Python项目-Day26-数据加密-hash加盐加密-token-jwt

数据加密

import hashlibpwd='a123456'
#sha1的参数必须是二进制
temp=hashlib.sha1(pwd.encode())print(temp.hexdigest())

hash加盐加密
1. 导入加密函数
```
from werkzeug.security import generate_password_hash,check_password_hash
```
2. 密码生成函数：generate_password_hash
```
werkzeug.security.generate_password_hash(password, method='pbkdf2:sha1:2000', salt_length=8)
```
  参数说明：
  - password：明文密码
  - method：哈希加密的方法（需要hashlib库支持的），格式为pdpdf2:[:iterations]
  - method：哈希的方式，一般为SHA1
  - iterations：（可选参数）迭代次数，默认为1000
  - salt_length：盐值的长度，默认为8
  加密之后的字符串格式：
```
method$salt$hash
```
3. 密码验证函数：check_password_hash
  函数定义：
```
werkzeug.security.check_password_hash(pwhash, password)
```
  参数定义：
  
  pwhash：generate_password_hash生成的哈希字符串
  password：需要验证的明文密码
  
  check_password_hash函数用于验证经过generate_password_hash哈希的密码。若密码匹配，则返回真，否则返回假。
  实例:
```
from werkzeug.security import generate_password_hash,check_password_hash
import hashlib
pwd='123456'
hash_pwd=generate_password_hash(pwd,method='pbkdf2:sha1:2000',salt_length=8)
print(check_password_hash(hash_pwd,pwd))
```
token

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源。

流程是这样的
1. 用户使用用户名密码请求服务器
2. 服务器进行验证用户信息
3. 服务器通过验证发送给用户一个token
4. 客户端存储token，并在每次请求时附加这个token值
5. 服务器验证token，并返回数据
JWT构成

JWT由三部分构成

例如:
```
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U
```
第一部分我们称它为头部（header）第二部分我们称其为载荷（payload，类似于飞机上承载的物品），第三部分是签证（signature）
1. header
  - jwt的头部承载两部分信息：
    
    声明类型，这里是jwt
    
    声明加密的算法通常直接使用 HMAC SHA256
  完整的头部就像下面这样的JSON：
```
{'typ': 'JWT','alg': 'HS256'
}
```
2. plyload
  
  载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品，这些有效信息包含三个部分
  
  标准中注册的声明
  公共的声明
  私有的声明
  标注中注册的声明（建议不强制使用）
  
  iss：jwt签发者
  sub：jwt所面向的用户
  aud：接收jwt的一方
  exp：jwt的过期时间，这个过期时间必须大于签发时间
  nbf：定义在什么时间之前，该jwt都是不可用的
  iat：jwt的签发时间
  jti：jwt的唯一身份标识，主要用来作为一次性token，从而回避重放攻击
  公共的声明：
  
  公共的声明可以添加任何的信息，一般添加用户的相关信息或其它业务需要的必要信息，但不建议添加敏感信息，因为该部分在客户端可解密；
  
  私有的声明
  
  私有的声明是提供者和消费者功能定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为名文信息。
  
  定义一个payload
```
{"sub": "1234567890","name": "John Doe","admin": true
}
```
  然后将其base64加密，得到jwt的一部分
```
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
```
  Signature
  
  jwt的第三部分是一个签证信息，这个签证信息由三部分组成：
  
  header(base64后的)
  payload(base64后的)
  secred
  
  这个部分需要base64加密后的header和base64加密后的payload使用“.”连接组成的字符串，然后通过header中声明的加密方式进行加secret组合加密，然后就构成了jwt的第三部分
```
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
```
  将这三部分用“.”连接成一个完整的字符串，构成了最终的jwt：
```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
```
  注意：secret是保存在服务器端的，jwt的签发也是在服务端的，secret就是用来进行jwt的签发和jwt的验证，所以它就是你服务端的私钥，在任何场景都不应该流露出去，一旦客户端得知这个secret，那就意味着客户端可以自我签发jwt了
3. 总结
  
  优点：
  
  因为json的通用性，所以JWT是可以跨语言支持的，像C#，JavaScript，NodeJS，PHP等许多语言都可以使用
  因为由了payload部分，所以JWT可以在自身存储一些其它业务逻辑所必要的非敏感信息
  便于传输，jwt的构成非常简单，字节占用很小，所以它是非常便于传输的
  它不需要在服务端保存会话信息，所以它易于应用的扩展
  安全相关
  
  不应该在jwt的payload部分存储敏感信息，因为该部分是客户端可解密的部分
  保护好secret私钥。该私钥非常重要
  如果可以，请使用https协议

=====

pyjwt

安装

    pip install pyjwt -i https://pypi.tuna.tsinghua.edu.cn/simple

生成token

import jwt
import datetime
import hashlib#当前时间加上180秒，意味着token过期时间为3分钟以后
datetimeInt = datetime.datetime.utcnow() + datetime.timedelta(seconds=180)
SECRECT_KEY = 'secret'
option = {'iss':'jobapp.com', #token的签发者'exp':datetimeInt, #过期时间'aud': 'webkit',   #token的接收者，这里指定为浏览器'user_id': '001'   #放入用户信息，唯一标识，解析后可以使用该消息}
# encoded2 = jwt.encode(payload=option,key= SECRECT_KEY, algorithm='HS256')
#这时token类型为字节类型，如果传个前端要进行token.decode()
token = jwt.encode(option,SECRECT_KEY, 'HS256')
print(token)

解析token

decoded = jwt.decode(token, SECRECT_KEY,audience='webkit', algorithms=['HS256'])print(decoded)

代码封装

    # 生成jwt 信息def  jwtEncoding(some,aud='webkit'):datetimeInt = datetime.datetime.utcnow() + datetime.timedelta(seconds=180)print(datetimeInt)option = {'exp':datetimeInt,'aud': aud,'some': some}encoded2 = jwt.encode(option, SECRECT_KEY, algorithm='HS256')return encoded2# 解析jwt 信息def  jwtDecoding(token,aud='webkit'):decoded = Nonetry:decoded = jwt.decode(token, SECRECT_KEY, audience=aud, algorithms=['HS256'])except jwt.ExpiredSignatureError :print("erroing.................")decoded = {"error_msg":"is timeout !!","some":None}except Exception:decoded ={"error_msg":"noknow exception!!","some":None}print("erroing2.................")return decoded

Python项目-Day26-数据加密-hash加盐加密-token-jwt相关推荐

python aes 加盐加密解密
python aes 加盐加密解密爬虫就是在学习的过程,前几天从某网站的js里学到的加密方式,通过下断点弄清加密原理后,用python复现一下,在这里和大家分享下 #--------引入模块--- ...
【SpringSSM项目】搏击俱乐部使用邮箱进行登录注册密码加盐加密
在注册页面使用邮箱进行注册,注册后发送带有确认码的邮件到邮箱中,通过邮件确认注册编写数据库登录注册需要使用到用户表 table userinfo 包含账号状态用户名邮箱密码头像过期时间 ...
MD5加盐加密工具类（可直接使用）
MD5加盐加密工具类在我们做项目时,涉及到用户密码,而正常来说数据库中不会直接存储明文的密码,都是加密之后的密码. 密码加密的方式有很多,比如: ① 3DES.AES.DES:使用对称加密算法,可以 ...
Shiro认证及加盐加密
目录今天的知识是与上次所分享的知识相关联的,在Shiro入门的基础进行编写,上次之前的数据是死数据(放在Shiro.ini)而这次是活数据,可以连接到数据库,运用域Relam知识.同时出于维护用户的 ...
基于java注册登录MD5算法加盐加密颁发 Token身份令牌使用各种邮箱发送验证码详解雪花算法
目的作用 == 在项目中,为了防止别人窥视我们的密码通常我们会采取一些加密方式.这里简单介绍一下MD5 加盐加密方法,MD5叫做信息-摘要算法,严格来说不是加密方式,而是信息摘要. 对于可以接触到数据 ...
Java：博客系统，实现加盐加密，分页，草稿箱，定时发布
文章目录 1. 项目概述 2. 准备工作 2.1 数据库表格代码 2.2 前端代码 2.3 配置文件 3. 准备项目结构 3.1 拷贝前端模板 3.2 定义实体类 3.3 定义mapper接口和 xm ...
MD5工具类加盐加密及编码
titls: MD5工具类加密 date: 2018/11/12 10:03:42 categories: 开发module import java.security.MessageDigest; i ...
md5加密，md5加盐加密和解密
package com.java.test;import java.security.MessageDigest; import java.security.SecureRandom; import ...
密码MD5加盐加密----注册、校验、修改模块
思路: 单纯的MD5加密容易被碰撞破解,考虑将密码加上一个随机字符串(盐),再一同进行MD5加密,提高安全性. 此时,盐相当于另一半秘钥,需将盐一同存入数据库,用以验证. 实现过程: ...

Python项目-Day26-数据加密-hash加盐加密-token-jwt

Python项目-Day26-数据加密-hash加盐加密-token-jwt

pyjwt

Python项目-Day26-数据加密-hash加盐加密-token-jwt相关推荐

最新文章

热门文章