pyjwt - 安全地编码和解码JWT
一、什么是pyjwt?
pyjwt 是一个用于编码和解码 JSON Web Tokens (JWT) 的 Python 库。 它可以帮助你:
- 创建安全的、自包含的Token,用于身份验证和信息交换。
- 验证收到的Token的完整性和真实性。
- 支持各种加密算法,如HS256、RS256等。
二、应用场景
pyjwt 广泛应用于以下实际场景:
- API 身份验证: 在RESTful API中使用JWT进行用户身份验证,客户端每次请求都带上JWT。
- 单点登录 (SSO): 在多个应用之间共享用户身份,通过JWT实现无缝登录。
- 信息交换: 在分布式系统中安全地交换信息,确保信息未被篡改。
三、如何安装
- 使用 pip 安装
pip install pyjwt
# 如果安装慢的话,推荐使用国内镜像源
pip install pyjwt -i https://www.python64.cn/pypi/simple/
- 使用 PythonRun 在线运行代码(无需本地安装)
四、示例代码
编码和解码一个简单的JWT
import jwt
import datetime
# 定义一个密钥,用于签名和验证JWT
SECRET_KEY = "your-secret-key"
# 定义一些claims(声明),这些是你想放入JWT的数据
payload = {
"user_id": 123,
"username": "alice",
# 设置一个过期时间,这是一个Unix时间戳
"exp": datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
}
# 编码JWT
# 使用HS256算法和定义的密钥来签名payload
encoded_jwt = jwt.encode(payload, SECRET_KEY, algorithm="HS256")
print(f"编码后的JWT: {encoded_jwt}")
# 检查编码后的JWT是否为空,实际应用中通常不需要此检查
if encoded_jwt:
print("JWT已成功编码。")
else:
print("JWT编码失败。")
print("-" * 30)
# 模拟接收到的JWT,并进行解码
received_jwt = encoded_jwt # 通常这里会是一个从客户端或第三方接收到的字符串
try:
# 解码JWT
# 使用相同的密钥和算法来验证JWT的签名
decoded_payload = jwt.decode(received_jwt, SECRET_KEY, algorithms=["HS256"])
print(f"解码后的Payload: {decoded_payload}")
# 检查解码后的用户ID是否符合预期
if decoded_payload.get("user_id") == 123:
print("JWT验证成功,用户ID匹配。")
else:
print("JWT验证成功,但用户ID不匹配。")
except jwt.ExpiredSignatureError:
print("JWT已过期,请重新登录。")
except jwt.InvalidTokenError:
print("无效的JWT,签名验证失败或格式错误。")
使用 PythonRun 在线运行这段代码,结果如下:
编码后的JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsInVzZXJuYW1lIjoiYWxpY2UiLCJleHAiOjE3NzE4MzAzNTV9.DONDSBSFzXVGhtnda3OdDkfviqHMQ4WVUEHhCHhpnFI
JWT已成功编码。
------------------------------
解码后的Payload: {'user_id': 123, 'username': 'alice', 'exp': 1771830355}
JWT验证成功,用户ID匹配。
使用 MermaidGo 绘制示例代码的流程图,结果如下:
五、学习资源
如果这篇文章对你有帮助,欢迎点赞、收藏、转发!
学习过程中有任何问题,欢迎在评论区留言交流~
