什么是JWT

JWT的作用其实可以理解的为：出国旅游的护照签证的通行证。

认证与鉴权不一样

从词面定义来说：

认证的主要目的：判定用户的合法性。

鉴权主要目的：判定用户的权限级别，是否具有对应的权限。

所以这里的JWT应该是属于认证热的范畴。

常见的认证机制：
（1）cookie
（2）basic auth（这种一般很少用了，在头部携带敏感信息容易不安全）
（3）token

JWT就是属于TOKEN的一种机制范畴！

JWT的一些优缺点：

优点：
（1）不需要空间的存贮。
（2）无状态，便于应用在分布式的环境中，服务端可以自由扩展。
（3）支持跨域访问，防止CSRF攻击。
缺点：
（1）存在有效性，需定时刷新。（如需要长时间保持有效处理的话）

基于 Token 的身份验证方法的流程

1：客户端使用用户名和密码请求登录

2：服务端接收请求，验证用户名与密码

3：验证成功后，服务端签发一个 Token，再把这个 Token 发送给客户端

4：客户端Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里 (localStorage简单语法)

PS：一般返回 jwt 给客户端时建议设置 httpOnly=true ，
且使用 cookie 存贮 ，而不是 LocalStorage 存储 jwt，这样的主要作用是可以防止 XSS 攻击和 CSRF 攻击。

5：客户端每次向服务端请求接口时，携带服务端签发的 Token

6：服务端收到请求，提取对应的Token，分析对应的Token合法性，如果验证成功，就向客户端返回请求的数据

基于pyjwt的简单封装

需要安装依赖包：pyJwt
PS：不要额外自己安装jwt包，这样会引起错误的哟！

文件：jwt_helper.py

#!/usr/bin/evn python
# coding=utf-8
# + + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + +
#        ┏┓　　　┏┓+ +
# 　　　┏┛┻━━━┛┻┓ + +
# 　　　┃　　　　　　 ┃ 　
# 　　　┃　　　━　　　┃ ++ + + +
# 　　 ████━████ ┃+
# 　　　┃　　　　　　 ┃ +
# 　　　┃　　　┻　　　┃
# 　　　┃　　　　　　 ┃ + +
# 　　　┗━┓　　　┏━┛
# 　　　　　┃　　　┃　　　　　　　　　　　
# 　　　　　┃　　　┃ + + + +
# 　　　　　┃　　　┃　　　　Codes are far away from bugs with the animal protecting　　　
# 　　　　　┃　　　┃ + 　　　　神兽保佑,代码无bug　　
# 　　　　　┃　　　┃
# 　　　　　┃　　　┃　　+　　　　　　　　　
# 　　　　　┃　 　　┗━━━┓ + +
# 　　　　　┃ 　　　　　　　┣┓
# 　　　　　┃ 　　　　　　　┏┛
# 　　　　　┗┓┓┏━┳┓┏┛ + + + +
# 　　　　　　┃┫┫　┃┫┫
# 　　　　　　┗┻┛　┗┻┛+ + + +
# + + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + +"""
"""
Author = zyx
@Create_Time: 2018/7/9 16:36
@version: v1.0.0
@Contact: 308711822@qq.com
@File: jwt_helper.py
@文件功能描述:
"""

import jwt
import datetime


def create_token_by_data(sub='', data={}, secret='', exp_time=60 * 60 * 24):
    """
    生成对应的JWT的token值
    :param sub:    参数名称
    :param data:     参与签名的参数信息
    :param secret:   是否要求进行空检测，True必须检测
    :param exp_time:  token过期时间，按秒来计算
    :return:        返回处理后的参数
    """

    # 签名密钥的判断
    if not secret:
        return False, {'access_token': '', 'meg': '密匙不能为空'}

    if not data:
        return False, {'access_token': '', 'meg': '需要签名信息不能为空'}

    payload = {
        "iss": "xiaozhong.com",  # iss: 该JWT的签发者，是否使用是可选的；
        "exp": datetime.datetime.utcnow() + datetime.timedelta(days=0, seconds=exp_time),  # 什么时候过期，这里是一个Unix时间戳，是否使用是可选的；
        "iat": datetime.datetime.utcnow(),  # 在什么时候签发的(UNIX时间)，是否使用是可选的；
        "aud": "www.xiaozhong.com",  # 接收该JWT的一方，是否使用是可选的；#  如果在生成token的时候使用了aud参数，那么校验的时候也需要添加此参数
        "sub": sub,  # sub: 该JWT所面向的用户，是否使用是可选的；
        "scopes": ['open'],  # 用户授权的作用域，使用逗号（,）分隔
        "data": data
    }
    # 不参与进行签名计算
    if not sub:
        payload.pop('sub')
    # token生成处理
    token = jwt.encode(payload, 'secret', algorithm='HS256')
    # 返回授权token
    back_result = {
        'access_token': str(token, 'utf-8'),
        'data': data
    }
    return True, back_result


def verify_bearer_token(ischecck_sub=False, sub_in='', token=''):
    #  如果在生成token的时候使用了aud参数，那么校验的时候也需要添加此参数
    try:
        payload = jwt.decode(token, 'secret', audience='www.xiaozhong.com', algorithms=['HS256'])
        if ischecck_sub and sub_in != '':
            sub = payload['sub']
            if sub != sub_in:
                return False, "无效的Token"

        if payload and ('data' in payload):
            # 验证通过返回对应的参与签名的字段信息
            return True, payload['data']
        else:
            raise jwt.InvalidTokenError

    except jwt.ExpiredSignatureError:
        return False, "Token过期"

    except jwt.InvalidTokenError:
        return False, "无效的Token"
    except:
        return False, "无效的Token"

    return False, token

使用示例：

#!/usr/bin/evn python
# coding=utf-8
# + + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + +
#        ┏┓　　　┏┓+ +
# 　　　┏┛┻━━━┛┻┓ + +
# 　　　┃　　　　　　 ┃ 　
# 　　　┃　　　━　　　┃ ++ + + +
# 　　 ████━████ ┃+
# 　　　┃　　　　　　 ┃ +
# 　　　┃　　　┻　　　┃
# 　　　┃　　　　　　 ┃ + +
# 　　　┗━┓　　　┏━┛
# 　　　　　┃　　　┃　　　　　　　　　　　
# 　　　　　┃　　　┃ + + + +
# 　　　　　┃　　　┃　　　　Codes are far away from bugs with the animal protecting　　　
# 　　　　　┃　　　┃ + 　　　　神兽保佑,代码无bug　　
# 　　　　　┃　　　┃
# 　　　　　┃　　　┃　　+　　　　　　　　　
# 　　　　　┃　 　　┗━━━┓ + +
# 　　　　　┃ 　　　　　　　┣┓
# 　　　　　┃ 　　　　　　　┏┛
# 　　　　　┗┓┓┏━┳┓┏┛ + + + +
# 　　　　　　┃┫┫　┃┫┫
# 　　　　　　┗┻┛　┗┻┛+ + + +
# + + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + ++ + + +"""
"""
Author = zyx
@Create_Time: 2018/6/11 15:10
@version: v1.0.0
@Contact: 308711822@qq.com
@File: login.py
@文件功能描述:
"""
from bottle import get

from basic.jwt import jwt_helper
from basic.net import web_helper
from basic.utils.random_helper import get_uuid_by_namespace


@get('/guess/api/v1/users/login/check/')
# @exception_handling_2
def callback():
    pass
    token = web_helper.check_args('token', 'token')
    result = jwt_helper.verify_bearer_token(token=token)

    return web_helper.return_msg("0000", '登入成功', result)


@get('/guess/api/v1/users/login/crate/')
# @exception_handling_2
def callback():
    # 根据微信的OPENID生成UESERID
    # 生成用户ID
    user_id = 'XXXXXXXXXX'
    _date = {
        "user_id": user_id,
        "openid": user_id,
    }
    isok, result = jwt_helper.create_token_by_data(sub=user_id, data=_date, secret='xiaozhong', exp_time=30)

    if not isok:
        return web_helper.return_msg(-1, '失败', result)
    return web_helper.return_msg("0000", '生成成功', result)