目录
- jwt认证
- jwt认证和普通session认证的区别
- jwt认证组成
- jwt的签发算法
- 头部算法
- 载荷部分的算法
- 签名部分的算法
- 连接生成token
- jwt的校验算法
- 切分
- 解密头部
- 解密载荷
- 碰撞校验签名
- 校验用户对象
- jwt的刷新算法
- jwt认证的优点
- DRF中的jwt认证
- 工作原理
jwt认证
jwt 是json web token
的缩写,是一种登录认证的认证方式
jwt认证和普通session认证的区别
- session需要保存至服务端数据库中,而jwt服务器不需要存储token,服务器的IO操作会减少(没有IO写操作)
- 由客户端存储token信息,服务端只存储签发和校验的算法,服务端代码执行效率高
- 采用三段式,token中必须包含过期时间,保证token的安全性和时效性
jwt认证组成
- jwt 由
头.载荷.签名
三部分组成,中间由.
拼接而成 - 每部分都是一个json字典,头和载荷采用
base64
可逆加密算法加密,签名采用HS256不可逆加密算法算法
jwt认证组成介绍:
- jwt头:包含一些无关紧要说明性的信息:公司名称、开发者信息,内容也可以为空
- jwt载荷:包含核心信息:用户主键、账号信息、客户端设备信息、token的过期时间等
- jwt签名:包含安全信息,头的加密结果,载荷的加密结果、服务器的安全码(盐)
jwt的签发算法
总共分为4部,只有在用户重新登录时才会再次签发新的token,如果原token没有超过过期时间,也是有效的,并且会在每个需要登录的接口中客户端会携带token与服务端校验
头部算法
- 头部内容:公司名称、项目信息,也可以为空
- 将这些数据转换为json字符串,再讲json字符串加密成base64字符串
载荷部分的算法
- 载荷部分的内容:用户账号、客户端设备信息、用户主键信息(需要提供用户账号并验证ton过后才可以拿到)、过期时间(根据当前时间与配置的过期时间相结合产生)
- 将这些数据转换为json字符串,再讲json字符串加密成base64字符串
签名部分的算法
- 签名部分的内容:将头部内容加密结果,载荷部分内容加密结果作为成员,再从服务器上获取安全码
- 将这些数据转换为json字符串,再讲json字符串加密成不可逆的HS256字符串
连接生成token
- 将三个字符串用
.
拼接产生三段式token
jwt的校验算法
总共可以分为五部来做:
切分
- 从客户端提交的请求中拿到token,用
.
切割成三段,如果不是三段,非法token
解密头部
看情况,一般不需要解密,因为固定不变的。
解密载荷
- 先用base64解密成json字符串,再转换成python格式的字典数据
- 查询User表确定用户账号是否存在
- 本次请求的信息和解密后的载荷中的信息比对,确定是否是同一用户或设备,决定对用户是否做安全提示(eg:异地登录)
- 过期时间与当前时间比对,判断该token是否在有效时间内
碰撞校验签名
- 将用户最新提交的token中头、载荷、服务端的安全码组成字典转换成json字符串
- 采用不可逆HS256加密算法对新组成的json字符串加密产生新的签名字符串
- 新的签名字符串与第三段签名碰撞比对,一致的话才能确保token是合法的。
校验用户对象
- 以上算法都通过后,载荷校验得到的User对象,就是该token代表的登录用户(django中一般把登录用户存放在request.user中)
jwt的刷新算法
刷新算法就是在前发完token后,在token的有效时间内,用户每次提交请求时都会刷新该token的有效时间
刷新算法的实现:
- 要在签发token的载荷中,额外添加两个时间信息:第一次签发token的时间,最多往后刷新的有效时间
- 每次请求携带token不仅走校验算法验证token,还要额外请求刷新token的接口,完成token的刷新
- 服务器不仅要配置过期时间,还要配置最长刷新时间
jwt认证的优点
- 数据库不需要存储token,没有IO写操作
- 客户端存储token,服务器只存储签发与校验的算法,代码执行效率高
- 签发与校验算法在多个服务器上统一,在jwt规则下服务器做集群非常便捷
DRF中的jwt认证
安装
pip3 install djangorestframework-jwt
使用自带
设定好的jwt
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
url(r'^login/',obtain_jwt_token),
]
'''
path('login/', obtain_jwt_token)其实相当于path('login/', ObtainJSONWebToken.as_view())
因为我们之间进源码可以看到
obtain_jwt_token = ObtainJSONWebToken.as_view() #获得
refresh_jwt_token = RefreshJSONWebToken.as_view() #刷新
verify_jwt_token = VerifyJSONWebToken.as_view() #验证
'''
测试接口:post请求
postman发生post请求
接口:http://127.0.0.1:8000/api/login/
数据:
{
"username":"admin",
"password":"admin123"
}
返回一个token字符串
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNTc3ODc0MzU0LCJlbWFpbCI6IiJ9.5z8Ya-mxj-oPSOwdXenSKUWf7M5pt3r8YVlFKu1cskY"
}
工作原理
"""
jwt:json web tokens 采用json格式在web上传输的 认证字符串
jwt字符串:头.载荷.签名
头:公司基本信息、项目组基本信息、常规加密算法名
载荷:用户信息、过期时间
签名:头、载荷、秘钥
{头信息字典,采用base64加密算法}.{载荷信息字典,采用base64加密(base64编码)}.{头加密串、载荷加密串、服务器秘钥,采用hs256加密算法}
base64是可逆的
hash256是不可逆加密
我们一般只会将账号信息,过期时间放载荷里面,一般把密码什么重要信息丢签名里面
原文地址:https://www.cnblogs.com/ghylpb/p/12154343.html
时间: 2024-10-13 06:46:13