django实现JWT

最新推荐文章于 2024-02-23 14:52:33 发布
最新推荐文章于 2024-02-23 14:52:33 发布
阅读量615 收藏 2
点赞数
分类专栏: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZJX_959/article/details/108659222
版权

json web token的结构

jwt的结构由三个部分组成:

  • Header
  • Payload
  • Signature

header头的格式如下

        headers = {
        #typ 属性表示令牌类型,这里就是 JWT。
            'typ': ' jwt',		
        # alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256 就是 HMAC SHA256 算法
            'alg': 'HS256'
        }

Payload的格式

#常用格式
payload = {
	iss:jwt的签发者/发行人;
	
	sub:主题;
	
	aud:接收方;
	
	exp:jwt过期时间;
	
	nbf:jwt生效时间;
	
	iat:签发时间
	
	jti:jwt唯一身份标识,可以避免重放攻击
}
#也可以不必遵循,例:
payload = {
    'userid': userid,        #用户表id
    'user_code': username    #用户名
}

Signature格式

#这是对前边header和payload进行签名,以后在发送/接收消息时,如果在数据被更改,则这段token值会变化,可以在每次传送数据时,判断该token是否被修改,由此判断数据是否安全
token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
#生成的token为xxxxxx.yyyyyy.zzzzzz格式

**

场景:

**
Authorization (授权) : 用户登录发送请求,每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改

例如前端发送一个授权登陆请求

**

后端代码

**

from rest_framework.generics import ListAPIView
from rest_framework.response import Response
from dadaoapi.apps.home import models
from dadaoapi.settings import constant
import jwt
#dev是配置文件
from dadaoapi.settings import dev
import requests
from dadaoapi.apps.home import serializers
import json
import random       #随机生成字符串
import string
class Getopenid():
    """获取微信的openid"""
    def getopenid(self, js_code, *args, **kwargs):
        url = "https://api.weixin.qq.com/sns/jscode2session"        #请求微信服务器发送openid
        app_id = "-----------"                           #填上自己小程序的APPID
        app_secret = "--------------------------"        #填上自己小程序的app_secret
        #拼接url
        get_url = url + "?appid=" + app_id + "&secret=" + app_secret + "&js_code=" + js_code + "&grant_type=authorization_code"
        ret = requests.get(get_url)
        openid = ret.json()['openid']
        secret = ret.json()['session_key']
        return (openid, secret)

# 前端发送code获取openid并发送jwt
class GetOpenId(ListAPIView):
    """注册用户信息并发送jwt"""
    authentication_classes = []                 #登陆界面不进行authentication认证
    def post(self, request, *args, **kwargs):
        params = request.data
        js_code = params.get('jscode')         #获取到前端发送的code
        nickname = params.get('nickname')
        city = params.get('city')
        gender = params.get('gender')
        # print(params)
        # print(js_code, nickname, city, gender)
        openid_obj = Getopenid()
        openid, secret = openid_obj.getopenid(js_code)
        # print(openid, type(openid))
        try:
            user = models.UserToken.objects.get(token=openid)            #用户已存在
        except Exception as e:
            user = None
        if user:
            pass
        else:
            """测试用例,如果用户已经注册则不创建用户,否则随机创建用户名"""
            usertoken = models.UserToken.objects.create(token=openid)
            # string.digits = 0123456789
            # string.ascii_letters = 26个小写字母,26个大写字母
            str_list = random.sample(string.digits + string.ascii_letters + '_' + '!' + '#' + '$' + '*', 10)  # 随机生成字符串
            random_str = ''.join(str_list)
            name = 'dd_' + random_str  # 随机生成字符串
            name_login = models.UserTable.objects.filter(user_code=name)
            print(name_login)
            print(456)
            if name_login:
                while not name_login:
                    str_list = random.sample(string.digits + string.ascii_letters + '_' + '!' + '#' + '$' + '*',
                                             10)  # 随机生成字符串
                    random_str = ''.join(str_list)
                    name = 'dd_' + random_str  # 随机生成字符串
                    name_login = models.UserTable.objects.filter(user_code=name)
                models.UserTable.objects.create(
                    user_id=usertoken, user_code=name, nickname=nickname, gender=gender, city=city
                )
            else:
                models.UserTable.objects.create(
                    user_id=usertoken, user_code=name, nickname=nickname, gender=gender, city=city
                )
            print(user)
        #进行jwt,jwt需要有用户名和密码,随机生成密码,将openid作为用户名
        #构造headers
        userid = models.UserTable.objects.filter(user_id__token=openid).values('id').first()['id']           #取出用户id
        username = models.UserTable.objects.filter(user_id__token=openid).values('user_code').first()['user_code']    #取出用户名
        headers = {
            'typ': ' jwt',
            'alg': 'HS256'
        }
        #构造payload
        payload = {
            'userid': userid,        #用户表id
            'user_code': username    #用户名
        }
        
        #SECRET_KEY = '9d^4a9d=m2u(d+21ck1%&d7lj9wz7vr*x!$^!@gxszlvgq@4_2'这一段代码可在setting中设置默认加盐
        salt = dev.SECRET_KEY             #加盐
        token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
       res = {
            'code': '1000',
            'data': None
        }
        res['data'] = token
        return Response(res)

**

可添加认证

**

#可添加auth认证,判断数据
from rest_framework.authentication import BaseAuthentication
import jwt
from jwt import exceptions
from dadaoapi.settings import dev
from rest_framework.response import Response
from rest_framework.exceptions import AuthenticationFailed          #导入drf报错的包
class JwtQueryAuthentication(BaseAuthentication):

    def authenticate(self, request):
        token = request.META.get('HTTP_TOKEN')
        salt = dev.SECRET_KEY
        payload = None
        msg = None
        print("经过这里")
        try:
            payload = jwt.decode(token, salt, True)
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({'code': 2001,'error': "token已失效"})
        except jwt.DecodeError:
            raise AuthenticationFailed({'code': 2002, 'error': "token认证失败"})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({'code': 2003, 'error': "非法的token"})
        if not payload:
            return Response({'code': 1002, 'error': msg})
        print(payload['nickname'], payload['userid'])
扛啊扛把子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Django中的JWT
weixin_42234345的博客
06-28 2055
Django中的JWT一、什么是JWT(Json Web Token)二、与session对比的优缺点2.1 优点2.2 缺点三、JWT的构成3.1 头部3.2 有效载荷(其实就是放内容的)3.3 签名3.4 样例四、django中的应用4.1 后端安装与配置4.2 前端法 一、什么是JWT(Json Web Token) 顾名思义,JWT就是Json Web Token,是在web应用中基于json的一种身份验证机制。 本质上就是把用户的信息通过base64编码后,加上一个头和一个签名,然后当作身份令牌
django中使用JWT
wolflxiaolu的博客
04-24 5889
1.pyJWT简述 因http协议本身为无状态,这样每次用户发出请求,我们并不能区分是哪个用户发出的请求,这样我们可以通过保存cookie以便于识别是哪个用户发来的请求,传统凡事基于session认证。但是这种认证本身很多缺陷,扩展性差,CSRF等问题。JWT(Json web token) 相比传统token,设计更为紧凑且安全。通过JWT可以实现用户认证等操作。 pyJWT下载 pip install pyJWT JWT构成: eyJ0eXAiOiJKV1QiLC
django项目中使用JWT(djangorestframework-jwt)
2301_76931745的博客
08-01 693
如果我们还需在返回值中增加username和user_id。通过重视图的返回值可以完成我们的需求。"""自定义jwt认证成功返回数据"""return {'token': token, # 返回jwt签发的token'id': user.id, # 返回用户ID'username': user.username # 返回用户的用户名注意需要修改配置文件# JWT配置# token有效期# 指明自定义返回数据在哪个函数中。
Django jwt认证(基于pyjwt)
m0_73396736的博客
02-23 791
这个部分是整个jwt最核心的地方,他需要经过base64url编码的header,payload,以及我们提供的一把密钥,通过header中指定的算法(这里是HS256)算出的一个字符串。payload是装载在jwt中的一些有效信息,是可以自定义的一部分,比如我想在验证完这个jwt之后直接取到用户的id,昵称之类的,就可以放在这个地方,怎么取到后面会说。好了,现在我们已经有了生成jwt和验证jwt的方法,那具体在函数里面该怎么认证呢?头部包含两部分,一个是token的类型,另一个是加密类型。
DJANGO后端开发简单员工管理系统实现登录功能中的JWT验证(零基础也可以看懂)
weixin_63603830的博客
05-08 910
基于DJANGO的登录功能中的JWT原理,步骤,实现方法
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 3071
django 使用jwt token的东西来进行认证
详解Django配置JWT认证方式
09-16
主要介绍了Django 配置JWT认证方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django如何使用jwt获取用户信息
09-17
主要介绍了Django如何使用jwt获取用户信息,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
django-jwt-auth:Django的JSON Web令牌认证支持
05-23
Django JWT身份验证概述该软件包通过使用为Django提供支持。 该项目是JoséPadilla(也是PyJWT的维护者)创建的( )的分支。 José似乎不再有时间进行django-jwt-auth的工作。 原始代码的新功能: 刷新令牌提供2种...
django实现jwt身份认证
a961634066的博客
08-12 2660
文章中使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程中遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt。............
Django REST Framework完整教程-认证与权限-JWT的使用
插件开发
10-18 2877
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 入权限只允许给 article 的作者。
Django-JWT的使用
蟹老板的博客
01-29 930
JWT应用: 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资.
Django JWT验证
LoadingCreate的博客
05-27 916
JSON Web Token,简称JWT,是一种开放标准(RFC 7519),用于在网络上传输信息,特别是在身份验证和授权方面。JWT是一串编码后的JSON格式字符串,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。Django JWT验证是一种安全的身份验证方法,通过使用库,我们可以轻松地实现JWT的创建、验证和刷新。
Django中使用jwt--超详细
pygodnet的博客
12-15 5670
一:什么是jwt? jwt被广泛用于各类鉴权中,其中jwt token如下所示: b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkaW1uIn0.MeQOdDiiI39mBpgbFNnBVNdJMDhUpRTxziPeFJKB2fA' jwt token   JWT生成的Token是一个用两个点(.)分割的长字符串   点分割成的三部分分别是Header头部,Payload负载,Signature签名:Header.Payload.Sig
django中使用jwt
watermelon
01-07 828
前后端分离项目中经常使用用户验证,为什么要使用验证,因为http是无状态 的,无法辨别是否正确,早起的cookie、session、token,以及现在说的jwt认证 jwt和token类似,最大的区别是token要保存在服务端造成后端存储压力增大,因此使用jwtdjango中使用jwt认证 创建django项目 导入相关依赖 具体代码一下 extensions文件夹下创建一个auth.py文件 #!/usr/bin/env python # -*- coding:utf-8 -*- from rest
如何在Django中集成JWT
panzhixiang
10-16 604
django中集成jwt
django 引用jwt 怎么安装jwt
最新发布
05-10
Django中使用JWT可以方便地实现用户认证和授权。 要在Django中使用JWT,需要安装PyJWT库。可以使用以下命令在终端中安装: ``` pip install pyjwt ``` 安装完成后,在Django项目中可以引入PyJWT库并开始使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值