【Django 014】Django2.2会话技术之Token

最新推荐文章于 2023-03-28 09:07:26 发布
最新推荐文章于 2023-03-28 09:07:26 发布
阅读量522 收藏 3
点赞数
分类专栏: Python - Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Victor2code/article/details/105101868
版权

为了对移动应用有更好的支持,同时弥补cookie不能完成跨域认证的缺陷,会话技术的第三种,token,被引入。这一节我们一起来看看token的工作原理,同时实现一个简单的token生成和认证流程。

我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。

文章目录

操作环境

先总结下我的操作环境:

  • Centos 7
  • Python 3.7
  • Pycharm 2019.3
  • Django 2.2

因为Django长期支持版本2.2LTS和前一个长期支持版本1.11LTS有许多地方不一样,需要小心区分。

session的缺陷

先来回顾一下session认证的流程:

  1. 用户发送用户名和密码给服务器
  2. 服务器通过验证后,在当前的session中保存用户的信息,例如用户名,登陆时间,用户角色等等
  3. 同时服务器发送一个叫做sessionid的cookie给用户
  4. 随后的每次登录,用户都会通过cookie将sessionid传给服务器
  5. 服务器查询自己的记录,根据sessionid获取到用户的信息

这样导致了两个问题:

  • 首先服务器需要维护用户信息,在进行横向扩容的时候,需要将该信息持久化来共享,不太方便
  • 然后是cookie不能实现跨域的认证,同时移动端也不支持cookie

token的改进

做为以上流程的改进,token的实现有两种方式:

  • 用户的个人信息还是保存在服务端,不过不用cookie去保存这个用户的记录id,而是发给用户一串唯一的哈希码。下次用户可以通过url的查询参数,或者post内容,或者http头的Authorization字段中将这串码传递给服务端。服务端查询自己的记录或者用户信息。(这种方式和session类似,服务器还是有状态的,不过摆脱了cookie的局限)
  • 服务端不保存任何用户信息,所有用户的信息通过服务端的一个密钥进行加密,同时加入哈希值防篡改,以一串码的形式发给用户。用户以后登录也可以通过url的查询参数,或者post内容,或者http头的Authorization字段中将这串码传递给服务端。服务端通过密钥解析后获得用户的信息。(这个方法完美解决了上面session的两个问题,使得服务器无状态,例如比较流行的JWT就是用的这种方案)

网上关于JWT是否取代session的讨论很多,我个人也觉得token跟session比起来有很大的优势。但是如果是网页的话还是session实现起来更简单一点,而且因为保存有用户的信息,服务端想做一些操作就非常容易,例如修改用户角色,修改session过期时间等等。这个问题见仁见智,我们这里不做深入讨论。

token的简单实现

下面就以上面的第一种改进方法来进行一个简单的实现,了解了背后的基本逻辑,以后遇到类似JWT的框架也就很容易理解了。还是做一个简单的登录交互:

  1. 用户在register/页面输入用户名和密码进行注册,服务端查询数据库,不存在该用户就写入数据库否则注册失败
  2. 用户在login/页面输入用户名和密码进行登录,服务端验证用户名和密码,都正确就记录并返回token,否则登录失败。这里简化模型,没有考虑客户端存储token,可以是cookie或者LocalStorage)
  3. 用户在homepage/带入自己的token访问,验证token成功则显示个人主页,否则提示错误

创建数据模型

首先创建一个数据模型,存储用户姓名,密码,和token

这里只是演示,生产环境的token会存放在缓存中进行查询

class Employee(models.Model):
    e_name = models.CharField(max_length=16, unique=True)
    e_passwd = models.CharField(max_length=128)
    e_token = models.CharField(max_length=256)

之后迁移到数据库中备用

注册页面

创建路由规则和view函数如下,提供用户注册的页面

path('register/', views.register, name='register'),

def register(request):
    if request.method == 'GET':
        return render(request, 'token_register.html')
    elif request.method == 'POST':
        name = request.POST.get('name')
        password = request.POST.get('password')
        try:
            employee = Employee(e_name=name, e_passwd=password)  # test only, password should be saved in hash
            employee.save()
            return HttpResponse('Register Successfully')
        except Exception as e:
            return HttpResponse('User already exists')

其中在GET方法下返回的h5页面如下

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Register</title>
</head>
<body>
<form action="{% url 'token:register' %}" method="post">
    <label for="name">Name: </label><input type="text" name="name" id="name"><br>
    <label for="password">Password: </label><input type="password" name="password" id="password"><br>
    <input type="submit">
</form>
</body>
</html>

访问http://127.0.0.1:8000/token/register/,进行用户注册
1-register.png
注册成功
2-success.png
查看数据库中的记录发现多了一条
3-record.png

登陆页面

创建路由规则和view函数如下,提供登录的页面

path('login/', views.login, name='login'),

def login(request):
    if request.method == 'GET':
        return render(request, 'token_login.html')
    elif request.method == 'POST':
        name = request.POST.get('name')
        password = request.POST.get('password')
        employee = Employee.objects.filter(e_name=name).filter(e_passwd=password)
        if employee.exists():
            ip = request.META.get('REMOTE_ADDR')
            token = generate_token(ip, name)
            result = employee.first()
            result.e_token = token
            result.save()
            data = {
                'status': 200,
                'token': token,
            }
            return JsonResponse(data=data)
        else:
            data = {
                'status': 800,
            }
            return JsonResponse(data=data)

GET方法是返回的h5页面和注册几乎一样

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Login</title>
</head>
<body>
<form action="{% url 'token:login' %}" method="post">
    <label for="name">Name: </label><input type="text" name="name" id="name"><br>
    <label for="password">Password: </label><input type="password" name="password" id="password"><br>
    <input type="submit">
</body>
</html>

然后是这里是重点,就是POST方法的逻辑。如果用户名和密码都正确,就生成该用户的token,存到数据库中的同时下发给用户。成功了返回200,失败返回自定义的800

企业开发中使用6xx-9xx来进行自定义状态码

Token在生成的时候,要针对当前时间戳单个ip的单个用户必须唯一,否则就不具备身份识别性。所以其实就是对ip,用户名,和当前时间戳的信息集合做一个哈希。 这里的token生成函数如下

def generate_token(ip, name):
    timestamp = int(time.time() * 1000)
    str_bfmd5 = str(timestamp) + ip + name
    token = hashlib.md5(str_bfmd5.encode('utf-8')).hexdigest()
    return token

这里使用的是hashlib中的md5,当然也可以用sha128,sha256等等方式。注意编码对象必须是bytes类型才可以。

用刚才注册的账号访问http://127.0.0.1:8000/token/login/登录
4-login.png
成功获取到返回的Json数据
5-success.png
数据库中也成功进行了记录
6-record.png

个人主页

有了token,用户在访问的时候就可以带上它,我这里采用的是url查询参数的方式进行。

创建路由和view函数如下

path('homepage/', views.homepage, name='homepage'),

def homepage(request):
    token = request.GET.get('token')
    employee = Employee.objects.filter(e_token=token)
    if employee.exists():
        return HttpResponse(employee.first().e_name)
    else:
        return HttpResponse('Token error')

然后带上上一步返回的token创建url
http://127.0.0.1:8000/token/homepage/?token=25ec0f4ad459c0a549fd85cf5ca879f4
成功访问个人主页
7-homepage.png
也可以直接用反向解析的方式从登录页面直接重定向到个人主页来

def login(request):
    if request.method == 'GET':
        return render(request, 'token_login.html')
    elif request.method == 'POST':
        name = request.POST.get('name')
        password = request.POST.get('password')
        employee = Employee.objects.filter(e_name=name).filter(e_passwd=password)
        if employee.exists():
            ip = request.META.get('REMOTE_ADDR')
            token = generate_token(ip, name)
            result = employee.first()
            result.e_token = token
            result.save()
            # data = {
            #     'status': 200,
            #     'token': token,
            # }
            # return JsonResponse(data=data)
            return HttpResponseRedirect(reverse('token:homepage')+'?token='+token)
        else:
            data = {
                'status': 800,
            }
            return JsonResponse(data=data)

退出登录

因为对于下发的token没有办法控制,退出登陆的时候只需要删除数据库里面和token对应的记录即可。

总结

到了这里,MTV模型的基础就了解的差不多了。从下一节开始我们一起来看看一些进阶的内容

T型人小付
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django+JWT实现Token认证
weixin_34174422的博客
01-22 1946
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
django项目token
weixin_45987650的博客
03-07 332
django项目token: 1 在utils文件在建立一个middlewares.py作为中间件,然后继承重写crsf-token from django.middleware.csrf import get_token from django.utils.deprecation import MiddlewareMixin class Middleware...
Django使用Token
cfy137000的博客
01-28 8809
基于Token的身份验证 在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie中写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端和客户端的token通信. 验证流程 整个基于Token的验证流程如下: 1. 客户端使用用户名跟密码请求登录 2. 服务器收到请求,去验
django 验证token返回json
weixin_44675051的博客
06-30 592
from django.shortcuts import render from django.http import JsonResponse from rest_framework.views import APIView from rest_framework.response import Response from rest_framework.decorators import api_view from django.contrib.auth import authenticate from
Django Token
watermelon
07-13 515
Django Token 步骤: 新建一个token_module.py 新建一个authentiction_module.py 在app下views.py中写api 项目结构 token_module.py import time import base64 import hmac def get_token(key, expire=3600): ''' :param key: str (用户给定的key,需要用户保存以便之后验证token,每次产生token时的key 都可以是同
Django框架会话技术实例分析【Cookie与Session】
09-19
### Django框架会话技术详解:Cookie与Session 在Web开发中,会话管理是一个非常重要的环节,它确保了用户在多次交互过程中能够被系统正确识别。对于使用Django框架进行开发的应用程序而言,掌握如何有效地利用...
Django+JWT实现Token认证的实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
django中使用post方法时,需要增加csrftoken的例子
09-17
Django通过在每个用户会话中生成一个唯一的CSRF令牌来防范这种攻击。 在Django中,当你使用Ajax或者JavaScript直接发送POST请求时,需要手动添加这个令牌。以下是一个例子,展示如何在JavaScript中获取并设置这个...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
在前后端分离的应用中,它通常代替Cookie进行会话管理,因为Token更适合跨域访问且不易受到CSRF(跨站请求伪造)攻击。 接下来,我们来看如何使用Redis作为Token的存储库。Redis是一个内存数据结构存储系统,常被...
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
当你遇到"CSRF token missing or incorrect"的错误时,通常意味着Django无法找到或验证表单中的CSRF令牌,这可能是由于以下几个原因: 1. **缺失的CSRF令牌**:在Django的POST表单中,你需要包含`{% csrf_token %}`...
Django 权限控制之Token认证
go|Python的个人博客
06-10 1112
Django权限控制之前写了篇关于Json Web Token(jwt)模块文章,现在工作遇到了基于Django权限控制,Authentication backends相关的内容,再做下分享,也可以直接去参考官网说明django后端验证可以看做是一个列表,django会按照列表中认证组件一个个的去认证,直到认证成功或所有的验证方法都被尝试。 需要注意的是,django默认的只会检查数据库和内置权限,没有其他功能。自定义验证后端必须实现两个方法: get_user 和 authenticate 方法,另外还
Django 使用 token 认证
热门推荐
她°
05-08 1万+
场景说明 web 网站登录认证一般常用的有三种方式: session:早期以 web 为主 token:适用于 web、app oauth:微信、QQ登录 目前在 django 中使用 session 认证的方式比较多,因为 django 内置了强大的用户认证系统–auth模块。 下面会结合 session 和 token 两种认证方式做一个登录的示例。 session 登录认证示例 views.py: def query(request): if request.method == 'GET'
Day 28 JWT认证相关
A1L__的博客
11-17 1022
Day 28 JWT认证相关 一、JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证,我们不再shiyongsession认证机制,而使用Json Web Token认证机制。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服
djangotoken认证模拟
朽木自雕的博客
09-10 525
djangotoken认证模拟 前言:Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么服务端会返回 token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 代码及解释如下:(不是很难,照着敲一遍基本就懂了) import base64 import random import time from django.sh...
DjangoToken机制(django cookies 转 token
weixin_46504917的博客
10-27 197
1 SessionMiddleware 中间件增加代码 def process_request(self, request): session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME) auth = request.META.get('HTTP_AUTHORIZATION', b'') if auth: request.session = self.Ses
Django 中验证token
qq_39596022的博客
04-17 423
from django.utils.decorators import method_decorator from djangoProject.api import check_login class DelTable(APIView): # 类装饰器 @method_decorator(check_login) def post(self, request): data = json.loads(request.body)['data'] .
Django】基于JWT的token认证
最新发布
无邪的博客
03-28 1814
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
Django实战: 使用JWT Token进行用户认证
大江狗
04-20 6399
编者注:一般Web应用开发验证用户信息有两种方式,一是使用session,二是使用token。下文详细对比了两者的区别,介绍了Token认证的原理及如何在Django项目简单实现tok...
基于Django框架实现简单token校验
qq_42707967的博客
04-27 1572
一.普通token校验 待续
Django框架入门:环境搭建与基本概念解析
"01django基本介绍及环境搭建.pptx" Django是一个强大的开源...记得在开发过程中,Django的模型基础、会话管理、Token认证、Cookie处理以及上下文处理器等都是重要的学习点,它们构成了Django强大功能的核心组成部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值