Flask 无法验证受保护路由的 JWT 签名

时间:2021-04-30 11:41:55

标签: python flask jwt

我正在尝试使用 JWT 令牌“保护”我的应用程序登录,但似乎我的编码或解码错误。为什么说我的签名无效,而 JWT.io 说它是有效的?

我正在我的应用程序初始化中设置密钥,并使用它对 JWT 令牌进行编码和解码:

#skey = os.urandom(16)
#app.secret_key = f"{skey}"
app.config['SECRET_KEY'] = 'abe535ed6a554fe48e09e111dad2dcbc' #temporary for testing
app.debug = True
print(app.secret_key)

我正在使用此功能保护 dash 路线:

def token_required(f):
    @wraps(f)
    def decorated(*args, **kwargs):
        token = request.args.get('token') #http://localhost:5000/route?token={jwttoken}
        if not token:
            return jsonify({'message': 'Token is missing'}), 403
        try:
            data = jwt.decode(token, app.secret_key)
        except jwt.ExpiredSignatureError:
            return jsonify({'message': 'Token expired, log in again'}), 403
        except jwt.InvalidTokenError:
            return jsonify({'message': 'Invalid token. Please log in again.'}), 403
        
        return f(*args, **kwargs)
    return decorated

这里是破折号路线:

@app.route('/dash', methods=["GET", "POST"])
@token_required
def dash():
    if 'logged_in' in session:
        if session['logged_in']:
            username = session['username']
            return render_template("dash.html", username=username)
        else:
            return redirect(url_for('home'))
    else:
        return redirect(url_for('home'))

使用正确的详细信息登录时,我的登录路由重定向到以令牌为参数的破折号:

@app.route('/login', methods=["GET", "POST"])
def login():
    if request.method == "POST":
        uname = request.form["uname"]
        pswd = request.form["pswd"]
        valid = auth.login(uname, pswd)
        if valid[0]:
            if valid[1]:
                session['username'] = uname
                session['logged_in'] = True
                token = jwt.encode({
                    'user' : uname,
                    'exp' : datetime.datetime.utcnow() + datetime.timedelta(minutes=60)
                }, 
                app.secret_key)
                return redirect(url_for('dash', token=token))
            else:
               return redirect(url_for('login')) 
        else:
            return redirect(url_for('home'))
    else:
        return render_template("login.html")

但是当我成功登录时,它重定向到 dash,但总是说我有一个无效的令牌,尽管我已经在 jwt.io 上验证了它: enter image description hereenter image description here

2 个答案:

答案 0 :(得分:1)

您需要在解码令牌时指定算法。

data = jwt.decode(token, app.secret_key, algorithms=["HS256"])

试试这个就行了

答案 1 :(得分:0)

一个 HTML 页面只能是一种编码。创建令牌时编码可能不同。 UTF-8 可以支持多种语言,可以容纳页面和表单。

在创建令牌时添加 .decode('utf-8'):

token = jwt.encode({
                    'user' : uname,
                    'exp' : datetime.datetime.utcnow() + datetime.timedelta(minutes=60)
                }, 
                app.secret_key).decode('utf-8')

请注意这里的解码不是来自 jwt 库。它只是用于将字符串编码为 UTF-8。

相关问题
最新问题