Django使用Token

最新推荐文章于 2024-04-15 03:47:20 发布
最新推荐文章于 2024-04-15 03:47:20 发布
阅读量8.7k 收藏 42
点赞数 14
分类专栏: python 文章标签: token python Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfy137000/article/details/79189252
版权

基于Token的身份验证

在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie中写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端和客户端的token通信.

验证流程

整个基于Token的验证流程如下:
1. 客户端使用用户名跟密码请求登录
2. 服务器收到请求,去验证用户名和密码
3. 验证成功后,服务端会签发一个Token,再把这个Token发送到客户端
4. 客户端收到的Token以后可以把它存储起来,比如放在Cookie或LocalStorage里
5. 客户端每次向服务器发送其他请求的时候都要带着服务器签发的Token
6. 服务器收到请求,去验证客户端请求里面带着的Token,如果验证成功,就像客户端返回请求的数据

Created with Raphaël 2.1.2 验证流程 客户端 客户端 服务器 服务器 数据库 数据库 登录请求{username:'',password:''} 验证用户名密码 验证成功 生成Token 把这个Token传递给客户端 存储Token(不限定存储方式) 其他请求(携带Token) 验证Token 返回数据

JWT

构造Token的方法挺多的,可以说只要是客户端和服务器端约定好了格式,是想怎么写就怎么写的,然而还有一些标准写法,例如JWT读作/jot/,表示:JSON Web Tokens.
JWT标准的Token有三个部分:
- header
- payload
- signature

三个部分会用点分割开,并且都会使用Base64编码,所以真正的Token看起来像这样

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

header部分主要是两部分内容,一个是Token的类型,另一个是使用的算法,比如下面的类型就是JWT,使用的算法是HS256:

{
  "typ": "JWT",
  "alg": "HS256"
}

上面的内容要用 Base64 的形式编码一下,所以就变成这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。下面是标准字段:
- iss:Issuer,发行者
- sub:Subject,主题
- aud:Audience,观众
- exp:Expiration time,过期时间
- nbf:Not before
- iat:Issued at,发行时间
- jti:JWT ID

Signature

JWT的最后一部分是Signature,这部分相当于前两段的摘要,用来防止其他人来篡改Token中的信息,在处理时可以首先将前两段生成的内容使用Base64生成一下再加盐然后利用MD5等摘要算法在生成一遍

服务端生成Token

在服务端生成Token的时候,需要解决两个问题
1. 使用什么加密算法
2. Token如何存储

加密算法

这里的加密算法并不是MD5,SHA1这样的哈希算法,因为这种算法是无法解密的,只能用来生成摘要,在Django中内置了一个加密前面模块django.core.signing模块,可以用来加密和解密任何数据,使用签名模块的dumps和load函数来实现

示例:

from django.core import signing
value = signing.dumps({"foo":"bar"})
src = signing.loads(value)
print(value)
print(src)

结果:

eyJmb28iOiJiYXIifQ:1NMg1b:zGcDE4-TCkaeGzLeW9UQwZesciI
{‘foo’: ‘bar’}

Token如何存储

用什么存储

在服务器中Token可以存储在内存中,因为本质是字符串,所以并不会占用很大的内存空间,如果是分布式的存储可以将所有的token信息分段存储在不同的服务器中,也可以存储在数据库中,在Django中提供了缓存类,可以用来存储Token,Django的缓存可以结合Redis来使用,可以借助django-redis来实现

安装

pip install django-redis

配置

为了使用django-redis,需要将django cache setting修改,修改settings.py,默认是没有Cache的配置信息的,在其中添加:

CACHES = {
    "default": {
        "BACKEND": "django_redis.cache.RedisCache",
        "LOCATION": "redis://127.0.0.1:6379",
        "OPTIONS": {
            "CLIENT_CLASS": "django_redis.client.DefaultClient",
        }
    }
}

当然,需要你首先安装了redis

cache使用

cache使用的时候基本可以使用set和get方法来进行存/取数据

>>> cache.set('my_key', 'hello, world!', 30)
>>> cache.get('my_key')
'hello, world!'

如何存

由于redis是使用k-v模式来进行存储数据的,我们可以使用用户名作为key,而token信息作为value,相较于直接使用token作为key的方式,好处是我们可以使用更少的空间实现一些功能,例如当用户修改了密码或点击注销之后,它的token可以直接失效,直接将该用户名所对应的数据删除就好了,或者用户在一次登录成功后,又一次请求了登录接口,我们可以很简单的更新该用户的token信息,而这样存储所依赖于我们的token可以进行解密,如果你是直接生成了一串无法解密的数据作为token,不能使用用户名作为token了

code

import time
from django.core import signing
import hashlib
from django.core.cache import cache

HEADER = {'typ': 'JWP', 'alg': 'default'}
KEY = 'CHEN_FENG_YAO'
SALT = 'www.lanou3g.com'
TIME_OUT = 30 * 60  # 30min


def encrypt(obj):
    """加密"""
    value = signing.dumps(obj, key=KEY, salt=SALT)
    value = signing.b64_encode(value.encode()).decode()
    return value


def decrypt(src):
    """解密"""
    src = signing.b64_decode(src.encode()).decode()
    raw = signing.loads(src, key=KEY, salt=SALT)
    print(type(raw))
    return raw


def create_token(username):
    """生成token信息"""
    # 1. 加密头信息
    header = encrypt(HEADER)
    # 2. 构造Payload
    payload = {"username": username, "iat": time.time()}
    payload = encrypt(payload)
    # 3. 生成签名
    md5 = hashlib.md5()
    md5.update(("%s.%s" % (header, payload)).encode())
    signature = md5.hexdigest()
    token = "%s.%s.%s" % (header, payload, signature)
    # 存储到缓存中
    cache.set(username, token, TIME_OUT)
    return token


def get_payload(token):
    payload = str(token).split('.')[1]
    payload = decrypt(payload)
    return payload


# 通过token获取用户名
def get_username(token):
    payload = get_payload(token)
    return payload['username']
    pass


def check_token(token):
    username = get_username(token)
    last_token = cache.get(username)
    if last_token:
        return last_token == token
    return False
cfy137000
关注
  • 14
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
基于Django框架实现简单token校验
qq_42707967的博客
04-27 1566
一.普通token校验 待续
Django+JWT实现Token认证
weixin_34174422的博客
01-22 1932
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
django项目后台开发】Token和Session的区别、Token的生成方式(1)
python全栈
05-17 1044
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token的认证和传统的session认证的区别 1、传统的session认证
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 4041
django 使用jwt token的东西来进行认证
django使用redis缓存token验证_django redis token,Golang事件分发机制及设计思路
最新发布
2401_84247760的博客
04-15 581
打开服务,只需要打开cmd指令窗口,cd到你解压的redis文件路径,然后输入redis-server redis.windows.conf 把redis服务加入到系统服务当中。新建一个操作token的utils.py文件,里面包含了创建token,获取tokentoken验证三个方法。关于redis指令这里不再赘述,但是在实际开发过程中,建议给redis数据库配置密码。连接redis,这个是写在接口外面,千万不要写在接口内,不然每一次请求都会执行该行代码,至于结果,自己意会。
Django】基于JWT的token认证
无邪的博客
03-28 1754
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
Django 权限控制之Token认证
go|Python的个人博客
06-10 1110
Django权限控制之前写了篇关于Json Web Token(jwt)模块文章,现在工作遇到了基于Django权限控制,Authentication backends相关的内容,再做下分享,也可以直接去参考官网说明django后端验证可以看做是一个列表,django会按照列表中认证组件一个个的去认证,直到认证成功或所有的验证方法都被尝试。 需要注意的是,django默认的只会检查数据库和内置权限,没有其他功能。自定义验证后端必须实现两个方法: get_user 和 authenticate 方法,另外还
Django如何使用jwt获取用户信息
09-17
Django中,JWT(Json Web Token)是一种用于身份验证的流行方法,它允许服务器向客户端颁发一个令牌,客户端在后续请求中携带该令牌以验证其身份。与传统的Cookie和Session相比,JWT提供了更好的可扩展性和安全性...
django使用post方法时,需要增加csrftoken的例子
09-17
Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users 添加项目apps settings.py INSTALLED_APPS = [ ... 'users.apps....
django基于存储在前端的token用户认证解析
09-18
主要介绍了django基于存储在前端的token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Python库 | django_token_manager-1.1.0-py3-none-any.whl
03-18
Django应用中,可以使用`django_token_manager`提供的视图、模型和管理器来创建、更新、验证和管理令牌。例如,创建一个新的令牌,可以调用`Token.objects.create(user)`方法,其中`user`是Django的User对象。同时...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
`api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr`这个标题暗示了我们在讨论一个使用Redis作为存储机制,来处理Django框架中的Token验证的场景。这里的`exclaimedthp`和`roselgr`可能是项目或特定组件的...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
使用django实现用户登录
12-08
"使用Django实现用户登录"是每个Django开发者必须掌握的基础技能,这涉及到用户认证、会话管理等多个核心概念。接下来,我们将深入探讨如何在Django中构建一个用户登录系统。 首先,我们需要理解Django的内置用户...
Django缓存机制cache和token会话存储
lzx的博客
10-03 1333
Django缓存机制和token存储缓存配置缓存创建缓存数据表并迁移文件到文件Django使用缓存局部缓存缓存api的使用浏览器缓存策略强缓存协商缓存token生成token基本知识JWTheaderPayloadSignature服务端生成Token加密算法Token如何存储 缓存 定义:缓存是一类可以更快的读取数据的介质统称,也指其它可以加快数据读取的存储方式。一般用来存储临时数据,常用介质的是读取速度很快的内存 比如redis数据库 意义:视图渲染有一定成本,数据库的频繁查询过高;所以对于低频变
使用django 的cache设置token的有效期
JZ5203的博客
12-14 770
   from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions import AuthenticationFailed from api.models import Token import datetime from django.core.cac...
Django REST framework Token认证不过期的解决方法
ronon77的专栏
04-07 1786
首先你需要知道在REST框架中的Token认证不像Session认证一样,它是没有办法设置过期时间的,但是有时我们需要对Token做过期验证,比如说用户在A设备登陆之后获取一个Token,如果用户在没有清空浏览器缓存的情况下,Token将一直保存在缓存中,一周后在访问依旧有效,但我们并不希望这样,我们觉得Token认证应该和Session一样都有过期时间,过期之后作废。 那么如何解决这个问题...
Django使用token
07-28
Django 使用 Token 进行身份验证是一种常见的做法,特别是在构建 RESTful API 时。Token 身份验证方案可以帮助开发者在无状态的环境下进行用户身份验证。 在 Django 中,你可以使用 `django.contrib.auth` 模块提供的 `Token` 类来实现 Token 身份验证。首先,需要在你的 Django 项目的 `settings.py` 文件中启用 Token 认证: ```python # settings.py INSTALLED_APPS = [ # ... 'rest_framework', 'rest_framework.authtoken', # ... ] # ... REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.TokenAuthentication', # ... ], # ... } ``` 然后,在你的应用中创建 Token: ```python from django.contrib.auth.models import User from rest_framework.authtoken.models import Token # 获取用户对象 user = User.objects.get(username='your_username') # 创建 Token token = Token.objects.create(user=user) # 打印 Token print(token.key) ``` 通过上述代码,你可以获取到用户对应的 Token,并将其用于身份验证。在进行 API 请求时,可以将 Token 作为请求的 `Authorization` 头部信息发送给服务器。 Django 还提供了一些装饰器和中间件,以便在视图函数或类中进行身份验证。你可以根据具体需求选择合适的方式来实现 Token 身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值