Django JWT认证

最新推荐文章于 2023-05-27 18:28:49 发布
最新推荐文章于 2023-05-27 18:28:49 发布
阅读量712 收藏 1
点赞数
分类专栏: Django JWT用户认证 文章标签: django jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_liu114/article/details/118551346
版权

首先pip install djangorestframework-jwt
在配置项中导入自己的sso模块

AUTH_USER_MODEL = "bmiss_sso.User"
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": (
        "bmiss_sso.authentication.SSOTokenAuthentication",
    ),
    "DEFAULT_PERMISSION_CLASSES": ("rest_framework.permissions.IsAuthenticated",),
    ...
}

SIMPLE_JWT = {
    "AUTH_HEADER_TYPES": ("Token",),
    "ACCESS_TOKEN_LIFETIME": timedelta(minutes=30),
}

AUTH_USER_MODEL使用自己的user覆盖Django自带的user
REST_FRAMEWORK在此添加自己的认证类
DEFAULT_AUTHENTICATION_CLASSES认证
DEFAULT_PERMISSION_CLASSES权限
SIMPLE_JWT设置token过期时间,以及请求头
在上述项目中,我的sso认证在bmiss_sso的app中的authentication.py文件中SSOTokenAuthentication类中实现

authentication.py

from rest_framework_simplejwt.authentication import JWTAuthentication

_auth_ctx = threading.local()


class SSOTokenAuthentication(JWTAuthentication):
    def authenticate(self, request):
        result = super(SSOTokenAuthentication, self).authenticate(request)
        if result is not None:
            user = result[0]
            setattr(_auth_ctx, "user_id", user.id)
        return result

在这里继承JWTAuthentication类,即JWT验证类
重写authenticate方法,将user.id赋值给user_id

urls.py

from django.urls import include, path
from rest_framework.routers import DefaultRouter

from bmiss_sso.endpoints.token import (
    KnowledgeBaseIDTokenAPIView,
    TextileEcoSysIDTokenAPIView,
    TokenRefreshView,
)
from bmiss_sso.endpoints.user import UserViewSet

router = DefaultRouter()
router.register(r"users", UserViewSet)

app_name = "bmiss_sso"

urlpatterns = [
    path(r"", include(router.urls)),
    path("token/refresh/", TokenRefreshView.as_view(), name="sso-token-refresh"),
    path(
        r"knowledge_base/token/",
        KnowledgeBaseIDTokenAPIView.as_view(),
        name="sso-knowledge-base-token",
    ),
    path(
        r"textile_ecosystem/token/",
        TextileEcoSysIDTokenAPIView.as_view(),
        name="sso-textile-ecosystem-token",
    ),
]

token/refresh/ 作用为刷新access token实现为

class TokenRefreshView(jwt_views.TokenRefreshView):
    @swagger_auto_schema(
        operation_summary="刷新access token", responses={200: TokenRefreshResSerializer()}
    )
    def post(self, request, *args, **kwargs):
        return super(TokenRefreshView, self).post(request, *args, **kwargs)

knowledge_base/token/作用为认证knowledge_base的app的token实现为

class KnowledgeBaseIDTokenAPIView(IDTokenBaseAPIView):
    """
    KnowledgeBase Token获取
    """

    public_key = KB_PUBLIC_KEY

    def get_user_type(self) -> int:
        return UserType.COMPANY

    @swagger_auto_schema(
        operation_summary="KnowledgeBase Token获取",
        query_serializer=IDTokenSerializer(),
        responses={200: TokenReqSerializer()},
    )
    def get(self, request):
        return super(KnowledgeBaseIDTokenAPIView, self).get(request)

textile_ecosystem/token/作用为认证textile_ecosystem的app的token实现为


class TextileEcoSysIDTokenAPIView(IDTokenBaseAPIView):
    """
    纺织生态圈Token获取
    """

    public_key = TE_PUBLIC_KEY

    def get_user_type(self) -> int:
        return UserType.COMPANY

    @swagger_auto_schema(
        operation_summary="纺织生态圈Token获取",
        query_serializer=IDTokenSerializer(),
        responses={200: TokenReqSerializer()},
    )
    def get(self, request):
        return super(TextileEcoSysIDTokenAPIView, self).get(request)

在实现时,两个类都继承了IDTokenBaseAPIView,即在认证时所使用的基类,实现为

class IDTokenBaseAPIView(BaseAPIView):
    """
    Token获取

    不同的应用都会在浙江政务服务中心注册并有各自的PUBLIC_KEY对应的`id_token`,
    所以需要用对应的PUBLIC_KEY解析,但是获得的access token是整个项目可用的
    """

    permission_classes = ()
    authentication_classes = ()
    public_key = None

    def get_user_type(self) -> int:
        raise NotImplementedError

    def get_or_create_user(self, user_info: dict) -> User:
        user_type = self.get_user_type()
        try:
            user = User.objects.get(username=user_info["username"])
        except User.DoesNotExist:
            extend_fields = user_info.get("extendFields")
            if isinstance(extend_fields, dict):
                company_name = extend_fields.get("companyName")
                company_address = extend_fields.get("companyAddress")
            else:
                company_name = None
                company_address = None
            user = User.objects.create(
                username=user_info["username"],
                type=user_type,
                name=user_info["name"],
                email=user_info.get("email") or "",
                mobile=user_info.get("mobile"),
                external_id=user_info.get("externalId"),
                ou_id=user_info.get("ouId"),
                ou_name=user_info.get("ouName"),
                zzjw_user_type=user_info.get("userType"),
                company_name=company_name,
                company_address=company_address,
            )
        return user

    def get(self, request):
        q_ser = IDTokenSerializer(data=request.query_params)
        q_ser.is_valid(True)
        id_token = q_ser.validated_data["id_token"]
        user_info = get_user_info(id_token, self.public_key)
        user = self.get_or_create_user(user_info)
        refresh = RefreshToken.for_user(user)
        data = {
            "refresh": str(refresh),
            "access": str(refresh.access_token),
            "name": user.name,
            "company_name": user.company_name,
            "user_type": user.type,
            "user_id": user.id,
        }
        serializer = TokenReqSerializer(data=data)
        serializer.is_valid(True)

        if api_settings.UPDATE_LAST_LOGIN:
            update_last_login(None, user)
        return Response(serializer.validated_data)

在基类中进行id_token的认证,如果没有此用户的时候创建用户,有的时候返回data信息

get_user_info函数

def get_user_info(id_token, public_key):
    try:
        algo = RSAAlgorithm(RSAAlgorithm.SHA256)
        public_key = algo.prepare_key(public_key)
        token_info = jwt.decode(
            force_bytes(id_token), public_key, verify=True, algorithms=["RS256"]
        )
    except Exception:
        raise exceptions.AuthenticationFailed("令牌认证失败")
    user_info = json.loads(json.dumps(token_info))
    return user_info

在此函数中。使用token与public_key进行用户认证,进行jwt解析,返回解析出来的用户信息

get_or_create_user函数

    def get_or_create_user(self, user_info: dict) -> User:
        user_type = self.get_user_type()
        try:
            user = User.objects.get(username=user_info["username"])
        except User.DoesNotExist:
            extend_fields = user_info.get("extendFields")
            if isinstance(extend_fields, dict):
                company_name = extend_fields.get("companyName")
                company_address = extend_fields.get("companyAddress")
            else:
                company_name = None
                company_address = None
            user = User.objects.create(
                username=user_info["username"],
                type=user_type,
                name=user_info["name"],
                email=user_info.get("email") or "",
                mobile=user_info.get("mobile"),
                external_id=user_info.get("externalId"),
                ou_id=user_info.get("ouId"),
                ou_name=user_info.get("ouName"),
                zzjw_user_type=user_info.get("userType"),
                company_name=company_name,
                company_address=company_address,
            )
        return user

在此函数中,对解析出来的用户信息进行判断,判断此时用户表中是否有此用户,有的话就返回查询出来的用户对象,没有就创建后返回

最后在refresh = RefreshToken.for_user(user)使用此方法将此令牌添加到未完成的令牌列表中。最终返回

data = {
            "refresh": str(refresh),
            "access": str(refresh.access_token),
            "name": user.name,
            "company_name": user.company_name,
            "user_type": user.type,
            "user_id": user.id,
        }
蔡的抠脚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django中的JWT身份验证
代码教主
06-18 904
本教程将介绍JSON Web令牌(JWT)以及如何在Django中实现JWT身份验证。 什么是JWTJWT是一个编码的JSON字符串,该字符串在标头中传递以验证请求。 通常是通过使用密钥对JSON数据进行散列来获得的。 这意味着服务器不需要每次都查询数据库来检索与给定令牌关联的用户。 JSON Web令牌如何工作 当用户使用其凭据成功登录时,将获取JSON Web令牌并将其保存在本...
详解Django配置JWT认证方式
09-16
主要介绍了Django 配置JWT认证方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
django实现jwt身份认证
a961634066的博客
08-12 2679
文章中使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程中遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt。............
Django JWT验证
LoadingCreate的博客
05-27 922
JSON Web Token,简称JWT,是一种开放标准(RFC 7519),用于在网络上传输信息,特别是在身份验证和授权方面。JWT是一串编码后的JSON格式字符串,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。Django JWT验证是一种安全的身份验证方法,通过使用库,我们可以轻松地实现JWT的创建、验证和刷新。
Django JWT认证实现
咖啡花园
10-09 792
配置JWT认证 先通过 pip install djangorestframework 命令下载 Django REST framework 库,再通过 pip install djangorestframework-simplejwt 命令下载 Django REST framework Simple JWT 库。它们提供了 JWTDjango 应用。 配置与编码 在 settings.py 文件里加入以下内容,以支持 JWT 认证: REST_FRAMEWORK = { 'DEFAULT_
Django DRF JWT 认证
XWenXiang的博客
06-23 783
首先大致了解一下什么是 TokenToken 是一种客户端认证机制、令牌,是一个经过加密的字符串,安全性强,支持跨域用户第一次登录,服务器通过数据库校验其用户名和密码是否合法,则再生成一个token串,服务端会返回Token给前端,前端可以在每次请求的时候带上Token证明自己的合法地位Token 的生成一般是采用uuid保证唯一性,当用户登录时为其生成唯一的token,存储一般保存在数据库中 Json Web Token 简称 JWT,其本质就是 token 认证机制。JWT 就是一段字符串,由三段信息构
django使用总结——JWT认证
C_SF_C
04-19 284
django JWT认证介绍settings.py配置自定义User模型创建认证链接(urls.py)自定义认证视图(JWT)重新认证序列化(JSONWebTokenSerializer)自定义authenticate函数自定义返回内容(jwt_response_payload_handler)用户创建更新创建User序列化重写JSONWebTokenAuthentication 介绍 项目为前后端分离,采用JWT认证;业务需求采用自定义user 版本: django-restframework-jwt:
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users 添加项目apps settings.py INSTALLED_APPS = [ ... 'users.apps....
django-jwt-auth:Django的JSON Web令牌认证支持
05-23
Django JWT身份验证概述该软件包通过使用为Django提供支持。 该项目是JoséPadilla(也是PyJWT的维护者)创建的( )的分支。 José似乎不再有时间进行django-jwt-auth的工作。 原始代码的新功能: 刷新令牌提供2种...
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Python-基于djangorestframeworkjwt的统一认证系统
08-11
基于 django rest framework jwt 的统一认证系统
Django Rest_Framework之JWT认证
她°
06-08 919
一.JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二.JWT的构成 JWT就一段字符串,由三段信息构成的,将这三段信息文本用.链接一起就构成
Django项目之配置JWT认证机制
Python打杂工程师
10-14 647
验证完用户的身份后(检验用户名和密码),需要向用户签发JWT,在需要用到用户身份信息的时候,还需核验用户的JWT。 关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。 文档网站 http://getblimp.github.io/django-rest-framework-jwt/ 安装配置 安装 pip install djangorestfram...
关于Django RESTframework JWT 验证
東陽賢的博客
09-28 720
Django RESTframework JWT验证介绍 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。 适用于分布式站点的单点登录(SSO...
做一个Django项目(1.7、使用JWT完成认证并实现登陆)
jlb1024的博客
04-06 1207
导入模块 pip install djangorestframework-jwt 添加配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'res...
Django进阶--用户身份验证JWT(json web token)
寒江之雪,披蓑独钓的博客
07-13 159
Token技术简介 Django实现jwt
JsonWebToken
aidikou5257的博客
01-24 121
概述 如果各位不了解 JWT,不要紧张,它并不可怕。 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的 https://www.xxxx.com/make-friend/?f...
Django中的JWT
weixin_42234345的博客
06-28 2061
Django中的JWT一、什么是JWT(Json Web Token)二、与session对比的优缺点2.1 优点2.2 缺点三、JWT的构成3.1 头部3.2 有效载荷(其实就是放内容的)3.3 签名3.4 样例四、django中的应用4.1 后端安装与配置4.2 前端写法 一、什么是JWT(Json Web Token) 顾名思义,JWT就是Json Web Token,是在web应用中基于json的一种身份验证机制。 本质上就是把用户的信息通过base64编码后,加上一个头和一个签名,然后当作身份令牌
django中使用jwt
watermelon
01-07 830
前后端分离项目中经常使用用户验证,为什么要使用验证,因为http是无状态 的,无法辨别是否正确,早起的cookie、session、token,以及现在说的jwt认证 jwt和token类似,最大的区别是token要保存在服务端造成后端存储压力增大,因此使用jwtdjango中使用jwt认证 创建django项目 导入相关依赖 具体代码一下 extensions文件夹下创建一个auth.py文件 #!/usr/bin/env python # -*- coding:utf-8 -*- from rest
django jwt
最新发布
08-16
JWT 是一种无状态的认证方案,通过使用 JSON 数据结构,将用户的身份信息进行编码和签名。 在 Django 中使用 JWT 需要安装相应的库,比如 `djangorestframework-jwt` 或 `django-rest-framework-simplejwt`。这些库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值