四、【Django】基于Jwt的token认证(登录接口)

已于 2024-01-12 11:06:10 修改
阅读量5.5k 收藏 12
点赞数 5
分类专栏: # 三、用户模块 文章标签: django python 后端
于 2023-07-18 17:03:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ataoker/article/details/131785957
版权

简介

生成token, 就是把  某个东西  以某个key值(密钥)  加密 一下

简单的生成token举例

下面用python举例一下

# 安装
pip install pyjwt==1.7.1  (新版本的不行)

输入python,在python解析器里,运行生成token(要传payload参数,和key)

import jwt

paylod={"name":"taoker111"}

token =jwt.encode(payload=paylod,key="tk123")

# 解码 得到payload
# jwt.decode(token,key="123")

Django_rf的simplejwt

Django 3.1 版本之前是使用rest_framework_jwt 库,   之后版本的django会遇到这个报错

Could not import 'rest_framework_jwt.authentication.JSONWebTokenAuthentication' for API setting 'DEFAULT_AUTHENTICATION_CLASSES'. ImportError: cannot import name 'smart_text' from 'django.utils.encoding'

djangorestframework-simplejwt 库提供了与 rest_framework_jwt 类似的 JSON Web Token (JWT) 认证功能。

1.安装

djangorestframework-simplejwt 库(如果尚未安装):

pip install djangorestframework-simplejwt

2.JWT 库默认的参数

 djangorestframework-simplejwt 默认使用一组默认值,但你可以根据需要设置这些参数。

如:

  •   默认token有效期为 5分钟
  •   生成token密钥SIGNING_KEY默认为 :setting.py 中, 创建项目就生成好了的一个 key值
  •  参数:AUTH_HEADER_TYPES 指定前缀,默认为Bearer

(from rest_framework_simplejwt.settings import )这么写然后点击settings

 如下是AUTH_HEADER_TYPES 前缀的意思,如果不配置,就是 Bearer开头

(后续可以登录成功后的access)使用pyjwt库来,用你的key来解码试试,它的信息包含这些

{'token_type': 'access', 'exp': 1689661573, 'iat': 1689661513, 'jti': 'eedea8e9d74b4da8b9e1932624952ee8', 'user_id': 3}

自定义配置JWT

 djangorestframework-simplejwt 默认使用一组安全的默认值,但你可以根据需要设置这些参数。例如,你可以在 settings.py 中添加以下配置:

# settings.py

from datetime import timedelta 
SIMPLE_JWT = {
    "AUTH_HEADER_TYPES": ("JWT",),          # 指定前缀
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=60),  # 访问令牌过期时间
    'SLIDING_TOKEN_REFRESH_LIFETIME': timedelta(days=1),  # 滑动刷新令牌的过期时间
    'SLIDING_TOKEN_REFRESH_LIFETIME_GRACE_PERIOD': timedelta(minutes=5),  # 滑动刷新令牌宽限期
    'SLIDING_TOKEN_REFRESH_EXP_CLAIM': 'refresh_exp',  # 滑动刷新令牌的过期时间声明名称
}

直接使用写登录

(不改默认的序列化器 和 视图)

自带了 登录视图类 TokenObtainPairView  对应的序列化器TokenObtainSlidingSerializer

(from rest_framework_simplejwt.views import)
(from rest_framework_simplejwt.serializers import)
这么写可以进入到源码

(它的序列化器默认用到的是JWT 里的这个配置 TOKEN_OBTAIN_SERIALIZER, 

 即rest_framework_simplejwt.serializers.TokenObtainSlidingSerializer)

利用本身的TokenObtainPairView  和 TokenObtainSlidingSerializer实现登录

直接把它配置到urls中,就能使用登录

在外层urls.py中,配置

from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
    TokenVerifyView,
)

urlpatterns = [
    ...
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),   # 用于获取
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),  # 用于更新
    path('api/token/verify/', TokenVerifyView.as_view(), name='token_verify'),     # 未知
    ...
]

获取token

使用POST请求,json格式传递 账号 和密码

自定义登录接口:

第一步:重写序列化器

即TokenObtainPairSerializer,原有的获取token序列化器要修改下

 from rest_framework_simplejwt.serializers import    这么写可以进入到源码)

token值中增加其他信息(不常用)

 做法:

在system应用下,或users 应用 中  serializers.py 中

class LoginSerializer(TokenObtainPairSerializer):
    """
    用户登录-序列化器(重写的)
    """
    @classmethod
    def get_token(cls, user):
        token = super().get_token(user)

        # Add custom claims
        token['name'] = user.username
        # ...

        return token

先去完成第二步 (如前面已经配置了url,直接配置 SIMPLE_JWT)

"TOKEN_OBTAIN_SERIALIZER": "system.serializers.LoginSerializer",

登录查看效果,然后使用JWT解析,密钥在setting.py中。

于是access信息(下图的token2)中,就多了name的信息:

修改响应结构、补充字段等

  • 序列化器:里面增加了user_info  用户信息( 这里的话,要配置setting,才生效)

如下是重写  获取token的序列化器 

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
from django.contrib.auth import authenticate

class LoginSerializer(TokenObtainPairSerializer):

    # 可修改一些提示语
    default_error_messages = {
        'no_active_account': ('该账号已被禁用,请与管理员联系!')
    }

    # 响应中,增加了user_info字段, 增加了token字段
    def validate(self, attrs):
        data = super().validate(attrs)

        authenticate_kwargs = {
            self.username_field: attrs[self.username_field],
            "password": attrs["password"],

        }

        self.user = authenticate(**authenticate_kwargs)

        user = self.user
        # 获取用户信息
        user_info = {
            'id': user.id,
            'username': user.username,
            'email': user.email,
            # 添加其他用户信息...
        }

        # 补充一个token字段
        data["token"] = data["access"]

        # 将用户信息添加到响应数据中
        data['user_info'] = user_info
        return data

 松勤:

是把它当模型序列化器来用,指定了model, fields字段,

并且重写validate,即序列化器里提到的校验方法,并定义响应格式,成功或失败的

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
from django.contrib.auth import authenticate
from system.models import User


class LoginSerializer(TokenObtainPairSerializer):
    class Meta:
        model = User
        fields = "__all__"
        read_only_fields = ["id"]

    default_error_messages = {
        'no_active_account': ('该账号已被禁用,请与管理员联系!')
    }

    def validate(self, attrs):
        username = attrs['username']
        password = attrs['password']
        user = User.objects.filter(username=username).first()
        if not user:
            result = {
                "code": 400,
                "msg": "账号或密码不正确!",
                "data": None
            }
            return result

        if user and not user.is_staff:  # 判断是否允许登录后台
            result = {
                "code": 400,
                "msg": "您没有权限登录后台!",
                "data": None
            }
            return result

        if user and not user.is_active:
            result = {
                "code": 400,
                "msg": "该账号已被禁用,请与管理员联系!",
                "data": None
            }
            return result

        if user and user.check_password(password):  # check_password() 对明文进行加密,并验证
            data = super().validate(attrs)
            refresh = self.get_token(self.user)

            data['username'] = self.user.username
            data['userId'] = self.user.id
            data['refresh'] = str(refresh)  # refresh_token
            data['access'] = str(refresh.access_token)  # access_token
            request = self.context.get('request')
            request.user = self.user
            result = {
                "code": 200,
                "msg": "登录成功!",
                "data": data
            }
        else:
            result = {
                "code": 400,
                "msg": "账号或密码不正确!",
                "data": None
            }
        return result

 第二步:把重写的序列化器配置起来。

2. 视图类关联新定义的序列化器(假如已经在system应用下,serializers.py文件下重写好了)。

        方式1:配置(TokenObtainPairView 视图类自己会找到它)

SIMPLE_JWT = {
  # It will work instead of the default serializer(TokenObtainPairSerializer).
  "TOKEN_OBTAIN_SERIALIZER": "system.serializers.LoginSerializer",    # 应用.模块.类
  # ...    
}
   方式2(推荐这个,这样代码可读性高点):views重写登录视图类,并指定自己写的序列化器、  url中改成用新的视图类

from apps.system.serializers import  LoginSerializer
from rest_framework_simplejwt.views import TokenObtainPairView
# 2.登录类
class LoginView(TokenObtainPairView):
    serializer_class = LoginSerializer

 url也配置在应用中(有更好的代码可读性)即可

认证方式设置为jwttoken认证

在 Django 的 settings.py 文件中进行设置认证方式中添加:JWTAuthentication:

# settings.py

REST_FRAMEWORK = {
      # a.在全局指定默认的认证类(指定认证方式)
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', # 先进行token认证(Django 3.1 版本不能用了)
        'rest_framework_simplejwt.authentication.JWTAuthentication',
        # b.Session会话认证
        'rest_framework.authentication.SessionAuthentication',  # 次要进行session认证
        'rest_framework.authentication.BasicAuthentication'
    ],
    # 指定使用的权限类
    # a.在全局指定默认的权限类(当认证通过之后,可以获取何种权限)
    'DEFAULT_PERMISSION_CLASSES': [
        # AllowAny 不管是否有认证成功,都能获取所有权限
        # IsAdminUser 管理员(管理员需要登录)具备所有权限
        # IsAuthenticated 只要登录,就具备所有权限
        # IsAuthenticatedOrReadOnly,如果登录了就具备所有权限,不登录只具备读取数据的权限
        'rest_framework.permissions.AllowAny',
    ],
    # 其他设置...
}

假如不登录

 登录,获取到token

 

 其他接口中请求头中,传递Authorization,值默认为Bearer  +空格 +   登录返回的access值

官方文档地址是:Simple JWT — Simple JWT 5.2.2.post27+g47b7a08 documentation

  1. 安装和配置
  2. JWT 认证的使用方法和示例
  3. 设置 JWT 认证的参数和选项
  4. 刷新令牌和滑动刷新令牌的使用
  5. 撤销令牌的使用方法
  6. JWT 认证视图
  7. 自定义认证逻辑
  8. 常见问题解答
A~taoker
关注
专栏目录
Django实现API配合JWT进行用户验证的方法
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目中通过 JWT 实现 API 认证控制。从 Session 与 JWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django jwt token认证中rest_framework_jwt的refresh token有效期
hhhhh11的博客
09-11 3558
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
django应用JWT(JSON Web Token)实战
最新发布
学而思(xiejava的blog)
09-22 1605
在前后端分离的项目中,前后端进行身份验证通常用JWT来进行,JWT 提供了一个理想的认证解决方案,用来保护 RESTful API,确保只有经过认证的用户才能访问受保护的资源。基于前端框架(如React, Angular, Vue.js)的单页面应用 (SPA),开发者通过使用 JWT可以获得一种简单、安全、高效的方式来处理用户认证和授权的问题。本文通过django项目的实战来说明如何应用和使用JWT
Django+JWT实现Token认证
weixin_34174422的博客
01-22 2019
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
Django token验证
XTY__的博客
08-20 171
【代码】Django token验证。
Django JWT验证
Lucas在澳洲
05-27 974
JSON Web Token,简称JWT,是一种开放标准(RFC 7519),用于在网络上传输信息,特别是在身份验证和授权方面。JWT是一串编码后的JSON格式字符串,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。Django JWT验证是一种安全的身份验证方法,通过使用库,我们可以轻松地实现JWT的创建、验证和刷新。
Django】基于JWTtoken认证
无邪的博客
03-28 1923
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
Django 使用 token 认证
热门推荐
她°
05-08 1万+
场景说明 web 网站登录认证一般常用的有三种方式: session:早期以 web 为主 token:适用于 web、app oauth:微信、QQ登录 目前在 django 中使用 session 认证的方式比较多,因为 django 内置了强大的用户认证系统–auth模块。 下面会结合 session 和 token 两种认证方式做一个登录的示例。 session 登录认证示例 views.py: def query(request): if request.method == 'GET'
django的用户管理与token认证()
借风拥你
02-26 1548
django的用户认证主要是用于用户的登陆认证上,如果用户名和密码正确,然后做对应的操作Django认证组件使用的默认用户模型类(User)存储用户信息,包括用户名、密码和电子邮件地址。在执行在数据库中会生成几张默认的表其中auth_user就是存储用户的表,默认这张表中没有用户。
Django实战: 使用JWT Token进行用户认证
大江狗
04-20 6488
编者注:一般Web应用开发验证用户信息有两种方式,一是使用session,二是使用token。下文详细对比了两者的区别,介绍了Token认证的原理及如何在Django项目简单实现tok...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web TokenJWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users ...# 全局认证from rest_framework.authentication import Token
JWT原理构成与使用(带案例简单易懂)
王涛涛的博客
09-25 1610
JWT原理构成与使用 项目架构 开发模式:前后端分离 前端框架:VUE 后端框架:Django REST framework 功能部分:管理员登录,数据统计,用户管理,商品管理,订单管理,权限管理 主要技术 : JWT用户认证 ,CORS跨域 跨域CORS 我们的前端和后端分别是两个不同的端口 位置 域名 前端服务 www.meiduo.site:8080 后端服务 www.m...
Django使用Token
cfy137000的博客
01-28 8901
基于Token的身份验证 在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie中写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端和客户端的token通信. 验证流程 整个基于Token的验证流程如下: 1. 客户端使用用户名跟密码请求登录 2. 服务器收到请求,去验
Django中使用Token实现认证
Eternal1003的博客
03-20 1403
  本文主要介绍djangotoken的生成与使用。  版本:     python 3.5.2     Django 2.0.3     djangorestframework 3.7.7 创建Django项目   1.安装django。https://docs.djangoproject.com/en/2.0/intro/tutorial01/   2.安装dj...
Django DRF - 【Token认证基本使用
Mr_WoLong
06-28 2392
`Django Rest Framework Token`是Django Rest Framework中的一个扩展,用于实现用户认证和授权。它为每个用户生成一个唯一的Token,并将其存储在数据库中。在用户进行API请求时,用户需要在请求的HTTP Header中包含Token,这样服务器就可以验证用户的身份。
Django DRF - 【JWT Token认证使用
Mr_WoLong
04-21 931
Django DRF - JWT Token认证使用
python+django+drf框架完成jwt登录认证接口
04-29
首先,需要安装 `djangorestframework` 和 `djangorestframework-jwt` 库: ``` pip install djangorestframework pip install djangorestframework-jwt ``` 然后在 Django 项目的 `settings.py` 文件中添加以下配置: ```python INSTALLED_APPS = [ # ... 'rest_framework', 'rest_framework.authtoken', 'rest_framework_jwt', # ... ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } JWT_AUTH = { 'JWT_SECRET_KEY': 'your-secret-key', 'JWT_ALGORITHM': 'HS256', 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_AUTH_HEADER_PREFIX': 'Bearer', } ``` 其中,`JWT_SECRET_KEY` 是一个随机字符串,用于加密生成 JWT token。 接下来,在 Django 项目的 `urls.py` 文件中添加以下代码: ```python from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token urlpatterns = [ # ... path('api-token-auth/', obtain_jwt_token), path('api-token-refresh/', refresh_jwt_token), path('api-token-verify/', verify_jwt_token), # ... ] ``` 这里添加了三个路由,用于获取、刷新、验证 JWT token。 最后,为需要登录认证接口添加装饰器,例如: ```python from rest_framework.decorators import api_view, permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) def my_view(request): content = {'message': 'Hello, World!'} return Response(content) ``` 这里使用了 `@permission_classes([IsAuthenticated])` 装饰器,表示只有通过 JWT token 认证的用户才能访问该接口。 至此,我们完成了 Django DRF 框架的 JWT 登录认证接口
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值