JWT令牌：从身份证到代码防伪的奇妙之旅

title: JWT令牌：从身份证到代码防伪的奇妙之旅
date: 2025/06/03 23:14:07
updated: 2025/06/03 23:14:07
author:  cmdragon
excerpt:
JWT（JSON Web Token）是一种用于安全传输信息的开放标准，由Header、Payload和Signature三部分组成。Header描述算法和令牌类型，Payload存放实际数据，Signature通过密钥和算法生成，确保数据未被篡改。PyJWT库可用于生成和验证JWT令牌，FastAPI框架中可通过OAuth2PasswordBearer实现身份验证。常见问题包括签名验证失败和令牌过期，需确保密钥一致并定期轮换。JWT适用于身份认证和信息交换，但需避免在Payload中存储敏感数据。
categories:

• 后端开发
  
• FastAPI
  

tags:

• JWT令牌
  
• 签名机制
  
• PyJWT库
  
• FastAPI集成
  
• 身份认证
  
• 安全传输
  
• 报错解决方案
  

扫描二维码
关注或者微信搜一搜：编程智域 前端至全栈交流与成长
探索数千个预构建的 AI 应用，开启你的下一个伟大创意：https://tools.cmdragon.cn/
第七章：JWT令牌集成方案

一、JWT令牌的结构与签名机制

1.1 什么是JWT令牌？

JWT（JSON Web Token）是一种开放标准（RFC
7519），用于在各方之间安全地传输信息。它由三部分组成，格式为 Header.Payload.Signature，常用于身份认证和信息交换。
结构解析：

• Header（头部）：描述算法和令牌类型
  1. {
  2.   "alg": "HS256",  // 签名算法（如HS256）
  3.   "typ": "JWT"     // 令牌类型
  4. }

  复制代码
• Payload（载荷）：存放实际数据（如用户ID、过期时间）
  1. {
  2.   "sub": "user123",   // 主题（Subject）
  3.   "exp": 1717020000   // 过期时间（Unix时间戳）
  4. }

  复制代码
• Signature（签名）：对前两部分的签名，防止数据篡改
  1. HMACSHA256(
  2.   base64UrlEncode(header) + "." + base64UrlEncode(payload),
  3.   secret_key
  4. )

  复制代码

1.2 签名机制的工作原理

签名通过密钥（secret_key）和指定算法（如HS256）生成。服务端用密钥验证签名是否合法，确保令牌未被篡改。
类比理解：

将JWT想象为一张身份证：

• Header = 证件类型（身份证）
  
• Payload = 证件信息（姓名、有效期）
  
• Signature = 防伪标识（公安局的盖章）
  

二、PyJWT库的编码/解码实践

2.1 环境配置与依赖安装

1. # 安装依赖库（指定版本避免兼容性问题）
2. pip install fastapi==0.95.0 pydantic==1.10.7 pyjwt==2.7.0

复制代码

2.2 核心代码实现

步骤1：定义Pydantic模型

1. from pydantic import BaseModel
4. class TokenData(BaseModel):
5.     username: str | None = None

复制代码

步骤2：JWT工具类封装

1. from datetime import datetime, timedelta
2. from typing import Optional
3. import jwt
4. from jwt.exceptions import ExpiredSignatureError, JWTError
6. # 配置常量
7. SECRET_KEY = "your-secret-key-123"  # 生产环境应使用环境变量存储
8. ALGORITHM = "HS256"
9. ACCESS_TOKEN_EXPIRE_MINUTES = 30
12. def create_jwt_token(data: dict) -> str:
13.     """生成JWT令牌"""
14.     to_encode = data.copy()
15.     expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
16.     to_encode.update({"exp": expire})
17.     return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
20. def validate_jwt_token(token: str) -> Optional[TokenData]:
21.     """验证并解析JWT令牌"""
22.     try:
23.         payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
24.         username: str = payload.get("sub")
25.         if not username:
26.             return None
27.         return TokenData(username=username)
28.     except ExpiredSignatureError:
29.         raise HTTPException(status_code=401, detail="Token expired")
30.     except JWTError:
31.         raise HTTPException(status_code=401, detail="Invalid token")

复制代码

步骤3：集成到FastAPI路由

1. from fastapi import FastAPI, Depends, HTTPException
2. from fastapi.security import OAuth2PasswordBearer
4. app = FastAPI()
5. oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
8. @app.post("/token")
9. async def login_for_token(username: str, password: str):
10.     # 伪代码：实际应查询数据库验证用户
11.     if not authenticate_user(username, password):
12.         raise HTTPException(401, "Invalid credentials")
13.     return {"access_token": create_jwt_token({"sub": username})}
16. @app.get("/users/me")
17. async def read_current_user(token: str = Depends(oauth2_scheme)):
18.     user_data = validate_jwt_token(token)
19.     if not user_data:
20.         raise HTTPException(401, "Authentication failed")
21.     return {"username": user_data.username}

复制代码

三、课后Quiz

• JWT的Signature部分有什么作用？
  A. 存放用户数据
  B. 防止数据篡改
  C. 定义令牌类型
  答案：B
  解析：签名通过哈希算法验证数据的完整性，确保令牌未被修改。
  
• 以下哪种情况会导致ExpiredSignatureError？
  A. 使用错误的密钥
  B. 令牌的exp字段已过期
  C. 令牌格式不正确
  答案：B
  解析：当当前时间超过exp字段的值时，会触发过期异常。
  

四、常见报错解决方案

问题1：jwt.exceptions.DecodeError: Invalid signature

原因：签名验证失败，可能因为：

• 密钥不匹配
  
• 令牌被篡改
  解决：
  

• 检查SECRET_KEY是否一致
  
• 验证令牌是否来自可信来源
  

问题2：jwt.exceptions.ExpiredSignatureError

原因：令牌已过期
解决：

• 重新获取新令牌
  
• 调整ACCESS_TOKEN_EXPIRE_MINUTES的值
  

通过本章学习，您已掌握JWT的核心原理和FastAPI集成方法。关键点：始终使用HTTPS传输令牌、避免在Payload中存储敏感数据、定期轮换密钥。
余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜：编程智域 前端至全栈交流与成长，阅读完整的文章：JWT令牌：从身份证到代码防伪的奇妙之旅 | cmdragon's Blog
往期文章归档：

• FastAPI安全认证：从密码到令牌的魔法之旅 | cmdragon's Blog
  
• 密码哈希：Bcrypt的魔法与盐值的秘密 | cmdragon's Blog
  
• 用户认证的魔法配方：从模型设计到密码安全的奇幻之旅 | cmdragon's Blog
  
• FastAPI安全门神：OAuth2PasswordBearer的奇妙冒险 | cmdragon's Blog
  
• OAuth2密码模式：信任的甜蜜陷阱与安全指南 | cmdragon's Blog
  
• API安全大揭秘：认证与授权的双面舞会 | cmdragon's Blog
  
• 异步日志监控：FastAPI与MongoDB的高效整合之道 | cmdragon's Blog
  
• FastAPI与MongoDB分片集群：异步数据路由与聚合优化 | cmdragon's Blog
  
• FastAPI与MongoDB Change Stream的实时数据交响曲 | cmdragon's Blog
  
• 地理空间索引：解锁日志分析中的位置智慧 | cmdragon's Blog
  
• 异步之舞：FastAPI与MongoDB的极致性能优化之旅 | cmdragon's Blog
  
• 异步日志分析：MongoDB与FastAPI的高效存储揭秘 | cmdragon's Blog
  
• MongoDB索引优化的艺术：从基础原理到性能调优实战 | cmdragon's Blog
  
• 解锁FastAPI与MongoDB聚合管道的性能奥秘 | cmdragon's Blog
  
• 异步之舞：Motor驱动与MongoDB的CRUD交响曲 | cmdragon's Blog
  
• 异步之舞：FastAPI与MongoDB的深度协奏 | cmdragon's Blog
  
• 数据库迁移的艺术：FastAPI生产环境中的灰度发布与回滚策略 | cmdragon's Blog
  
• 数据库迁移的艺术：团队协作中的冲突预防与解决之道 | cmdragon's Blog
  
• 驾驭FastAPI多数据库：从读写分离到跨库事务的艺术 | cmdragon's Blog
  
• 数据库事务隔离与Alembic数据恢复的实战艺术 | cmdragon's Blog
  
• FastAPI与Alembic：数据库迁移的隐秘艺术 | cmdragon's Blog
  
• 飞行中的引擎更换：生产环境数据库迁移的艺术与科学 | cmdragon's Blog
  
• Alembic迁移脚本冲突的智能检测与优雅合并之道 | cmdragon's Blog
  
• 多数据库迁移的艺术：Alembic在复杂环境中的精妙应用 | cmdragon's Blog
  
• 数据库事务回滚：FastAPI中的存档与读档大法 | cmdragon's Blog
  
• Alembic迁移脚本：让数据库变身时间旅行者 | cmdragon's Blog
  
• 数据库连接池：从银行柜台到代码世界的奇妙旅程 | cmdragon's Blog
  
• 点赞背后的技术大冒险：分布式事务与SAGA模式 | cmdragon's Blog
  
• N+1查询：数据库性能的隐形杀手与终极拯救指南 | cmdragon's Blog
  
• FastAPI与Tortoise-ORM开发的神奇之旅 | cmdragon's Blog
  
• DDD分层设计与异步职责划分：让你的代码不再“异步”混乱 | cmdragon's Blog
  
• 异步数据库事务锁：电商库存扣减的防超卖秘籍 | cmdragon's Blog
  
• FastAPI中的复杂查询与原子更新指南 | cmdragon's Blog
  
• 深入解析Tortoise-ORM关系型字段与异步查询 | cmdragon's Blog
  
• FastAPI与Tortoise-ORM模型配置及aerich迁移工具 | cmdragon's Blog
  
• XML Sitemap
  
• 
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！