JWT

  • JSON Web Tokens
  • 它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准
  • 使用 JWT token 和安全密码 hash 使应用程序真正安全

JWT 小栗子

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 它还没有加密,因此任何人都可以从该字符串中恢复信息
  • 但是已经加签了,因此,当收到发出的 token 时,可以验证是否实际发出了它
  • 创建一个有效期为 1 周的 token,然后当用户第二天带着 token 回来时,知道该用户仍然登录到系统中
  • 一周后,令牌将过期,用户将无法获得授权,必须重新登录以获取新的 token
  • 如果用户(或第三方)试图修改 token 以更改过期时间,将能够发现它,因为签名不匹配

前提

需要安装 python-jose 来在 Python 中生成和验证 JWT token

pip install python-jose

pip install cryptography

JWT 流程

  • 前端登录提交用户名、密码
  • 后端拿到用户名、密码进行验证,如果没问题,则返回 token
  • 前端访问需要认证的 url 时携带 token
  • 后端拿到 token 进行验证
  • 验证通过返回用户信息及访问的 url 信息

hash 密码

前提

  • 数据库存储的密码不能是明文的,需要加密
  • PassLib 是一个用于处理哈希密码的包
  • 推荐的算法是 「Bcrypt」
pip install passlib

pip install bcrypt

包含的功能

  • hash 密码
  • 验证 hash 密码是否一致
  • 通过用户名、密码验证用户

hash 密码

# 导入 CryptContext

from passlib.context import CryptContext

pwd_context = CryptContext(schemes=['bcrypt'], deprecated="auto")

# 密码加密

def hash_password(password: str) -> str:

    return pwd_context.hash(password)

验证 hash 密码是否一致

# 验证密码

def verify_password(plain_password, hashed_password):

    return pwd_context.verify(plain_password, hashed_password)

通过用户名、密码验证用户

# 模拟从数据库中根据用户名查找用户

def get_user(db, username: str):

    if username in db:

        user_dict = db[username]

        return UserInDB(**user_dict)

# 根据用户名、密码来验证用户

def authenticate_user(db, username: str, password: str):

    # 1、通过用户名模拟去数据库查找用户

    user = get_user(db, username)

    if not user:

        # 2、用户不存在

        return False

    if not verify_password(password, user.hashed_password):

        # 3、密码验证失败

        return False

    # 4、验证通过,返回用户信息

    return user

处理 JWT token

生成用于签名 JWT token 的随机密钥

在命令行敲

> openssl rand -hex 32

dc393487a84ddf9da61fe0180ef295cf0642ecbc5d678a1589ef2e26b35fce9c

常量池

方便后续复用

# 常量池

# 通过 openssl rand -hex 32 生成的随机密钥

SECRET_KEY = "dc393487a84ddf9da61fe0180ef295cf0642ecbc5d678a1589ef2e26b35fce9c"

# 加密算法

ALGORITHM = "HS256"

# 过期时间,分钟

ACCESS_TOKEN_EXPIRE_MINUTES = 30

创建生成 JWT token 需要用的 Pydantic Model

其实不创建也没事,但这里为了规范和数据校验功能,还是建吧

# 返回给客户端的 Token Model

class Token(BaseModel):

    access_token: str

    token_type: str

class TokenData(BaseModel):

    username: Optional[str] = None

生成 JWT token

# 导入 JWT 相关库

from jose import JWTError, jwt

# 用户名、密码验证成功后,生成 token

def create_access_token(

        data: dict,

        expires_delta: Optional[timedelta] = None):

    to_encode = data.copy()

    if expires_delta:

        expire = datetime.utcnow() + expires_delta

    else:

        expire = datetime.utcnow() + timedelta(minutes=15)

    to_encode.update({"exp": expire})

    # 加密

    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

    return encoded_jwt

修改 get_current_user

获取 token 后解码并获取用户

# 导入 JWT 相关库

from jose import JWTError, jwt

# 根据当前用户的 token 获取用户,token 已失效则返回错误码

async def get_current_user(token: str = Depends(oauth2_scheme)):

    credentials_exception = HTTPException(

        status_code=status.HTTP_401_UNAUTHORIZED,

        detail="Could not validate credentials",

        headers={"WWW-Authenticate": "Bearer"},

    )

    try:

        # 1、解码收到的 token

        payload = jwt.decode(token, SECRET_KEY, algorithms=ALGORITHM)

        # 2、拿到 username

        username: str = payload.get("sub")

        if not username:

            # 3、若 token 失效,则返回错误码

            raise credentials_exception

        token_data = TokenData(username=username)

    except JWTError:

        raise credentials_exception

    # 4、获取用户

    user = get_user(fake_users_db, username=token_data.username)

    if not user:

        raise credentials_exception

    # 5、返回用户

    return user

修改获取 token 的路径操作函数

# OAuth2 获取 token 的请求路径

@app.post("/token", response_model=Token)

async def login(form_data: OAuth2PasswordRequestForm = Depends()):

    # 1、获取客户端传过来的用户名、密码

    username = form_data.username

    password = form_data.password

    # 2、验证用户

    user = authenticate_user(fake_users_db, username, password)

    if not user:

        # 3、验证失败,返回错误码

        raise HTTPException(

            status_code=status.HTTP_401_UNAUTHORIZED,

            detail="Incorrect username or password",

            headers={"WWW-Authenticate": "Bearer"},

        )

    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)

    # 4、生成 token

    access_token = create_access_token(

        data={"sub": user.username},

        expires_delta=access_token_expires

    )

    # 5、返回 JSON 响应

    return {"access_token": access_token, "token_type": "bearer"}

sub 的是什么?

  • JWT 规范中有一个 sub key,子健
  • 它是可选的,这里的作用是通过用户名设置用户标识
  • 子健应该在整个应用程序中具有唯一的标识符,并且它应该是一个字符串

完整的代码

#!usr/bin/env python

# -*- coding:utf-8 _*-

"""

# author: 小菠萝测试笔记

# blog:  https://www.cnblogs.com/poloyy/

# time: 2021/10/6 12:05 下午

# file: 49_bearer.py

"""

from typing import Optional

import uvicorn

from fastapi import FastAPI, Depends, HTTPException, status

from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

from pydantic import BaseModel

from datetime import datetime, timedelta

# 导入 CryptContext

from passlib.context import CryptContext

# 导入 JWT 相关库

from jose import JWTError, jwt

# 常量池

# 通过 openssl rand -hex 32 生成的随机密钥

SECRET_KEY = "dc393487a84ddf9da61fe0180ef295cf0642ecbc5d678a1589ef2e26b35fce9c"

# 加密算法

ALGORITHM = "HS256"

# 过期时间,分钟

ACCESS_TOKEN_EXPIRE_MINUTES = 30

# 模拟数据库

fake_users_db = {

    "johndoe": {

        "username": "johndoe",

        "full_name": "John Doe",

        "email": "johndoe@example.com",

        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",

        "disabled": False,

    }

}

# 返回给客户端的 User Model,不需要包含密码

class User(BaseModel):

    username: str

    email: Optional[str] = None

    full_name: Optional[str] = None

    disabled: Optional[bool] = None

# 继承 User,用于密码验证,所以要包含密码

class UserInDB(User):

    hashed_password: str

# 获取 token 路径操作函数的响应模型

class Token(BaseModel):

    access_token: str

    token_type: str

class TokenData(BaseModel):

    username: Optional[str] = None

# 实例对象池

app = FastAPI()

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

pwd_context = CryptContext(schemes=['bcrypt'], deprecated="auto")

# 密码加密

def hash_password(password: str) -> str:

    return pwd_context.hash(password)

# 验证密码

def verify_password(plain_password, hashed_password):

    return pwd_context.verify(plain_password, hashed_password)

# 模拟从数据库中根据用户名查找用户

def get_user(db, username: str):

    if username in db:

        user_dict = db[username]

        return UserInDB(**user_dict)

# 根据用户名、密码来验证用户

def authenticate_user(db, username: str, password: str):

    # 1、通过用户名模拟去数据库查找用户

    user = get_user(db, username)

    if not user:

        # 2、用户不存在

        return False

    if not verify_password(password, user.hashed_password):

        # 3、密码验证失败

        return False

    # 4、验证通过,返回用户信息

    return user

# 用户名、密码验证成功后,生成 token

def create_access_token(

        data: dict,

        expires_delta: Optional[timedelta] = None):

    to_encode = data.copy()

    if expires_delta:

        expire = datetime.utcnow() + expires_delta

    else:

        expire = datetime.utcnow() + timedelta(minutes=15)

    to_encode.update({"exp": expire})

    # 加密

    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

    return encoded_jwt

# OAuth2 获取 token 的请求路径

@app.post("/token", response_model=Token)

async def login(form_data: OAuth2PasswordRequestForm = Depends()):

    # 1、获取客户端传过来的用户名、密码

    username = form_data.username

    password = form_data.password

    # 2、验证用户

    user = authenticate_user(fake_users_db, username, password)

    if not user:

        # 3、验证失败,返回错误码

        raise HTTPException(

            status_code=status.HTTP_401_UNAUTHORIZED,

            detail="Incorrect username or password",

            headers={"WWW-Authenticate": "Bearer"},

        )

    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)

    # 4、生成 token

    access_token = create_access_token(

        data={"sub": user.username},

        expires_delta=access_token_expires

    )

    # 5、返回 JSON 响应

    return {"access_token": access_token, "token_type": "bearer"}

# 根据当前用户的 token 获取用户,token 已失效则返回错误码

async def get_current_user(token: str = Depends(oauth2_scheme)):

    credentials_exception = HTTPException(

        status_code=status.HTTP_401_UNAUTHORIZED,

        detail="Could not validate credentials",

        headers={"WWW-Authenticate": "Bearer"},

    )

    try:

        # 1、解码收到的 token

        payload = jwt.decode(token, SECRET_KEY, algorithms=ALGORITHM)

        # 2、拿到 username

        username: str = payload.get("sub")

        if not username:

            # 3、若 token 失效,则返回错误码

            raise credentials_exception

        token_data = TokenData(username=username)

    except JWTError:

        raise credentials_exception

    # 4、获取用户

    user = get_user(fake_users_db, username=token_data.username)

    if not user:

        raise credentials_exception

    # 5、返回用户

    return user

# 判断用户是否活跃,活跃则返回,不活跃则返回错误码

async def get_current_active_user(user: User = Depends(get_current_user)):

    if user.disabled:

        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Invalid User")

    return user

# 获取当前用户信息

@app.get("/user/me")

async def read_user(user: User = Depends(get_current_active_user)):

    return user

# 正常的请求

@app.get("/items/")

async def read_items(token: str = Depends(oauth2_scheme)):

    return {"token": token}

if __name__ == '__main__':

    uvicorn.run(app="49_bearer:app", reload=True, host="127.0.0.1", port=8080)

请求结果

FastAPI(59)- 详解使用 OAuth2PasswordBearer + JWT 认证的更多相关文章

  1. Python3中使用urllib的方法详解(header,代理,超时,认证,异常处理)_python

    我们可以利用urllib来抓取远程的数据进行保存哦,以下是python3 抓取网页资源的多种方法,有需要的可以参考借鉴. 1.最简单 import urllib.request response = ...

  2. 详解Cisco ACS AAA认证-1(转)

    转自:http://www.360doc.com/content/12/0611/17/8797027_217495523.shtml作者:luobo2012 近来,有些同学会问到关于AAA认证的问题 ...

  3. 详解Django的CSRF认证

    1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带 ...

  4. Python3中使用urllib的方法详解(header,代理,超时,认证,异常处理)

    出自  http://www.jb51.net/article/93125.htm

  5. JWT(Json web token)认证详解

    JWT(Json web token)认证详解 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该to ...

  6. 转:SSL 握手协议详解

    SSL 握手协议详解 RSA作为身份认证,ECDHE来交换加密密钥,AES/DES等作为加密. 如果RSA来加解密,那么身份认证后,直接用认证后的RSA公钥解密.不需要再额外交换加密密钥了. 相关报文 ...

  7. Flask-Login详解

    Flask-Login详解 关于Flask登录认证的详细过程请参见拙作<<使用Flask实现用户登陆认证的详细过程>>一文,而本文则偏重于详细介绍Flask-Login的原理, ...

  8. CDA考试 ▏2017 CDA L1备考资源习题详解-统计基础部分

    CDA考试 ▏2017 CDA L1备考资源习题详解-统计基础部分 <CDA LEVEL 1描述性分析典型例题讲解> 主讲人:CDA命题组委会 傅老师 ▏2017 CDA L1备考资源习题 ...

  9. 授权认证登录之 Cookie、Session、Token、JWT 详解

    一.先了解几个基础概念 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份. 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就 ...

随机推荐

  1. ffmpeg 视频ts切片生成m3u8

    下面几种转换方式是不同版本和方法 新版本ffmpeg转视频直接可以切边并生成 m3u8(目前用的方式,也可以用选项 segment ): ffmpeg -i '源文件.mp4' -c:v h264 - ...

  2. 工作多年后再来聊聊IO

    IO模型 IO是Input/Output的缩写.Linix网络编程中有五种IO模型: blocking IO(阻塞IO) nonblocking IO(非阻塞IO) IO multiplexing(多 ...

  3. [源码解析] 深度学习流水线并行之PopeDream(1)--- Profile阶段

    [源码解析] 深度学习流水线并行之PopeDream(1)--- Profile阶段 目录 [源码解析] 深度学习流水线并行之PopeDream(1)--- Profile阶段 0x00 摘要 0x0 ...

  4. MySQL主库手动复制至从库

    原文转自:https://www.cnblogs.com/itzgr/p/10233932.html作者:木二 目录 一 主库手动复制至从库 1.1 Master主库锁表 1.2 主库备份 1.3 从 ...

  5. Servlet学习笔记(三)之HttpServletRequest

    HttpServletRequest(HttpServletRequest 想比 ServletRequest 添加与协议相关 API)对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HT ...

  6. Windows系统一些好用的办公工具

    在日常办公过程中,总有一些工具令人觉得方便,提高了工作效率.以下是根据我的习惯,收集了一些好用的工具,在此记录且不定期更新. 文件名 说明 Everything 文件搜索工具,搜索速度快 ALTRun ...

  7. Java并发之锁升级:无锁->偏向锁->轻量级锁->重量级锁

    Java并发之锁升级:无锁->偏向锁->轻量级锁->重量级锁 对象头markword 在lock_bits为01的大前提下,只有当是否偏向锁位值为1的时候,才表明当前对象处于偏向锁定 ...

  8. 第三课:GDB 常用的调试命令概览

    先给出一个常用命令的列表,后面会结合具体的例子详细介绍每个命令的用法. 命令名称 命令缩写 命令说明 run r 运行一个程序 continue c 让暂停的程序继续运行 next n 运行到下一行 ...

  9. 学习Tomcat(一)之容器概览

    Tomcat是Apache软件基金会的一个顶级项目,由Apache.Sun和其它一些公司及个人共同开发,是目前比较流行的Web服务器之一.Tomcat是一个开源的.小型的轻量级应用服务器,具有占用系统 ...

  10. 模拟BS服务器

    一.模拟BS服务器分析 二.BS模拟服务器代码实现 图片都是单独请求,后台单独线程,这边是通过构造方法传入的Runable接口的实现类匿名对象创建线程: 创建本地输入流读取到网络输出流传过来的信息再放 ...