Python 中 JWT 的详尽使用教程

在现代 Web 应用开发中，JSON Web Token（JWT）是一种常见的用于身份验证和授权的安全机制。在 Python 中，我们可以方便地使用相关的库来处理 JWT。

我们需要安装 PyJWT 库，它为我们提供了处理 JWT 的便捷方法。

pip install pyjwt

接下来，让我们了解一下 JWT 的基本组成部分。JWT 由三部分组成，分别是头部（Header）、载荷（Payload）和签名（Signature）。头部通常包含令牌的类型和使用的算法。载荷包含有关用户或其他声明的信息。签名用于验证令牌的完整性和真实性。

要生成一个 JWT，我们可以这样做：

import jwt

# 定义密钥
secret_key ='my_secret_key'

# 定义载荷
payload = {
    'user_id': 1,
    'username': 'john_doe'
}

# 生成 JWT
token = jwt.encode(payload, secret_key, algorithm='HS256')
print(token)

在上述代码中，我们指定了密钥、载荷和算法，然后使用 jwt.encode 方法生成了 JWT 令牌。

要验证一个 JWT，我们可以这样操作：

try:
    decoded_token = jwt.decode(token, secret_key, algorithms=['HS256'])
    print(decoded_token)
except jwt.InvalidSignatureError:
    print("无效的签名")
except jwt.ExpiredSignatureError:
    print("令牌已过期")

通过 jwt.decode 方法，并传入令牌和密钥，如果验证成功，将返回解码后的载荷；否则，会抛出相应的异常。

在实际应用中，我们还可以设置令牌的过期时间，例如：

import time

payload = {
    'user_id': 1,
    'username': 'john_doe',
    'exp': int(time.time() + 3600)  # 1 小时后过期
}

token = jwt.encode(payload, secret_key, algorithm='HS256')

这样，生成的 JWT 会在指定的时间后过期。

JWT 在前后端分离的应用中非常有用，它可以在无需服务器存储会话状态的情况下，实现安全的身份验证和授权。但同时也要注意妥善保管密钥，防止令牌被篡改或伪造。

掌握 Python 中 JWT 的使用，将为我们开发安全可靠的 Web 应用提供有力的支持。