cookie
cookie是保存在本地浏览器的一个明文的用户信息
session
session是保存在服务器端的一个键值对类似字典的数据
他的主要作用就是加密和保存登录状态和会话
登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名和密码
-
session缺点:
-
1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。
2.如果使用一个服务器,该模式完全没有问题。
3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库
来保存会话数据实现共享,
4.这样负载均衡下的每个服务器才可以正确的验证用户身份。
-
没有session持久化,没有分布式架构,无法支持横向扩展
session默认存储在内存中,如果把代码部署在多台服务器上, session只会保存在其中的某台服务器上,这样,如果用户访问的不是该台服务器,请求nginx路由到另一台服务器上,那就需要重新登录,会造成数据冗余 -
写入数据库或者文件持久层,这样的方法解决了横向扩展问题,但是这样的问题是,如果数据库持久层出现问题,所有集群都没有办法登录,
单点故障
如果数据放到mysql中,用户量过大,查询很慢,效率很低
JWT
jwt本质是就是,把用户信息加密后生成的一个字符串
JWT原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户之后,当用户与服务器通信时,客户在请求中发回
JSON对象,服务器仅依赖于这个JSON对象来标识用户。
为了防止用户篡改数据,服务器将在生成对象时添加签名
服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展
JWT是由头部,载荷,签名三部分组成:
-
头部:
# JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。 { "alg": "HS256", "typ": "JWT" } # 1)alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256); # 2)typ属性表示令牌的类型,JWT令牌统一写为JWT。 # 3)最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。 -
载荷:没有敏感数据的用户信息
-
七个默认字段+自定义私有字段
#1、有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认 字段供选择。 ''' iss:发行人 exp:到期时间 sub:主题 aud:用户 nbf:在此之前不可用 iat:发布时间 jti:JWT ID用于标识该JWT ''' #2、除以上默认字段外,我们还可以自定义私有字段,如下例: { "sub": "1234567890", "name": "chongchong", "admin": true } #3、 注意 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防 止信息泄露。 JSON对象也使用Base64 URL算法转换为字符串保存。 -
签名:
- 签名哈希部分是对上面两部分数据签名,通过指定的算法生成嗨,以确保数据不会被篡改
- 首先,需要指定一个密码(secret),该密码仅仅为保存在服务器中,并且不能向用户公开
- 然后使用标头中指定的签名算法,根据以下公式生成签名
HMACSHA256(base64UrlEncode(header)+'.'+base64UrlEncode(payload),secret) - 在计算出签名哈希后,
JWT头载荷和签名哈希的三个部分组成一个字符串,每个部分用’.'分割,就构成了整个JWT
jwt特点分析
1、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限,一旦JWT签发,在有效期内将会一直有效。
2、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。
3、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
4、JWT不仅可用于认证,还可用于信息交换,善用JWT有助于减少服务器请求数据库的次数。
jwt配置
# jwt载荷中的有效期设置
JWT_AUTH = {
# 1.token前缀:headers中 Authorization 值的前缀
'JWT_AUTH_HEADER_PREFIX': 'JWT',
# 2.token有效期:一天有效
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
# 3.刷新token:允许使用旧的token换新token
'JWT_ALLOW_REFRESH': True,
# 4.token有效期:token在24小时内过期, 可续期token
'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(hours=24),
# 5.自定义JWT载荷信息:自定义返回格式,需要手工创建
'JWT_RESPONSE_PAYLOAD_HANDLER': 'users.utils.jwt_response_payload_handler',
}
# 自定义验证后端
AUTHENTICATION_BACKENDS = ['apps.users.utils.EmailAuthBackend']
在settings中配置:
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',# 在DRF中配置JWT认证
]
}
url中配置:
urlpatterns = [
path('index/',views.index), #函数视图
path('api-auth/',include('rest_framework.urls',namespace='res_framework')), # 认证地址
path('login/',obtain_jwt_token),# 获取token,登录视图
path('refresh/',refresh_jwt_token), # 刷新token
path('register/', views.RegisterView.as_view()), # 注册视图, /user/register/
]
views中写注册API:
#注册API
class RegisterView(APIView):
""" 用户注册, 权限是: 匿名用户可访问 """
# 自定义权限类
permission_classes = (AllowAny,)
def post(self, request):
"""
接收邮箱和密码, 前端校验两遍一致性, 注册成功后返回成功, 然后用户自行登录获取token
1. 随机用户名
2. 生成用户
3. 设置用户密码
4. 保存用户
:param request:
:return:
{'code':0,'msg':'注册成功'}
"""
email = request.data.get('email')
passwrod = request.data.get('password')
if all([email, passwrod]):
pass
else:
return Response({'code': 9999, 'msg': '参数不全'})
rand_name = self.randomUsername()
user = User(username=rand_name, email=email)
user.set_password(passwrod)
user.save()
return Response({'code': 0, 'msg': '注册成功'})
def randomUsername(self):
"""
生成随机用户名: 格式: SYL + 年月日时分 + 5位随机数
:return:
"""
d = datetime.datetime.now()
base = 'SYL'
time_str = '%04d%02d%02d%02d%02d' % (d.year, d.month, d.day, d.hour, d.minute)
rand_num = str(random.randint(10000, 99999))
return base + time_str + rand_num
1396
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
