一、Flask-JWT是什么?
JSON Web Token(JWT)是一种用于网站认证的令牌(JSON-based access token),用于在网络应用系统中传递声明。Flask-JWT,顾名思义,是一个基于 Flask 开发的 JWT 实现,它通过令牌的形式,完成了用户认证和授权的过程。
通过 Flask-JWT,我们可以快速、方便地在基于 Flask 的应用中添加 JWT 鉴权认证方式。应用中的每个路由请求都需要在请求头中带上 JWT 令牌,才能够访问到服务端的资源。这种机制保证了数据的安全性,有效地防止了非法用户的访问请求。
二、令牌生成和操作
在 Flask-JWT 中使用 JWT 进行用户认证和授权,有关JWT的生成、解析、验证等工作都是在 Flask-JWT 的基础上完成的。因此,我们需要先了解 Flask-JWT 的生成和操作过程。
1、安装Flask-JWT
pip install flask-jwt-extended
2、使用Flask-JWT生成JWT Token
在Flask-JWT中,JWT Token是通过调用flask_jwt_extended.create_access_token(<用户信息>)接口来生成的。
from flask import Flask
from flask_jwt_extended import create_access_token
app = Flask(__name__)
access_token = create_access_token(identity='user_id')
3、Token解析与验证
在Flask-JWT中,Token解析及验证的工作是由flask_jwt_extended.JWTManager进行完成的。
from flask import Flask
from flask_jwt_extended import JWTManager
app = Flask(__name__)
jwt = JWTManager(app)
@jwt_required
def get_user():
return jsonify(current_user)
三、JWT Token 的过期管理
JWT Token具有时效特性,一旦过期,便不能再被访问。Flask-JWT 还提供了过期管理的功能,我们可以通过下面的配置来实现 Token 过期后自动续期。
app.config['JWT_ACCESS_TOKEN_EXPIRES'] = timedelta(hours=1)
四、JWT Token 中的权限管理
在 Flask-JWT 中,我们可以通过 @jwt_required() 装饰器来自动管理访问权限。
from flask_jwt_extended import jwt_required, get_jwt_identity
@app.route('/users/me')
@jwt_required
def get_me():
current_user = get_jwt_identity()
return jsonify(logged_in_as=current_user), 200
五、JWT Token中的资源权限限制
Flask-JWT还可以通过对Token中添加资源的类别和权限信息进行资源权限限制。
from flask_jwt_extended import jwt_required, get_jwt_claims
@app.route('/admin_only')
@jwt_required
def admin_only():
claims = get_jwt_claims()
if claims.get('is_admin') != True:
return jsonify(msg='Admins only!'), 403
return jsonify(msg='Welcome Admin!'), 200
六、结语
通过 Flask-JWT,我们可以快速、方便地在基于 Flask 的应用中添加 JWT 鉴权认证方式,有效地提高应用的安全性。当然,我们在使用 Flask-JWT 的过程中也需要注意安全隐患的存在,并进行相应的安全防护措施。
