS即是我们常说的JWT,虽然这是一个错误的说法,因为它的使用相对于JWE是更为广泛的。

JWS是由三段信息构成,每段由一个 .符号隔开,示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoyLCJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxQDEuY29tIiwiZXhwIjoxNTYxMjA1Mzc0fQ.LmedD_H8lARUkn-yrt294K9BW7HEAxrCrccLGv3jQUI

前两段将包含的内容进行base64加密:

  1. 第一段:header

    json类型数据包含加密类型和算法,类型即jwt,算法一般为sha256(再base64加密)。

  2. 第二段:payload

    payload载荷用于存放有效信息,如用户信息、过期时间等(base64加密)。

    需要注意的是这里的过期时间指代的是截止到过期的那个datetime,而非时间长度。例如:设置两小时过期,则过期参数应设置为:

exp = datetime.timedelta.now() + datetime.deltatime(hours=2)

  1. 第三段:signature

    签名信息,将第一段 、第二段、 secret秘钥 三者组合的字符串,采用header中声明的加密算法sha256进行再加密。

最终,将第一段、第二段、第三段字符串用 .连接得到最终的token值。

即使token值被截取,也只能简单被破译前两部分,而就算伪造前两部分数据内容,但第三部分中保存了原始的前两部分字符串信息,可以简单的验证前两部分数据是否被篡改。

简介JWE(JSON Web Encryption)构成

相对于JWS,JWE则同时保证了安全性与数据完整性。 JWE由五部分组成:

jwe.png

具体生成步骤为:

  1. JOSE含义与JWS头部相同。
  2. 生成一个随机的Content Encryption Key (CEK)。
  3. 使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
  4. 生成JWE初始化向量。
  5. 使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。 6.对五个部分分别进行base64编码。

可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。

前端使用JWT

使用JWT的方式一般是固定的,请求需要在headers中用Authorization字段携带jwt加密的token值 ,且出于习惯,在加密token前加上Bearer标注。使用Authorization.token可以获取token。

JWT的Python库

其实JWT认证和python中另一个加密类:itsdangerous库中TimedJSONWebSignatureSerializer类实现的加密方法很类似。有兴趣可以了解以下,这里只对Python中pyjwt库实现JWT加密做介绍。

  1. 安装

pip install pyjwt

  1. 使用
  • 生成JWT的加密token

    调用 jwt.encode()方法,需要传入的参数有3个,payload载荷、密钥、algorithm加密算法。其中payload为dict格式,包含需要加密的内容和过期时间,加密算法有HS256。

    如需在payload中加入过期时间设置,则使用exp参数传递,一定注意过期时间是截止到期的datetime格式时间。

  • 解密

    调用 jwt.decode()方法,需传入的参数也有3个,jwt加密的token字符串、密钥、algorithm加密算法。解密时密钥和algorithm加密算法必须与加密时的一致才能解密出payload载荷。

带两小时过期时间的使用示例:

  >>> import jwt
  >>> from datetime import datetime, timedelta
  >>> now = datetime.now()
  >>> expiry = now + timedelta(hours=2)


  >>> encoded_jwt = jwt.encode({'some': 'payload', 'exp':expiry }, 'secret', algorithm='HS256')
  >>> encoded_jwt
  b'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg'

  >>> jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
{'some': 'payload', 'exp': 1563578872}

如上,如果设置的过期时间已过期,则不会解密出值,在python中使用过程非常便捷简单。

特别值得提醒的是,过期时间的检验依赖于当前解释器环境的时间,如设置JWT与解密JWT时所处环境的时间是不同的,则可能会产生提前过期或者延时过期的情况,这点在生产部署中需要优先确定,如时间不同,要么调整环境时间,要么使用时间差值+过期时间 指定exp。

说你懂得生之微末,我便做了这壮大与你看,你说再热闹也终需离散,我便做了这一辈子与你看,你说冷暖自知,我便做了这冬花夏雪与你看,你说恋恋旧日好时光,我便做了这描金绣凤的浮世绘与你看。你说应愁高处不胜寒,我便拱手河山,讨你欢。