pyjwt和djangorestframework-simplejwt双token

已于 2023-01-24 22:20:19 修改
阅读量888 收藏 4
点赞数
分类专栏: python 文章标签: python 开发语言
于 2023-01-20 17:17:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/General_zy/article/details/128742430
版权

pyJwt

安装

pip install PyJWT

JWT参数

# JWT官网的三个加密参数为
# 1.header(type,algorithm)
#  {
#  "alg": "HS256",
#  "typ": "JWT"
#  }

# 2.playload(iss,sub,aud,exp,nbf,lat,jti)
#   iss: jwt签发者
#   sub: jwt所面向的用户
#   aud: 接收jwt的一方
#   exp: jwt的过期时间,这个过期时间必须要大于签发时间
#   nbf: 定义在什么时间之前,该jwt都是不可用的.
#   iat: jwt的签发时间
#   jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

# 3.signature
# jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
#    header (base64后的)
#    payload (base64后的)
#    secret

# PyJwt官网的三个加密参数为
# jwt.encode(playload, key, algorithm='HS256')
# playload 同上,key为SECRET_KEY,algorithm 为加密算法

使用

import jwt
from jwt import ExpiredSignatureError
from pytz import timezone

secret = "f7aa59c6-fd5d-407b-862b-f4d2d2ecf0de"
issuer = "General_zy"
audience = "user"


def encode_token():
    import datetime
    # 这里需要指明时区为Asia/Shanghai,否则token会+8:00
    now = datetime.datetime.now(tz=timezone('Asia/Shanghai'))
    dic = {
        # 过期时间
        'exp': now + datetime.timedelta(seconds=5),
        # 签发时间
        'iat': now,
        # 签发方
        'iss': issuer,
        # 接收人
        "aud": audience,
    }
    token_bytes = jwt.encode(dic, key=secret, algorithm='HS256')
    return token_bytes.decode("utf-8")


def decode_token(token):
    if isinstance(token, str):
        token = token.encode("utf-8")

    # 解密,校验签名
    try:
        payload = jwt.decode(token, key=secret, issuer=issuer, audience=audience, algorithms=['HS256'])
        return payload
    except ExpiredSignatureError as e:
        print(f"token过期:{str(e)}")
        return None
    except Exception as e:
        print(f"其他错误:{str(e)}")


if __name__ == '__main__':
    # 1. 生成token
    # eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NzQyMDU4NzcsImlhdCI6MTY3NDIwNTg3MiwiaXNzIjoiR2VuZXJhbF96eSIsImF1ZCI6InVzZXIifQ.O_LUfOP4fXnFsRgGZrCEjxW8nD5WB3s8WBXNsUsIqTo
    print(encode_token())

    # 2. 解码token
    data = decode_token("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2NzQyMDU4NzcsImlhdCI6MTY3NDIwNTg3MiwiaXNzIjoiR2VuZXJhbF96eSIsImF1ZCI6InVzZXIifQ.O_LUfOP4fXnFsRgGZrCEjxW8nD5WB3s8WBXNsUsIqTo")
    print(data)

在这里插入图片描述

参数详解

exp
exp指过期时间,在生成token时,可以设置该token的有效时间,如果设置1天过期,1天后再解析此token会抛出
jwt.exceptions.ExpiredSignatureError: Signature has expired

nbf
nbf类似于token的 lat ,它指的是该token的生效时间,如果使用但是没到生效时间则抛出
jwt.exceptions.ImmatureSignatureError: The token is not yet valid (nbf)

iss
iss指的是该token的签发者,可以给一个字符串。iss 在接收时如果不检验也没有问题,如果接收时需要检验但是又签名不一致,则会抛出
jwt.exceptions.InvalidIssuerError: Invalid issuer

aud
aud指定了接收者,接收者在接收时必须提供与token要求的一致的接收者(字符串),如果没写接收者或者接收者不一致会抛出
jwt.exceptions.InvalidAudienceError: Invalid audience

iat
iat指的是token的开始时间,如果当前时间在开始时间之前则抛出
jwt.exceptions.InvalidIssuedAtError: Issued At claim (iat) cannot be in the future.

双token

双token即两个token,首次登陆时服务端返回两个token ,accessToken和refreshToken,accessToken过期时间比较短,refreshToken时间较长,且每次使用后会刷新,每次刷新后的refreshToken都是不同的。

解决的问题

用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一次登录,这种体验性不好,于是引入双token校验机制。

流程

accessToken的存在,保证了登录态的正常验证,因其过期时间的短暂也保证了帐号的安全性

​refreshToekn的存在,保证了用户无需在短时间内进行反复的登陆操作来保证登录态的有效性,同时也保证了活跃用户的登录态可以一直存续而不需要进行重新登录,反复刷新也防止攻击者获取refreshToken后对用户帐号进行破坏操作。

  1. 登录操作,在后台服务器验证账号密码成功之后返回2个token:accessToken和refreshToken。

  2. 在进行服务器请求的时候携带双token,如果accessToken有效,则正常返回请求结果;如果accessToken无效,则验证refreshToken。

  3. 此时如果refreshToken有效则返回请求结果和新的accessToken和新的refreshToken。如果refreshToken无效,则提示用户进行重新登陆操作。

在这里插入图片描述

无效的Token的处理

对于频繁更换的Token,如何处理旧的未过期的而又无效的refreshToken.

  1. 从浏览器的存储中删除
  2. 黑名单(djangorestframework-simplejwt中有维护的黑名单)
  3. token的过期时间设置的足够短

djangorestframework-simplejwt

安装

pip install djangorestframework-simplejwt

simplejwt的配置文件

  1. refresh_token:用于token失效时,刷新获得新的token。
  2. access_token:就是jwt里面的token。
# 需要在django配置的关键字为"SIMPLE_JWT"
USER_SETTINGS = getattr(settings, "SIMPLE_JWT", None)

# 默认配置
DEFAULTS = {
	# 访问令牌的有效时间
    "ACCESS_TOKEN_LIFETIME": timedelta(minutes=5),
    # 刷新令牌的有效时间
    "REFRESH_TOKEN_LIFETIME": timedelta(days=1),
    
    # 若为True,则刷新后新的refresh_token有更新的有效时间
    "ROTATE_REFRESH_TOKENS": False,
    # 若为True,刷新后的token将添加到黑名单中
    # When True,'rest_framework_simplejwt.token_blacklist',should add to INSTALLED_APP
    "BLACKLIST_AFTER_ROTATION": False,
    
    "UPDATE_LAST_LOGIN": False,
	
	# 加密算法
    "ALGORITHM": "HS256",
    # 加密密钥
    "SIGNING_KEY": settings.SECRET_KEY,
    "VERIFYING_KEY": "",
    "AUDIENCE": None,
    "ISSUER": None,
    "JSON_ENCODER": None,
    "JWK_URL": None,
    "LEEWAY": 0,
    "AUTH_HEADER_TYPES": ("Bearer",),
    "AUTH_HEADER_NAME": "HTTP_AUTHORIZATION",
    "USER_ID_FIELD": "id",
    "USER_ID_CLAIM": "user_id",
    "USER_AUTHENTICATION_RULE": "rest_framework_simplejwt.authentication.default_user_authentication_rule",
    "AUTH_TOKEN_CLASSES": ("rest_framework_simplejwt.tokens.AccessToken",),
    "TOKEN_TYPE_CLAIM": "token_type",
    "JTI_CLAIM": "jti",
    "TOKEN_USER_CLASS": "rest_framework_simplejwt.models.TokenUser",
    "SLIDING_TOKEN_REFRESH_EXP_CLAIM": "refresh_exp",
    "SLIDING_TOKEN_LIFETIME": timedelta(minutes=5),
    "SLIDING_TOKEN_REFRESH_LIFETIME": timedelta(days=1),
    "TOKEN_OBTAIN_SERIALIZER": "rest_framework_simplejwt.serializers.TokenObtainPairSerializer",
    "TOKEN_REFRESH_SERIALIZER": "rest_framework_simplejwt.serializers.TokenRefreshSerializer",
    "TOKEN_VERIFY_SERIALIZER": "rest_framework_simplejwt.serializers.TokenVerifySerializer",
    "TOKEN_BLACKLIST_SERIALIZER": "rest_framework_simplejwt.serializers.TokenBlacklistSerializer",
    "SLIDING_TOKEN_OBTAIN_SERIALIZER": "rest_framework_simplejwt.serializers.TokenObtainSlidingSerializer",
    "SLIDING_TOKEN_REFRESH_SERIALIZER": "rest_framework_simplejwt.serializers.TokenRefreshSlidingSerializer",
}

配置drf和simplejwt

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    # 自己的应用
	...
    'rest_framework',  # 注册DRF应用
]

# simplejwt配置, 需要导入datetime模块
SIMPLE_JWT = {
    # token有效时长
    'ACCESS_TOKEN_LIFETIME': datetime.timedelta(minutes=30),
    # token刷新后的有效时间
    'REFRESH_TOKEN_LIFETIME': datetime.timedelta(days=1),
}

默认视图验证类

# settings.py
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_simplejwt.authentication.JWTAuthentication',  # 使用rest_framework_simplejwt验证身份
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication'
    ],
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated'    # 默认权限为验证用户
    ],
}

# urls.py
from django.contrib import admin
from django.urls import path, include

# 导入 simplejwt 提供的几个验证视图类
from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
    TokenVerifyView
)

urlpatterns = [
    # Django 后台
    path('admin/', admin.site.urls),
    # DRF 提供的一系列身份认证的接口,用于在页面中认证身份。
    path('api-auth/', include('rest_framework.urls', namespace='rest_framework')),
    # 获取Token的接口
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    # 刷新Token有效期的接口
    path('api/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
    # 验证Token的有效性
    path('api/token/verify/', TokenVerifyView.as_view(), name='token_verify'),
]

自定义校验

class Student(models.Model):
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=32)
    card = models.CharField(max_length=8)
    name = models.CharField(max_length=32)

class StudentLoginSerializer(serializers.Serializer):
    username = serializers.CharField(required=True, label="用户名")
    password = serializers.CharField(required=True, label="密码")

    def validate(self, attrs):
        username = attrs.get("username")
        password = attrs.get("password")

        user = models.Student.objects.filter(username=username, password=password).first()
        if user:
            refresh = RefreshToken.for_user(user)
            self.context["token"] = refresh
            return attrs
        else:
            raise ValidationError("用户名或密码错误")

# 登录签发token
class LoginViewSet(ViewSet):

    @action(methods=["POST"], detail=False)
    def login(self, request):
        login_ser = ser.StudentLoginSerializer(data=self.request.data)
        if login_ser.is_valid():
            token_obj = login_ser.context["token"]
            return Response(data={
                "err": "", "code": 0,
                "access_token": str(token_obj.access_token),
                "refresh_token": str(token_obj)
            })
        else:
            return Response(data={
                "err": login_ser.errors.get("non_field_errors")[0],
                "code": 1,
            })

在这里插入图片描述

Generalzy
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PyJwt使用
weixin_43950678的博客
11-07 2112
介绍 官网介绍https://jwt.io/introduction/ 什么是JSON Web令牌? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑而独立的方法,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密
djangorestframework-simplejwt
python_web全栈
09-14 8146
djangorestframework-simplejwt快速使用
django-rest-framework-jwt与django-rest-framework-simplejwt的对比及使用
最新发布
2401_84544434的博客
05-16 354
JWT 的劣势是由于有效期存储在 Token 中,JWT Token 一旦签发,就会在有效期内一直可用,无法在服务端废止,当用户进行登出操作,只能依赖客户端删除掉本地存储的 JWT Token,如果需要禁用用户,单纯使用 JWT 就无法做到了。JWT 的优势是服务端不再需要存储 Session,使得服务端认证鉴权业务可以方便扩展,避免存储 Session 所需要引入的 Redis 等组件,降低了系统架构复杂度。通过他的讲解,我们发现token分为三部分,以"."进行分割,使用Base64编码。
pyjwt,一个强大的 Python 库!
轻编程的博客
02-16 1159
PyJWT是一个用于创建、解析和验证JSON Web Tokens(JWT)的Python库。JWT是一种紧凑且自包含的方式,用于在网络应用之间安全地传输信息。它由三部分组成:头部、载荷和签名。PyJWT库能够轻松地处理JWT,并在Python应用程序中实现身份验证和信息传输的安全性。除了使用默认的过期时间外,PyJWT还可以自定义过期时间处理逻辑,以满足特定的需求。例如,可以在解析JWT时检查过期时间,并根据情况进行处理。
DRF从入门到精通八(Simplejwt快速使用、定制返回格式、Simplejwt默认配置、多方式登录、自定义表签发token、编写认证类)
Mchen的博客
01-03 1868
此时直接访问即可,它都帮我们写好了,在请求体中携带刚刚创建的超级用户的账号密码就会返回token(因为是simplejwt它是双Token认证),如果是的话才会获取空格后面的token值来进行校验,所以我们后续会重写一些方法,不需要遵守一些不必要的规则。我们定义了一个book视图类,它只允许访问时在请求头里面携带了合法的token值才能通过认证。,因为在源码内部获取校验token值前,会先通过空格进行分隔一下,第一个值是否为。携带登录后,服务端响应给我们的token值来访问,token值的开头必须是。
djangorestframework-simplejwt:用于 Django REST 框架的 JSON Web Token 身份验证插件
07-24
简单的 JWT 抽象的 Simple JWT 是的 JSON Web 令牌身份验证插件。 有关完整文档,请访问 。 寻找维护者 有关更多信息,请参阅。
bpmn-js-token-simulation:用于令牌模拟的bpmn-js扩展
05-11
npm install bpmn-js-token-simulation 作为附加模块添加到 。 造型师 var BpmnModeler = require ( 'bpmn-js/lib/Modeler' ) ; var tokenSimulation = require ( 'bpmn-js-token-simulation' ) ; var modeler = ...
djangorestframework-timed-auth-token:django rest框架的定时auth令牌后端
05-14
关于 Django REST框架的新身份验证后端,该后端使用带有到期日期的令牌。 每次用户登录都会创建一个新令牌。每次使用令牌时都会刷新令牌到期日期。 它支持自定义用户模型 ... 'timed_auth_token.authentic
insomnia-plugin-aws-cognito-token:适用于AWS Cognito的Insomnia插件
05-27
失眠-插件-aws-认知令牌 适用于AWS Cognito的Insomnia插件,可让您自动获取JWT令牌并将令牌注入Authorization标头中。 注意:版本0.10.0更改了“标签”顺序,您可能必须重新排序“标签”值。 注意:版本0.14.0将...
sentinel-envoy-rls-token-server-1.7.2.jar
04-26
随着微服务的流行,服务和服务之间的稳定性变得越来越重要。Sentinel 以流量为切入点,从流量控制、熔断降级、系统负载保护等多个维度保护服务的稳定性。
Django之JWT库与SimpleJWT库的使用
积跬步,至千里。
08-03 1744
使用Django框架时,可以选择jwt或simplejwt来增强其功能。这两个扩展提供了与JWT认证相关的功能,可以帮助实现安全而高效的用户认证和授权机制。通过使用它们,可以轻松地将JWT集成到Django应用程序中,并提供可靠的用户身份验证和权限管理功能。
Django PyJWT 使用
Ch3nnn的博客
10-16 983
PyJWT官网 https://jwt.io/ 安装 pip install PyJWT 项目文档(英文) https://pyjwt.readthedocs.io/en/latest/ DEMO import jwt import datetime dic = { 'exp': datetime.datetime.now() + datetime.timedelta(days=1), # 过期时间 'iat': datetime.datetime.now(),
django+simpleJWT实现自定义登录注册以及中间件
roy8666的博客
05-24 2295
1.安装 首次使用需要安装django-rest-framework及jwt相关包 pip install djangorestframework pip install djangorestframework-simplejwt 2.settings文件增加配置 INSTALLED_APPS = [ 'rest_framework', 'rest_framework_simplejwt' ] REST_FRAMEWORK = { 'DEFAULT_FILTER_BACKENDS'
Django使用DRF + Simple JWT 完成小程序使用自定义用户的注册、登录和认证
li-xun的博客
09-18 2374
Django使用DRF + simpleJWT 完成小程序自定义用户的注册、登录和认证
jwt简介
花&败
11-28 627
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(s
用 Django 实现用户自定义模块,自定义认证,openid登陆换取jwt。
mist2015的专栏
12-26 709
本人也是新学,也参考了很多网上文章,最终实现我的理想结构初步模型,但发现网上并没有类似文章,所以来和大家探讨一下,让新人少走一些弯路。 声明:本文首发于csdn,作者mist2015,目前并没有在其他平台发表,转载请注明。 平台:微信小程序,实现openid作为密码登陆,换取jwt token,并实现用户认证。 所用版本:python3.9+django3.14+rest_framework3.12.2+rest_framework_simplejwt4.6.0 实现: 1、django实现自定义
使用djangorestframework和simplejwt进行基于角色的身份验证和授权
weixin_26755331的博客
08-18 1024
Authentication and Authorization are two difficult concepts in programming. Lucky for us, Django makes our lives super easy and handles those things for us. 身份验证和授权是编程中的两个困难概念。 对于我们来说幸运的是,Django使我们的生活...
Django + simplejwt
NoobJohn的博客
11-21 2910
Django+Simplejwt安装配置常用自定义配置ACCESS_TOKEN_LIFETIMEREFRESH_TOKEN_LIFETIME使用测试自定义返回信息自定义验证方式可能出现的错误csrf验证错误 官方文档::文档 jwt认证一般用于状态保持,登录验证等方面 安装 首先在cmd安装simplejwt pip install djangorestframework-simplejwt 配置 simplejwt的配置非常简单,在settings.py文件中在任意位置加上 REST_FRAMEWO
pip install djangorestframework-simplejwt
12-21
使用pip install djangorestframework-simplejwt 可以安装 Django REST framework 的一个扩展——Simple JWT。Simple JWT 是一个基于 JSON Web Tokens(JWT)的身份验证方案,它简化了在 Django REST framework 中实现基于 Token 的认证和权限控制。 安装这个库可以通过命令行使用pip工具进行操作,首先需要确认已经安装了Python和pip工具,然后在命令行输入指令"pip install djangorestframework-simplejwt"即可开始安装。 安装完成后,在Django项目的settings.py文件中,需要将Simple JWT添加到INSTALLED_APPS中,然后配置相应的认证后端和中间件即可开始使用。 Simple JWT提供了简单而强大的身份验证功能,可以轻松地生成和验证JWT,支持自定义有效期、刷新令牌、验证用户权限等功能。它还提供了许多定制化的选项,以便开发者可以根据自己的需求进行个性化配置。 总之,pip install djangorestframework-simplejwt 是安装 Django REST framework 的一个重要步骤,可以为开发者提供方便快捷的JWT身份验证功能,有利于开发安全可靠的web应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Generalzy

倍感荣幸文章对您有帮助

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值