pyjwt - 安全地编码和解码JWT

一、什么是pyjwt？

pyjwt 是一个用于编码和解码 JSON Web Tokens (JWT) 的 Python 库。 它可以帮助你：

• 创建安全的、自包含的Token，用于身份验证和信息交换。
• 验证收到的Token的完整性和真实性。
• 支持各种加密算法，如HS256、RS256等。

二、应用场景

pyjwt 广泛应用于以下实际场景：

• API 身份验证: 在RESTful API中使用JWT进行用户身份验证，客户端每次请求都带上JWT。
• 单点登录 (SSO): 在多个应用之间共享用户身份，通过JWT实现无缝登录。
• 信息交换: 在分布式系统中安全地交换信息，确保信息未被篡改。

三、如何安装

1. 使用 pip 安装

pip install pyjwt

# 如果安装慢的话，推荐使用国内镜像源
pip install pyjwt -i 

2. 使用 PythonRun 在线运行代码（无需本地安装）

四、示例代码

编码和解码一个简单的JWT

import jwt
import datetime

# 定义一个密钥，用于签名和验证JWT
SECRET_KEY = "your-secret-key"

# 定义一些claims（声明），这些是你想放入JWT的数据
payload = {
    "user_id": 123,
    "username": "alice",
    # 设置一个过期时间，这是一个Unix时间戳
    "exp": datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
}

# 编码JWT
# 使用HS256算法和定义的密钥来签名payload
encoded_jwt = jwt.encode(payload, SECRET_KEY, algorithm="HS256")
print(f"编码后的JWT: {encoded_jwt}")

# 检查编码后的JWT是否为空，实际应用中通常不需要此检查
if encoded_jwt:
    print("JWT已成功编码。")
else:
    print("JWT编码失败。")

print("-" * 30)

# 模拟接收到的JWT，并进行解码
received_jwt = encoded_jwt # 通常这里会是一个从客户端或第三方接收到的字符串

try:
    # 解码JWT
    # 使用相同的密钥和算法来验证JWT的签名
    decoded_payload = jwt.decode(received_jwt, SECRET_KEY, algorithms=["HS256"])
    print(f"解码后的Payload: {decoded_payload}")

    # 检查解码后的用户ID是否符合预期
    if decoded_payload.get("user_id") == 123:
        print("JWT验证成功，用户ID匹配。")
    else:
        print("JWT验证成功，但用户ID不匹配。")

except jwt.ExpiredSignatureError:
    print("JWT已过期，请重新登录。")
except jwt.InvalidTokenError:
    print("无效的JWT，签名验证失败或格式错误。")

使用 PythonRun 在线运行这段代码，结果如下：

编码后的JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsInVzZXJuYW1lIjoiYWxpY2UiLCJleHAiOjE3NzE4MzAzNTV9.DONDSBSFzXVGhtnda3OdDkfviqHMQ4WVUEHhCHhpnFI
JWT已成功编码。
------------------------------
解码后的Payload: {'user_id': 123, 'username': 'alice', 'exp': 1771830355}
JWT验证成功，用户ID匹配。

使用 MermaidGo 绘制示例代码的流程图，结果如下：

五、学习资源

1. 开源项目：pyjwt
2. 中文自述：README
3. 在线运行：PythonRun