Я создаю веб-приложение для колб с модулем Python authlib .Мой вопрос касается проверки полученных JWT в оболочке маршрута.Когда я проверяю токен и его полезную нагрузку, я не совсем уверен, как убедиться, что он подписан с помощью правильного алгоритма HS256 и не установлен в значение none, чтобы вообще обойти защиту.Я не мог понять, как это сделать, только из документации для JWT, предоставленной для этой библиотеки Мой текущий черновик переноса для ограниченных маршрутов:
def requires_auth(f):
def decorated(*args, **kwargs):
token = get_token_auth_header()
claim_options = {
"iss": {
"essential": True,
"values": issuers
"aud": {
"essential": True,
"values": audiences
"exp": {
"validate": JWTClaims.validate_exp,
"sub": {
"essential": True
"is_admin": {
"essential": True,
"values": [True,False]
"is_moderator": {
"essential": True,
"values": [True,False]
#TODO set an option here or something to check alg in token?
claims = jwt.decode(token, secret,claims_options=claim_options)
except InvalidTokenError as e:
raise AuthError({"code": "invalid_token",
"description": "token is invalid"}, 401)
except BadSignatureError as e:
raise AuthError({"code": "bad_signature",
"description": "token signature is bad (does not match payload/tampered payload/wrong secret)"}, 401)
except ExpiredTokenError as e:
raise AuthError({"code": "token_expired",
"description": "token is expired"}, 401)
#is this needed or how to do this better with the library used?
if claims.header["alg"] == None or claims.header["alg"] != algorithm:
#prevents auth stripping/setting auth to none attacks and attacks setting from rsa to hs256 and encrypting public key
raise AuthError({"code": "bad_signature",
"description": "signature algorithm given does not match algorithm expected"}, 401)
return f(*args, **kwargs)
except MissingClaimError as ex:
raise AuthError({"code": "missing_claim",
"claim is missing"}, 401)
except InvalidClaimError as ex:
raise AuthError({"code": "invalid_claims",
"incorrect claims,"
"please check the audience and issuer"}, 401)
except ExpiredTokenError as e:
raise AuthError({"code": "token_expired",
"description": "token is expired"}, 401)
return decorated