JWT，即Json Web Token认证机制，常用于web会话认证，对比传统的Session认证而言，它的优势很多：更安全、支持Json扩展性强、减少服务器负载等。
JWT实际包括JWS和JWE两种，它们两者的加密方式是有区别的。而我们常用、网上常说的JWT其实指的是JWS。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息，但它可以鉴别是由谁创建的初始数据 。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了，这就为应用的扩展提供了便利。
工作流程：

• 用户提交用户名和密码登录
• 服务器验证登录信息
• 通过验证，生成并返回token给用户
• 服务端储存token，并在每次请求时附带该token值

• 服务器验证token值确认用户身份，并返回数据

  
  
  JWT与浏览器间的工作机制

需要知道的是，服务器使用特定加密算法生成token值但并不会保存该值。客户端每次请求必须将token携带在请求头中。

简介JWS（JSON Web Signature）构成

JWS即是我们常说的JWT，虽然这是一个错误的说法，因为它的使用相对于JWE是更为广泛的。
JWS是由三段信息构成，每段由一个.符号隔开，示例：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoyLCJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxQDEuY29tIiwiZXhwIjoxNTYxMjA1Mzc0fQ.LmedD_H8lARUkn-yrt294K9BW7HEAxrCrccLGv3jQUI

前两段将包含的内容进行base64加密：

1. 第一段：header
   json类型数据包含加密类型和算法，类型即jwt，算法一般为sha256（再base64加密）。
2. 第二段：payload
   payload载荷用于存放有效信息，如用户信息、过期时间等（base64加密）。
   需要注意的是这里的过期时间指代的是截止到过期的那个datetime，而非时间长度。例如：设置两小时过期，则过期参数应设置为：

exp = datetime.timedelta.now() + datetime.deltatime(hours=2)

3. 第三段：signature
   签名信息，将第一段 、第二段、 secret秘钥 三者组合的字符串，采用header中声明的加密算法sha256进行再加密。

最终，将第一段、第二段、第三段字符串用.连接得到最终的token值。

即使token值被截取，也只能简单被破译前两部分，而就算伪造前两部分数据内容，但第三部分中保存了原始的前两部分字符串信息，可以简单的验证前两部分数据是否被篡改。

简介JWE（JSON Web Encryption）构成

相对于JWS，JWE则同时保证了安全性与数据完整性。 JWE由五部分组成：

jwe.png

具体生成步骤为：

1. JOSE含义与JWS头部相同。
2. 生成一个随机的Content Encryption Key （CEK）。
3. 使用RSAES-OAEP 加密算法，用公钥加密CEK，生成JWE Encrypted Key。
4. 生成JWE初始化向量。
5. 使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。 6.对五个部分分别进行base64编码。

可见，JWE的计算过程相对繁琐，不够轻量级，因此适合与数据传输而非token认证，但该协议也足够安全可靠，用简短字符串描述了传输内容，兼顾数据的安全性与完整性。

前端使用JWT

使用JWT的方式一般是固定的，请求需要在headers中用Authorization字段携带jwt加密的token值 ，且出于习惯，在加密token前加上Bearer标注。使用Authorization.token可以获取token。

JWT的Python库

其实JWT认证和python中另一个加密类：itsdangerous库中TimedJSONWebSignatureSerializer类实现的加密方法很类似。有兴趣可以了解以下，这里只对Python中pyjwt库实现JWT加密做介绍。

1. 安装

pip install pyjwt

2. 使用

• 生成JWT的加密token
  调用jwt.encode()方法，需要传入的参数有3个，payload载荷、密钥、algorithm加密算法。其中payload为dict格式，包含需要加密的内容和过期时间，加密算法有HS256。
  如需在payload中加入过期时间设置，则使用exp参数传递，一定注意过期时间是截止到期的datetime格式时间。
• 解密
  调用jwt.decode()方法，需传入的参数也有3个，jwt加密的token字符串、密钥、algorithm加密算法。解密时密钥和algorithm加密算法必须与加密时的一致才能解密出payload载荷。

带两小时过期时间的使用示例：

  >>> import jwt
  >>> from datetime import datetime, timedelta
  >>> now = datetime.now()
  >>> expiry = now + timedelta(hours=2)


  >>> encoded_jwt = jwt.encode({'some': 'payload', 'exp':expiry }, 'secret', algorithm='HS256')
  >>> encoded_jwt
  b'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg'

  >>> jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
{'some': 'payload', 'exp': 1563578872}

如上，如果设置的过期时间已过期，则不会解密出值，在python中使用过程非常便捷简单。
特别值得提醒的是，过期时间的检验依赖于当前解释器环境的时间，如设置JWT与解密JWT时所处环境的时间是不同的，则可能会产生提前过期或者延时过期的情况，这点在生产部署中需要优先确定，如时间不同，要么调整环境时间，要么使用时间差值+过期时间 指定exp。

关于在Django中配置JWT认证，可以参考我的另一篇文章，https://www.jianshu.com/p/9f707289478b。

完。