python3 jwt(json web token)_base64.urlsafe_b64encode()_urlsafe_b64decode()_hmac.new().py

原創 学无止境慢慢来 2020-02-27 19:51 
"""
模塊:python3 jwt(json web token)_base64.urlsafe_b64encode()_urlsafe_b64decode()_hmac.new().py
功能:python3 實現 jwt 用戶驗證。
參考:https://blog.csdn.net/weixin_42193179/article/details/104475173
https://blog.csdn.net/weixin_42193179/article/details/104522302
知識點:
1.加密算法
hmac.new(key, msg=None, digestmod=None)
    創建一個新的散列對象(hashing object)並返回它。

    key: 哈希的起始鍵。
    msg: 如果可用,將立即散列到(be hashed into)對象的起始狀態。
    digestmod: 摘要(加密)模式,如SHA1、SHA224、SHA256、SHA384、SHA512、MD5等。

    現在,您可以使用它的 update() 方法將任意字符串輸入到對象中,
    並且可以通過調用它的 digest() 方法在任何時候請求哈希值。

2.base64.urlsafe_b64encode(s)
    使用url和文件系統安全的base64字母表編碼字節。

    參數s是一個用來編碼的、類似字節的對象。
    結果作爲字節對象返回。
    字母表使用'-'而不是 '+' , '_' 而不是'/'。

3.base64.urlsafe_b64decode(s)
    使用url和文件系統安全的base64字母表解碼字節。

    參數s是一個類似字節的對象或要解碼的ascii字符串。
    結果作爲字節對象返回。
    如果輸入的字節串被錯誤填充,則會引發binascii.Error。
    不在url-safe base-64字母表中的字符,而且不是加 '+' 或斜槓 '/',在填充檢查之前將被丟棄。

    字母表使用 '-' 而不是 '+' , '_' 而不是 '/'。
"""
import json
import time
import base64
import hmac

# 一、構造(JWT[json web token])
# 1.頭部。
# alg,簽名的算法(algorithm),默認是 HMAC SHA256(寫成 HS256);
# typ,令牌(token)的類型(type),JWT令牌統一寫爲JWT。
# 用途:將 header 對象使用 Base64URL 方法編碼成字符串,組成 JWT 結構的第一部分。
header = {"alg": "HS256", "typ": "JWT"}
headerStr = json.dumps(header)
# print(headerStr)
# {"alg": "HS256", "typ": "JWT"}
headerB64UrlEncoded = base64.urlsafe_b64encode(headerStr.encode()).decode()
print("headerB64UrlEncoded:", headerB64UrlEncoded)
# headerB64UrlEncoded: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9

# 2.負載
# 用來存放實際需要傳遞的數據(非私密)。
# iat, Issued At 簽發時間; nbf,Not Before,生效時間; exp,expiration time,過期時間。
timeStart = time.time()
payload = {"iat": timeStart, "nbf": timeStart, "exp": timeStart + 10 * 60}
payloadStr = json.dumps(payload)
payloadB64UrlEncoded = base64.urlsafe_b64encode(payloadStr.encode()).decode()
print("payloadB64UrlEncoded:", payloadB64UrlEncoded)
# payloadB64UrlEncoded: eyJpYXQiOiAxNTgyNzgxMTczLjQ3OTYwNjYsICJuYmYiOiAxNTgyNzgxMTczLjQ3OTYwNjYsICJleHAiOiAxNTgyNzgxNzczLjQ3OTYwNjZ9

# 3.簽名
# 密鑰。
secretKey = "gao2gao"
msg = headerB64UrlEncoded + "." + payloadB64UrlEncoded
signature = hmac.new(secretKey.encode(), msg.encode(), 'SHA256').hexdigest()
print("signature:", signature)
# signature: e709794583cc31eaaea84281972af97e6c589b88130acd0a692a8ac0b3e169e9

# 4.構造 JWT
jwt = msg + "." + signature
print("jwt:", jwt)
# jwt: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJpYXQiOiAxNTgyNzgxNjcyLjAzOTg3NzIsICJuYmYiOiAxNTgyNzgxNjcyLjAzOTg3NzIsICJleHAiOiAxNTgyNzgyMjcyLjAzOTg3NzJ9.771ebe03d303803d66b298753ad72d5a8be571fa732ecc6d993063893d711947


# 二、驗證 JWT
# 1.拆分header, payload, signature。
headerB64UrlEncoded, payloadB64UrlEncoded, signature = jwt.split(".")
print(headerB64UrlEncoded, payloadB64UrlEncoded, signature)
# eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9 eyJpYXQiOiAxNTgyNzgyMTAxLjExOTk4MTgsICJuYmYiOiAxNTgyNzgyMTAxLjExOTk4MTgsICJleHAiOiAxNTgyNzgyNzAxLjExOTk4MTh9 97eed8ea6656572be18de23a6bf59be013bece092ad1efcc4ff70de47547aa5a
header = json.loads(base64.urlsafe_b64decode(headerB64UrlEncoded.encode()).decode())
print("header:", header)
# header: {'alg': 'HS256', 'typ': 'JWT'}
print(type(header))
# <class 'dict'>

# 2.獲取簽名的加密算法。
alg = header['alg']
print("alg:", alg)
if alg == 'HS256':
    alg = 'SHA256'
print("alg:", alg)
# alg: SHA256

# 3.模擬用戶信息篡改。
payload = json.loads(base64.urlsafe_b64decode(payloadB64UrlEncoded.encode()).decode())
print("payload:", payload)
# payload: {'iat': 1582783148.1871371, 'nbf': 1582783148.1871371, 'exp': 1582783748.1871371}
# 篡改
payload['iss'] = 'gao'
print("payload:", payload)
# payload: {'iat': 1582783214.8349812, 'nbf': 1582783214.8349812, 'exp': 1582783814.8349812, 'iss': 'gao'}
# 重新 base64編碼。
payloadStr = json.dumps(payload)
payloadB64UrlEncoded = base64.urlsafe_b64encode(payloadStr.encode()).decode()


# 4.重新簽名(個人理解:不可破解的加密)
msg = headerB64UrlEncoded + "." + payloadB64UrlEncoded
signature2 = hmac.new(secretKey.encode(), msg.encode(), alg).hexdigest()
print("signature2:", signature2)
# signature2: e8ff3b911f27428c96feb9fca0af61fc3ff4d233bd69e955ec880eb06619003a
if signature == signature2:
    print("驗證通過!")
else:
    print("用戶信息已被篡改!")
# 驗證通過!
# 用戶信息已被篡改!
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Ajax+Springboot+jooq實現登錄功能

Ajax+Springboot+jooq實現登錄功能Ajax+Springboot+jooq實現登錄功能簡介Springbootjooqajax代碼java代碼jooq代碼表 Ajax+Springboot+jooq實現登錄功能

IT小白098 2020-07-08 09:44:08

使用Django構建個人網站(九)——博客登錄(一個簡易demo)

這一段時間沒有更新博客,因爲一些其他原因,玩心最近有點氾濫,dota2的時間也增加了很多。 我意識到這樣是不對的,只有提升技術,提升自我,才能實現自己的人生理想,做一名心目中的技術人才 文章目錄博客登錄簡介MTV逐步構建Mod

熊熊玩python 2020-07-06 16:01:02

用戶強制一臺設備登錄,其他設備登出

一. 前言  在處理項目登錄問題的時候,爲了賬號的安全性以及信息的同步性,有時我們需要做到同一個賬戶只允許在一處地方登錄,如果一個賬戶在一個處地方登錄之後,之後在另一個地方也使用同一個賬戶登錄,則前一個登錄的賬戶就強制下線; 做到這種效果

如来神掌十八式 2020-07-06 03:04:15

小程序——登錄方法

登錄頁面 <view class="mcontainer"> <view class="item"> <image src="/image/logo.png" class="image"/> </view

我的哥哥呦 2020-07-06 00:43:28

Vue-cli 微博註冊登錄系統

Vue-cli 項目 展示 下載鏈接 鏈接:https://pan.baidu.com/s/1h7GcnPzGe0AmztnSD9gv1A 提取碼:na37 流程 首先花了點事件擼出頁面 然後設計邏輯,其中有些坑記錄一下 In

Lovely Ruby 2020-07-05 06:27:25

SpringBoot+Shiro+kaptcha驗證碼實現用戶登錄和根據角色跳轉頁面

這篇文章主要實現用戶登錄功能:用戶輸入自己的賬號、密碼以及驗證碼後,會進行身份驗證,認證通過的系統會自動判斷該用戶的身份,跳轉到不同的管理界面。 要實現的功能 用戶登錄判斷 根據用戶角色自動跳轉不同的頁面 加入驗證碼進行驗證

Flowery Me 2020-07-01 15:52:38

Shiro認證功能最簡使用

用shiro做了個認證控制的demo。整個demo是基於session記錄用戶登錄狀態的。在本文中,將介紹shiro的最簡使用方法和其執行流程的簡析。   一、使用入門 1、在pom文件添加shiro的依賴 <dependency>

pjw80921 2020-07-01 08:30:23

SSM案例-企業權限系統(12)- 用戶操作之登錄代碼

1 spring-security.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/be

一角残叶 2020-06-29 18:19:12

HTTP協議 Tomcat Session管理的工作原理

HTTP是一個屬於應用層的面向對象的協議,由於其簡捷、快速的方式,適用於分佈式超媒體信息系統。 HTTP協議的主要特點: 1.支持客戶/服務器模式。 2.簡單快速:客戶向服務器請求服務時,只需傳送請求方法和路徑。請求方法常用的有GET、H

jsrush 2020-06-29 03:41:46

登錄、註冊頁面及後臺代碼

一.登錄頁面及後臺代碼 1.登錄頁面如圖1所示 首先進行身份選擇,由“管理員”和“用戶”兩種身份進行選擇,選擇不同的身份,程序會進入不同的數據表檢索登錄信息;當用戶名或密碼爲空時會提示;當用戶名或密碼在數據表中沒有檢索到時,會提示登錄失敗

Frank__Zhang 2020-06-27 23:33:32

微信公衆號 登錄

<?php namespace app\wechat\controller; use think\Controller; use think\Db; class Wechatlogin extends Controller {

nzz_171214 2020-06-25 22:33:19

python: 校園網登錄腳本

python: 校園網登錄腳本 該腳本需要以下python庫 #1、 beautifulsoup4 #2、 requests #coding:utf-8 import bs4 as btfsp import requests i

SameWorld 2020-06-25 10:23:27

Mac的郵件客戶端使用--登錄GMail郵箱和QQ郵箱的解決方案

文章目錄郵件上登錄 谷歌郵箱(GMail):郵件上登錄 QQ 郵箱(qq.com):郵件上登錄 Gmail 和 QQ Mail 成功: 簡 述: 在 MacOS 中使用 郵件 (郵箱) 登錄 GMail 郵箱和 QQ 郵箱

与子偕臧 2020-06-23 07:12:13

你需要知道的關於用戶登錄的方方面面

這裏只講一個網站的登錄,要做的方方面面 登錄不僅僅是登錄 登錄 登錄後在主頁應配套擁有相應的註銷登錄功能(登錄和註銷是一對兒)。 登錄的主要功能包括(目前考慮到的): 手機登錄; 第三方平臺登錄(微信,QQ,釘釘等); 賬號

junehappylove 2020-06-22 19:23:26

APP微信快捷登錄

1.準備工作 在開發這個接口的時候,事先需要獲取appid和secret這兩個參數然後纔可以進行下一步的開發,http://zhidao.baidu.com/link?url=********************* 2.正式開發 我先

淋过雨的街头 2020-06-22 09:23:22