何塞草案的实施
jose的Python项目详细描述
何塞
Jose是一个框架,旨在提供安全传输的方法 双方之间的索赔(如授权信息)。何塞框架 提供用于此目的的规范集合。json网络 令牌(jwt)包含可用于允许系统应用访问的声明 对其拥有的资源的控制。
jwts可以表示为json web签名(jws)或json web 加密(JWE)对象。JWS中的声明可以简单地读取 Base64编码(但带有用于身份验证的签名)。声称 另一方面,在JWE中是加密的,因此是完全不透明的 客户使用它们作为身份验证和授权的手段。
这个库实现JWS和JWES以及 jose框架推荐的加密/认证算法。
更改
1.0.0(2015-10-06)
- 修复了身份验证标记计算中的错误(jaimeperez提供的修补程序)
重要提示:这是一个向后不兼容的更改,因为在此版本中生成的令牌将无法被令牌<;1.0.0破译。使用的jwe散列字符串已更改为使用空字符串,而不是“.”以符合https://tools.ietf.org/html/rfc7518#section-5.2.2.1
0.3.0(2015-04-10)
- 修复了关键JWT漏洞(由Yuriikonovaliuk提供的修补程序)
重要提示:只有未加密的令牌才易受攻击。这个修正导致向后 对verify函数签名的不兼容更改。
0.2.2(2015-01-07)
- RFC合规性修复(jaimeperez提供的修补程序)
重要提示:此更改引入了一个临时注入的密钥(uu v),以便 区分旧令牌和新颁发的令牌。这允许使用 为了不破坏向后兼容性和(可能的) 降低用户体验。这将在v1.0中删除。
为了验证客户机是否正在使用旧令牌, 应用程序代码可以验证 头文件(这可以在反序列化压缩文件后完成)。密钥的存在性 标识新创建的令牌。
0.2.1(2014-11-24)
- 未固定的pycrypto依赖项(由kuba提供的修补程序)
- 添加了显示“decrypt”命令的cli
- 添加了自定义异常,使客户端错误处理更容易
0.1(2014-04-16)
- 初始版本
贡献者
德米安布莱希特(德米安布莱希特) 尼克·穆塔格(Nmurtagh) Jakub Warmuz(库巴) 杰米·佩雷斯(杰米·佩雷斯) 尤里科诺瓦利克(尤里科诺瓦利克)