django实现jwt身份认证

已于 2022-08-12 16:16:05 修改
阅读量2.7k 收藏 14
点赞数 4
分类专栏: python基础 文章标签: django python 后端
于 2022-08-12 16:06:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a961634066/article/details/126303784
版权

官网:Django REST framework JWT

文章中使用版本信息:python3.8,django2.2

闲暇之余研究了下jwt,没想到过程中遇到各种各样问题,网上乱七八糟搜了一堆,都不能串起来,最后理了理跑起来了,就记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。

下面来说两种实现

1. pyjwt

2. djangorestframework-jwt

一、理论

平时做状态保持登录验证时,一直是用session、cookie、redis等,看了个文章说是这种方式,用户量过大,频繁去读写redis,影响内存,还有多服务器时session共享问题,容易csrf攻击等等,然后就推荐jwt。

1. JWT(json  web token)
    jwt的令牌存在于客户端,流程:
    (1)用户输入用户名密码请求服务器
    (2)服务器验证用户信息
    (3)服务器通过验证后,发送给用户一个token
    (4)客户端存储token,并在每次请求时携带上这个token
    (5)服务器每次验证token,并返回数据
      说明:前端请求时,token在请求头里,另外服务器要支持cors(跨域资源共享)策略,一般在服务端可以Access-Control-Allow-Origin: *

2. jwt由三部分组成,点分割,第一部分,头部(header),第二部分,载荷,第三部分,签名,需要验证第三部分(asdasdcxzcxz.sadsafdasgfdsfdasf.fdasfdsafdas)。

   (1)头部有两部分信息,base64编码,{“typ”: "JWT", "alg": "HS256"},作用,声明类型,声明加密方式
   (2)载荷,base64编码,作用,放一些非敏感数据
   (3)签名,将编码后的头部、载荷相加,使用header中声明的加密方式进行加盐secret组合进行加密

    注意:secret是保存在服务器端,jwt签名也是在服务器端,secret是用来进行签名与验证的,相当于私钥,不能泄露。eg: HMACSHA256(string, "secret")

3. jwt优点:
    jwt支持所有平台
    payload中可以带些非敏感数据
    不需要在服务端保存会话信息,容易扩展

二、djangorestframework-jwt

pip install djangorestframework-jwt

坑一:使用drf-jwt时需要注意,默认的验证时去auth_user表去校验,想使用drf自带的登录接口,通过自定义建的用户表,或者想通过邮箱等字段校验,需要自定义验证方式,内部使用的django的认证类,重写ModelBackend类的authenticate方法,然后在settings中配置成我们的,上代码。

尽量使用auth_user表,省去很多麻烦,我使用自己新建的用户表

按照顺序一步步来的

1. 登录分发签名步骤

# urls.py


from django.contrib import admin
from django.urls import path, include
from rest_framework_jwt.views import obtain_jwt_token


urlpatterns = [
    path('admin/', admin.site.urls),
    path('library/', include('apps.library.urls')),
    path('jwt/login/', obtain_jwt_token),  # url地址随意定义,drf登录接口
]

print(urlpatterns)

不用写登录接口,直接重写自定义校验就行,在utils文件夹下新建py

# jwt_custom.py


from django.contrib.auth.backends import ModelBackend


# 使用jwt的登录接口,自定义方式认证,request一直是空,取不到内容,如果有验证码等其他要校验的呢?
# 为啥要自定义认证类,因为jwt默认是校验auth_user表的用户名密码
class UserAuthBackend(ModelBackend):

    def authenticate(self, request, username=None, password=None, **kwargs):

        try:
            # LbUserInfo为自定义的用户表
            user = LbUserInfo.objects.get(username=username)
            # 密码使用base64解码后使用
            password = base64.b64decode(password)
            if check_password(password, user.password):
                return user
        except:
            raise AuthenticationFailed("没有查找到用户")

重写后,在settings中指向我们定义的

# settings.py


# jwt认证属性
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),   # token过期时间
}


# 自定义jwt验证方式
AUTHENTICATION_BACKENDS = (
    'apps.library.utils.jwt_custom.UserAuthBackend',
)

至此,drf的登录接口就好了,但此时响应只会返回一个token字段,要想多返回,还得再自定义返回内容

# jwt_custom.py

# 响应内容
{
    "token": "asdasdasfadasdasd"
}



# 重写drf-jwt登录视图,构造响应内容
def jwt_response_payload_handler(token, user=None, request=None):
    return {
        "token": token,
        "user_id": user.id,
        "username": user.username,
        "status": 200
    }

还要在settings.py中指向这个自定义的

# settings.py


# jwt认证属性(默认值都在rest_framework_jwt的settings文件中)
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),   # token过期时间
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'apps.library.utils.jwt_custom.jwt_response_payload_handler',
# 登陆失败时自定义的返回结构
    # 'JWT_RESPONSE_PAYLOAD_ERROR_HANDLER': 'rest_framework.jwt_response_payload_error_handler',
}

登录接口结束,校验、响应都自定义完成,下一步就是签名在view视图中怎么使用验证,并获取签名信息了。

2. 接口校验签名步骤

# settings.py 


REST_FRAMEWORK = {
    # 这儿配置了就是全局使用,单个视图使用,可以加在视图里,下面有示例
    'DEFAULT_AUTHENTICATION_CLASSES': (
        # 'rest_framework_jwt.authentication.JSONWebTokenAuthentication',   # 内部认证类
        'apps.library.utils.jwt_custom.JsonAuthentication',   # 自定义jwt认证类
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
    # 使用drf的权限验证
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',
    ]
}

自定义认证类

# jwt_custom.py

import jwt
from rest_framework import exceptions
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework_jwt.settings import api_settings
jwt_decode_handler = api_settings.JWT_DECODE_HANDLER

class JsonAuthentication(JSONWebTokenAuthentication):

    def authenticate_credentials(self, payload):
        username = payload['username']
        if not username:
            msg = 'Invalid payload.'
            raise exceptions.AuthenticationFailed(msg)

        try:
            user = LbUserInfo.objects.get(username=username)
        except Exception:
            msg = 'Invalid signature.'
            raise exceptions.AuthenticationFailed(msg)

        if not user.is_active:
            msg = 'User account is disabled.'
            raise exceptions.AuthenticationFailed(msg)
        return user

    def authenticate(self, request):
        jwt_value=self.get_jwt_value(request)     # jwt_value=request.GET.get('token')
        # # 验证签名,验证是否过期
        try:
            payload = jwt_decode_handler(jwt_value) # 得到载荷
            # 取当前用户,拿到user对象,每登录一个人就要去数据库查一次
            # 这个也要重写,因为它找的是auth的user表,我们是去自己表中查
            user = self.authenticate_credentials(payload)
            # 效率更高一写,不需要查数据库了
            # user=LbUserInfo(id=payload['user_id'],username=payload['username']) # user={'id':payload['user_id'],'username':payload['username']}
        except jwt.ExpiredSignature:
            msg='token过期'
            raise exceptions.AuthenticationFailed(msg)
        except jwt.DecodeError:
            msg='签名错误'
            raise exceptions.AuthenticationFailed(msg)
        except jwt.InvalidTokenError:
            raise exceptions.AuthenticationFailed('错误')

        return (user, jwt_value)

看看视图中怎么单个接口使用

# jwt_view.py

from rest_framework import status, viewsets
from rest_framework.decorators import action
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response

from apps.library.utils.jwt_custom import JsonAuthentication


class TestViewSets(viewsets.ViewSet):

    authentication_classes=[JsonAuthentication, ]   # 单个使用
    permission_classes = [IsAuthenticated, ]

    @action(methods=["GET"], detail=False, url_path="test")   # false代表不是路径传参,url后缀
    def test(self, request):
        print(11111)
        print(request.user)
        return Response("测试成功", status=status.HTTP_200_OK)

    def list(self, request):
        return Response("测试成功1", status=status.HTTP_200_OK)

    @action(methods=["GET"], detail=False, url_path="check")   # false代表不是路径传参
    def check(self, request):
        return Response("测试成功2", status=status.HTTP_200_OK)

注意:使用自定义用户表时,如果报错,object has no attribute 'is_authenticated',需要在models中定义方法

# models.py

class LbUserInfo(models.Model):
    username = models.CharField(max_length=100)
    fullname = models.CharField(max_length=100)
    password = models.CharField(max_length=100)
    telphone = models.IntegerField(blank=True, null=True)
    create_time = models.IntegerField(default=int(time.time()))
    email = models.CharField(max_length=100, blank=True, null=True)
    is_active = models.IntegerField(default=0)


    class Meta:
        managed = False
        db_table = 'lb_user_info'
        ordering = ("-create_time", )

    @property
    def is_authenticated(self):
        """
        Always return True. This is a way to tell if the user has been
        authenticated in templates.
        """
        return True

    def __str__(self):
        return f"id:{self.id},username:{self.username}"

3. 不影响上面的扩展,不想使用drf的登录接口,可以自己写登录视图,然后随意写逻辑,最后手动生成签名并返回

def get_token():
    from rest_framework_jwt.settings import api_settings

    jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
    jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
    user = {
        "user_id": 1,
        "username": "zhangsan"
    }
    payload = jwt_payload_handler(user)
    token = jwt_encode_handler(payload)
    print(token)

三、pyjwt

不想过多写了,这个好理解,网上多的是,原理是,封装一个生成token方法,登录接口返回,视图怎么校验使用呢,一是写个装饰器,装饰器中校验签名,二是继承BaseAuthentication,重写authenticate方法,跟上面使用一样,authentication_classes = [重写的类 ]

pip install pyjwt

天黑前最后的余辉
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django项目中使用JWT(djangorestframework-jwt)
2301_76931745的博客
08-01 735
如果我们还需在返回值中增加username和user_id。通过重写视图的返回值可以完成我们的需求。"""自定义jwt认证成功返回数据"""return {'token': token, # 返回jwt签发的token'id': user.id, # 返回用户ID'username': user.username # 返回用户的用户名注意需要修改配置文件# JWT配置# token有效期# 指明自定义返回数据在哪个函数中。
django TokenAuthentication 认证方式
Bob欧巴のblog
07-06 4471
settings的配置 INSTALLED_APPS = [ ..... ..... 'rest_framework.authtoken' ] 因为token认证的方式 ,会在数据库中生成一个token表,存储token值,并与user关联,需要把'rest_framework.authtoken',写入app中 自定义一个...
Django实现JWT(构成原理、base64)
AZURE060606的博客
04-19 565
JWT (JSON Web Token)通常用于对用户进行身份验证和授权,是一种无状态的认证机制,通过在用户和服务器之间传递加密的令牌来验证用户身份区别于之前的cookie和session签发阶段:登陆成功后签发token,将token存储到客户端的cookies中认证阶段:从请求中拿到token,利用token签发的逆运算解析token得到user对象并存储到request.user中,然后才能在后端进行使用。
Django rest framework jwt的使用方法详解
01-01
一简介 JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。该信息可以被验证和信任,因为它是数字签名的。JWTS可以使用秘密(使用HMAC算法)或公钥/私钥对使用RSA或ECDSA来签名。 JWT的组成部分: header Header是由下面这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到这个原来的Json,所以JWT中存放的一般是不敏感的信息)生成的字符串,Header中存放的内容是说明编码对象是一个JWT以及使用“SHA-256”的算法进行加密(加密用于生成Signat
Django内置用户认证及JWT的使用
最新发布
haiming0415的博客
05-25 1037
什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC 7519.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。起源说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。
django中使用JWT
wolflxiaolu的博客
04-24 5984
1.pyJWT简述 因http协议本身为无状态,这样每次用户发出请求,我们并不能区分是哪个用户发出的请求,这样我们可以通过保存cookie以便于识别是哪个用户发来的请求,传统凡事基于session认证。但是这种认证本身很多缺陷,扩展性差,CSRF等问题。JWT(Json web token) 相比传统token,设计更为紧凑且安全。通过JWT可以实现用户认证等操作。 pyJWT下载 pip install pyJWT JWT构成: eyJ0eXAiOiJKV1QiLC
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 4219
django 使用jwt token的东西来进行认证
Django REST Framework完整教程-认证与权限-JWT的使用
插件开发
10-18 3516
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 写入权限只允许给 article 的作者。
django 用户登录token认证
cesor的博客
07-01 5003
创建项目 指定app名 ** 配置settings ** 写入rest_fromworK和rest_fromwork.authtoken 配置数据库 修改时区和语言等 LANGUAGE_CODE = ‘zh-Hans’ TIME_ZONE = ‘Asia/Shanghai’ USE_I18N = True USE_L10N = True USE_TZ = False 配置model ** 生...
详解Django配置JWT认证方式
09-16
Django REST framework与`djangorestframework-simplejwt`库结合使用,可以轻松实现JWT的集成。 首先,我们需要安装必要的库。在命令行中运行以下命令,安装`djangorestframework-simplejwt`和`djangorestframework...
Django+JWT实现Token认证的实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
django-ariadne-jwt:Django中Ariadne的JWT身份验证
05-23
支持基于JWT的身份验证,以与在项目中运行的 graphql库一起使用。 它在很大程度上受到启发。 安装 pip install django-ariadne-jwt 如何使用 django-ariadne-jwt旨在易于安装和使用。 首先将JSONWebTokenBackend...
Django如何使用jwt获取用户信息
09-17
Django中,JWT(Json Web Token)是一种用于身份验证的流行方法,它允许服务器向客户端颁发一个令牌,客户端在后续请求中携带该令牌以验证其身份。与传统的Cookie和Session相比,JWT提供了更好的可扩展性和安全性...
微信小程序登录对接Django后端实现JWT方式验证登录详解
01-03
先上效果图 ... 流程 1.使用微信小程序登录和获取用户...下次请求需要验证用户身份的页面时,在header中加入token这个字段 微信小程序代码 获取用户信息的方法这里不展示,可以在微信小程序文档中看到 登录方法 login
DJANGO后端开发简单员工管理系统实现登录功能中的JWT验证(零基础也可以看懂)
weixin_63603830的博客
05-08 957
基于DJANGO的登录功能中的JWT原理,步骤,实现方法
Django中的JWT
weixin_42234345的博客
06-28 2094
Django中的JWT一、什么是JWT(Json Web Token)二、与session对比的优缺点2.1 优点2.2 缺点三、JWT的构成3.1 头部3.2 有效载荷(其实就是放内容的)3.3 签名3.4 样例四、django中的应用4.1 后端安装与配置4.2 前端写法 一、什么是JWT(Json Web Token) 顾名思义,JWT就是Json Web Token,是在web应用中基于json的一种身份验证机制。 本质上就是把用户的信息通过base64编码后,加上一个头和一个签名,然后当作身份令牌
djangorestframework-jwt使用,生成token,token认证
weixin_46371752的博客
12-06 2402
使用djangojwt模块: 安装:pip install djangorestframework-jwt 配置: 将djangorestframework-jwt注册到apps中 settings.py下配置 import datetime JWT_AUTH = { 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), ​ 'JWT_AUTH_HEADER_PREFIX': 'JWT', #前缀需要家jwt } ....
彻底理解cookie、session、token
qq_39581763的博客
11-21 251
Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以...
JWT原理构成与使用(带案例简单易懂)
王涛涛的博客
09-25 1535
JWT原理构成与使用 项目架构 开发模式:前后端分离 前端框架:VUE 后端框架:Django REST framework 功能部分:管理员登录,数据统计,用户管理,商品管理,订单管理,权限管理 主要技术 : JWT用户认证 ,CORS跨域 跨域CORS 我们的前端和后端分别是两个不同的端口 位置 域名 前端服务 www.meiduo.site:8080 后端服务 www.m...
django 引用jwt 怎么安装jwt
05-10
Django是一个流行的Python Web框架,而JWT(JSON Web Token)是一种用于身份验证的开放标准。在Django中使用JWT可以方便地实现用户认证和授权。 要在Django中使用JWT,需要安装PyJWT库。可以使用以下命令在终端中安装: ``` pip install pyjwt ``` 安装完成后,在Django项目中可以引入PyJWT库并开始使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值