JWT学习小结

时间:2023-03-10 00:00:07
JWT学习小结

JWT全称JSON-Web-Tokens,是一套应对Http其无状态且明文传递请求的特性的规范,保证请求的安全性。我们一般用它来在服务端和客户端之间传递用户的身份信息,实现状态保持。

1,相较于常见的session+cookie的实现方式,它有哪些优势呢?

  Session: 每次用户登录认证通过后,我们的应用都要在服务端(通常为redis服务器中)存储用户的登录信息,并在响应中设置cookies中设置session的key值进行返回。这在服务器实现负载均衡时,增加负载均衡服务器的性能负担。而面对CSRF攻击时, 因为是基于cookie+session的方式来进行用户识别的, cookie一旦被截获,用户就会很容易受到跨站请求伪造的攻击。

  JWT:

2,JWT的组成:

  JWT是一串加密后的字符串,共由三部分组成,分别为:头部,载荷和签名信息。

  头部(header)

{

    "alg": "HS256",  # 使用的签名算法

    "typ": "JWT",  # 令牌的类型

            }

  载荷(payloader),用于存放有效信息。

{

    "id": user.id,  # 接口中定义的需要返回的信息

    "mobile": user.mobile  # 同上

}

  签名(signature),第三部分是将header和payload用base64进行转码后的字符串拼接的结果用header中指明的算法进行加密再用base64转码。

def encode(payload, signer=None, encrypter=None):

    if signer and encrypter:

        raise SignAndEncryptError()

    headers = {'typ': 'JWT', 'alg': 'none'}

    if signer:

        #更新你所选用的算法,一般都是hs256

        headers.update(signer.headers)

    if encrypter:

        headers.update(encrypter.headers)

    #头部序列化

    headers_json = json.dumps(headers, separators=(',', ':'))

    #消息主体序列化

    payload_json = json.dumps(payload, separators=(',', ':'))

    #使用base64来编码

    header_b64 = b64encode(headers_json)

    payload_b64 = b64encode(payload_json)

    first_part = header_b64

    second_part = payload_b64

    third_part = ''

    if signer:

        #jwt 签名的生成方式. 他会把header playload的base64url编码加密后再次base64编码.

        third_part = b64encode(signer.sign(first_part + '.' +

                                                second_part))

    if encrypter:

        pass  # TODO

    #返回可用的JWT

    return first_part + '.' + second_part + '.' + third_part

def b64encode(data):

    return base64.urlsafe_b64encode(data).rstrip('=')

#使用hmac来加密

class HmacSha(JwsBase):

    def sign(self, signing_input, key=None):

        if not key:

            key = self.key

        if not key:

            raise KeyRequiredException()

        return hmac.new(key, signing_input, self.digestmod).digest()

3、JWT的防篡改

  加密后的Token在下次请求时, 服务端通过加密生成的私钥,重新与前2部分组合再次加密,与第三部分进行对比,如果校验成功,则数据没有被修改。

4、JWT防止CSRF攻击

  客户端使用 auth授权头认证,token存储在 cookie中,需要防止xss攻击。可以防止 csrf攻击,因为 csrf只能在请求中携带 cookie,而这里必须从 cookie中拿出相应的值并放到 authorization 头中。实际上cookie不能跨站(同源政策)被取出,因此可以避免 csrf 攻击。(适用于 ajax请求或者 api请求,可以方便的设置 auth头)。
  也可以将token存储在 localstorage里面,需要防止xss攻击。实现方式可以在一个统一的地方复写请求头,让每次请求都在header中带上这个token, 当token失效的时候,后端肯定会返回401,这个时候在你可以在前端代码中操作返回登陆页面,清除localstorage中的token。(适用于 ajax请求或者 api请求,可以方便的存入 localstorage)。

相关文章