jwt认证 drf中使用simple-jwt以及容易出现的问题

已于 2024-02-02 14:04:51 修改
阅读量1.1k 收藏 36
点赞数 36
分类专栏: python python web开发 文章标签: django
于 2024-02-02 13:55:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangshiyu123456/article/details/135992324
版权

DRF中使用jwt (避坑版)

文章目录

1.什么是jwt

1.1 jwt简介

JSON Web Token (JWT) 是一种开放标准 ( RFC 7519 ),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSAECDSA的公钥/私钥对进行签名。

尽管 JWT 可以加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则向其他方*隐藏这些声明。*当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是对其进行签名的一方。

1.2 什么时候应该使用 jwt?

以下是 JSON Web 令牌一些场景:

  • 授权:这是使用 JWT 最常见的场景。用户登录后,每个后续请求都将包含 JWT,从而允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小并且能够轻松地跨不同域使用。(支持跨域)
  • 信息交换:JSON Web 令牌是在各方之间安全传输信息的好方法。因为 JWT 可以进行签名(例如,使用公钥/私钥对),所以您可以确定发送者就是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改。

1.3 jwt优势

1.4 JSON Web Token 结构

样板:

xxxxx.yyyyy.zzzzz       -> 标头,有效载荷,签名

一个token解码后如下:

在这里插入图片描述

1.5 如何使用jwt token(acess token)

在请求api时候(前端向后端请求数据时),请求头headers加上

Authorization: Bearer <token>

2. django-rest-framework 集成simple jwt认证

2.1 安装

pip install djangorestframework-simplejwt

2.2 配置Settings文件

  1. INSTALLED_APPS:在INSTALLED_APPS中添加djangorestframework_simplejwt应用程序:
INSTALLED_APPS = [
    # ...
    'rest_framework_simplejwt',
    
]
  1. REST_FRAMEWORK:添加simplejwt到身份验证类列表中:
REST_FRAMEWORK = {
    ...
    'DEFAULT_AUTHENTICATION_CLASSES': (
        ...
        'rest_framework_simplejwt.authentication.JWTAuthentication',
        
    )
    ...
}
  1. 添加SIMPLE_JWT配置(按需设置)
# JWT配置
SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),  # Access Token的有效期
    'REFRESH_TOKEN_LIFETIME': timedelta(days=7),  # Refresh Token的有效期
    
    # 对于大部分情况,设置以上两项就可以了,以下为默认配置项目,可根据需要进行调整
    
    # 是否自动刷新Refresh Token
    'ROTATE_REFRESH_TOKENS': False,  
    # 刷新Refresh Token时是否将旧Token加入黑名单,如果设置为False,则旧的刷新令牌仍然可以用于获取新的访问令牌。需要将'rest_framework_simplejwt.token_blacklist'加入到'INSTALLED_APPS'的配置中
    'BLACKLIST_AFTER_ROTATION': False,  
    'ALGORITHM': 'HS256',  # 加密算法
    'SIGNING_KEY': settings.SECRET_KEY,  # 签名密匙,这里使用Django的SECRET_KEY# 如为True,则在每次使用访问令牌进行身份验证时,更新用户最后登录时间
    "UPDATE_LAST_LOGIN": False, 
    # 用于验证JWT签名的密钥返回的内容。可以是字符串形式的密钥,也可以是一个字典。
    "VERIFYING_KEY": "",
    "AUDIENCE": None,# JWT中的"Audience"声明,用于指定该JWT的预期接收者。
    "ISSUER": None, # JWT中的"Issuer"声明,用于指定该JWT的发行者。
    "JSON_ENCODER": None, # 用于序列化JWT负载的JSON编码器。默认为Django的JSON编码器。
    "JWK_URL": None, # 包含公钥的URL,用于验证JWT签名。
    "LEEWAY": 0, # 允许的时钟偏差量,以秒为单位。用于在验证JWT的过期时间和生效时间时考虑时钟偏差。# 用于指定JWT在HTTP请求头中使用的身份验证方案。默认为"Bearer"
    "AUTH_HEADER_TYPES": ("Bearer",), 
    # 包含JWT的HTTP请求头的名称。默认为"HTTP_AUTHORIZATION"
    "AUTH_HEADER_NAME": "HTTP_AUTHORIZATION", 
     # 用户模型中用作用户ID的字段。默认为"id"。
    "USER_ID_FIELD": "id",
     # JWT负载中包含用户ID的声明。默认为"user_id"。
    "USER_ID_CLAIM": "user_id",
    
    # 用于指定用户身份验证规则的函数或方法。默认使用Django的默认身份验证方法进行身份验证。
    "USER_AUTHENTICATION_RULE": "rest_framework_simplejwt.authentication.default_user_authentication_rule",#  用于指定可以使用的令牌类。默认为"rest_framework_simplejwt.tokens.AccessToken"。
    "AUTH_TOKEN_CLASSES": ("rest_framework_simplejwt.tokens.AccessToken",),
    # JWT负载中包含令牌类型的声明。默认为"token_type"。
    "TOKEN_TYPE_CLAIM": "token_type",
    # 用于指定可以使用的用户模型类。默认为"rest_framework_simplejwt.models.TokenUser"。
    "TOKEN_USER_CLASS": "rest_framework_simplejwt.models.TokenUser",# JWT负载中包含JWT ID的声明。默认为"jti"。
    "JTI_CLAIM": "jti",# 在使用滑动令牌时,JWT负载中包含刷新令牌过期时间的声明。默认为"refresh_exp"。
    "SLIDING_TOKEN_REFRESH_EXP_CLAIM": "refresh_exp",
    # 滑动令牌的生命周期。默认为5分钟。
    "SLIDING_TOKEN_LIFETIME": timedelta(minutes=5),
    # 滑动令牌可以用于刷新的时间段。默认为1天。
    "SLIDING_TOKEN_REFRESH_LIFETIME": timedelta(days=1),
    # 用于生成访问令牌和刷新令牌的序列化器。
    "TOKEN_OBTAIN_SERIALIZER": "rest_framework_simplejwt.serializers.TokenObtainPairSerializer",
    # 用于刷新访问令牌的序列化器。默认
    "TOKEN_REFRESH_SERIALIZER": "rest_framework_simplejwt.serializers.TokenRefreshSerializer",
    # 用于验证令牌的序列化器。
    "TOKEN_VERIFY_SERIALIZER": "rest_framework_simplejwt.serializers.TokenVerifySerializer",
    # 用于列出或撤销已失效JWT的序列化器。
    "TOKEN_BLACKLIST_SERIALIZER": "rest_framework_simplejwt.serializers.TokenBlacklistSerializer",
    # 用于生成滑动令牌的序列化器。
    "SLIDING_TOKEN_OBTAIN_SERIALIZER": "rest_framework_simplejwt.serializers.TokenObtainSlidingSerializer",
    # 用于刷新滑动令牌的序列化器。
    "SLIDING_TOKEN_REFRESH_SERIALIZER": "rest_framework_simplejwt.serializers.TokenRefreshSlidingSerializer",
}

2.3URL路由

urls.py中

from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
    TokenVerifyView
)

urlpatterns = [
    ...
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh')
]

你也可以手动签发token,适合自定义身份验证过程的情况。

class ManualTokenObtainView(APIView):
    def post(self, request, *args, **kwargs):
        username = request.data.get('username')
        password = request.data.get('password')

        # 在这里进行验证用户的用户名和密码

        if username and password:
            # 如果用户名和密码有效,签发 token,这里可以根据自己的要求
            user = YourUserModel.objects.get(username=username)
            refresh = RefreshToken.for_user(user)
			access_token = str(refresh.access_token)
			refresh_token = str(refresh.refresh_token)

            return Response({'access_token': access_token,
                            'refresh_token': refresh_token,
                            }, status=status.HTTP_200_OK)
        else:
            return Response({'error': 'Invalid credentials'}, status=status.HTTP_401_UNAUTHORIZED)

3. 避坑指南

有些小伙伴可能会像我一样,配置好了之后对接口进行测试,发现一直无法获取token成功,这可能和你的User模型设计有关,如果你使用自己定义User类,可能会出现Invalid credentials的离谱错误。
解决方案如下:

将你的User模型继承AbstractUser,这样在使用simple-jwt时候就能正常的获得和刷新令牌了。

settings.py 中添加以下变量(指明你设计的用户类)

AUTH_USER_MODEL = 'User.User'

设计的用户类示例:

import uuid

from django.contrib.auth.hashers import make_password
from django.db import models
from django.contrib.auth.models import AbstractUser,UserManager


# Create your models here.


class User(AbstractUser):
    user_uid = models.UUIDField(default=uuid.uuid4, editable=False,unique=True)
    name = models.CharField(max_length=32, null=False)
    feishu_uid = models.CharField(max_length=32, null=True)
    email = models.EmailField(unique=True, null=False)
    phone = models.CharField(max_length=11, unique=True, null=False)

    class UserRoleList(models.TextChoices):
        GU = 'U', '使用者'
        SM = 'S', '系统维护员'
        PM = 'P', '项目管理人员'

    user_role = models.CharField(max_length=1, choices=UserRoleList.choices, default='U')

    objects = UserManager()

    class Meta:
        verbose_name = 'User'
        verbose_name_plural = 'Users'
        db_table = 'user_table'

    def __str__(self):
        return self.name

    def save(self, *args, **kwargs):

        self.password = make_password(self.password)
        super().save(*args, **kwargs)

参考链接

https://zhuanlan.zhihu.com/p/633173061
https://jwt.io/introduction

奥斯曼之剑
关注
  • 36
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django REST framework simplejwt详解(支持Django>=2.0)
qq_41100991的博客
10-09 8171
引言 在使用Django REST framework想用JWT的人会发现django-rest-framework-jwt已经停止了更新版本,其对新版本的Django REST framework并不支持,所以小编在这推荐django-rest-framework-simplejwt。它继承了django-rest-framework-jwt的思想,应用比较相识。 django-rest-fra...
DRF--JWT2-用户认证-自定义控制simpjwt返回内容
qq_40132294的博客
07-18 718
2.找到这个类发现返回的data里定义了“refresh"和“access"字段,所以重写该类,然后将settings.py里的使用到的规则指定我们重写的类规则即可。1.查看/rest_framework_simplejwt/settings.py12源码,发现使用的TOKEN_OBTAIN_SERIALIZER控制输出,4.settings.py指定我们使用的规则即可。需求需要返回的响应包括id,username,token。...
simple-jwt快速入门(包含自定制)
最新发布
AZURE060606的博客
04-21 873
由于simple-jwt会默认校验auth表的数据,因此不需要再额外编写视图类,直接传入参数即可(参数要和数据库字段一致)此时相当于用DRF自带的验证视图,他会根据django自带的auth表为我们进行校验,并返回access和refresh。simple-jwt有默认的配置参数。在需要登录才能访问的视图类加入。
simple-jwt:超简单的 jwt 实现
05-29
simple-jwt 超简单的 jwt 实现。支持 Laravel、Hyperf 以及支持 composer 的其他框架 如何安装 ? composer require 96qbhy/simple-jwt 如何使用 ? require 'vendor/autoload.php'; use Qbhy\SimpleJwt\JWTManager; use Qbhy\SimpleJwt\JWT; use Qbhy\SimpleJwt\Encoders; use Qbhy\SimpleJwt\EncryptAdapters; use Qbhy\SimpleJwt\Exceptions; $secret = '96qbhy/simple-jwt'; $headers = ['ver' => 0.1,]; $payload = [ 'user_id' => 'qbhy@gmail.com',
DjangoRestFramework的simplejwt使用
小龙狗的博客
06-10 8012
文章目录一级目录二级目录三级目录说明1. 安装simple模块2. 配置`settings.py`3. 配置`urls.py`4. 测试 一级目录 二级目录 三级目录 说明 实验环境如下 Python v3.6.6 Django v3.2.4 djangorestframework v3.12.4 djangorestframework-simplejwt v4.4.0 1. 安装simple模块 方式1 直接以 pip 方式安装 E:\SweetYaya\MyProj01> pip instal
DRF使用simple JWT身份验证
奔跑的蜗牛的博客
01-12 4056
文章目录前言登录返回token和refresh注册返回token 前言 在Django的前后端分离项目DRF(Django Restframe Work)框架无疑是首选,关于token验证一般使用的是JWT,但是JWT只支持到Django1.x的版本。 官方推荐Django2.x之后的版本使用simple JWT,官方文档。 登录返回token和refresh user 模型类: 我user模型类继承的是django.contrib.auth.models.AbstractUser,这样可以使用Djang
djangorestframework-simplejwt入门教程
南来北往技术小栈
05-14 3794
djangorestframework-simplejwt入门教程 文章目录djangorestframework-simplejwt入门教程环境说明安装配置settings.py在 `INSTALLED_APPS` 注册配置 `DRF`配置 `simplejwt`编写路由 urls.py创建数据库并添加用户运行项目并查看效果获取Token验证Token刷新TokenPostman请求方式获取Token自定义的视图开始新的征程 环境说明 环境 版本 Python 3.6.8 Djang
DRF】-- SimpleJWT
weixin_45075160的博客
01-12 1415
Drf simplejwt 学习
nimbus-jose-jwt-4.41.1-API文档-文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含...
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
spring-security-jwt-1.0.10.RELEASE-API文档-文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
djangorestframework-simplejwt:用于 Django REST 框架的 JSON Web Token 身份验证插件
07-24
简单的 JWT 抽象的 Simple JWT 是的 JSON Web 令牌身份验证插件。 有关完整文档,请访问 。 寻找维护者 有关更多信息,请参阅。
drf-SimpleJWT-Vue:模板 Django + DRF + SimpleJWT + Vue.js 项目
08-04
DRF SimpleJWT + Vue.js 应用程序的模板库最初创建:2020 年 7 月 3 日TL;DR:SimpleJWT 的 Django 服务器存储库设置。 测试用户: test和 pw test 。示例存储库React: Vue: 安卓: iOS: 介绍此模板存储库专用于...
lua-resty-jwtJWT为伟大的Openresty
02-03
lua-resty-jwtJWT为伟大的Openresty
DjangoRestFramework 使用 simpleJWT登陆认证
mohuisheng的博客
02-27 1794
【代码】DjangoRestFramework 使用 simpleJWT登陆认证
djangorestframework-simplejwt
python_web全栈
09-14 8143
djangorestframework-simplejwt快速使用
7、DRF实战总结:JWT认证原理和使用及第三方库simplejwt 的详解(附源码)
SteveRocket's-Blog
04-09 2010
JSON Web Token(JWT)是一种用于认证和授权的开放标准,允许在客户端和服务器之间传递信息,以验证用户身份和授权访问特定资源。它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。JWT用于为应用程序创建访问token,通常适用于API身份验证和服务器到服务器的授权。 JWT的优点包括:简单、轻量、可扩展、跨语言和跨平台使用。它也具有一定的安全性,因为JWT的签名只能由持有密钥的服务器生成和验证,且在传输过程间人篡改可
djangorestframework-simplejwt高级定制(有效荷载与响应数据结构)教程
南来北往技术小栈
06-17 2247
djangorestframework-simplejwt高级定制教程 文章目录djangorestframework-simplejwt高级定制教程定制响应数据格式与内容1.编写自定义的序列化类2. 在视图使用自定义的序列化类后台获取payload的数据Web端解析Token获取数据1. js代码直接解析2. npm安装`jsonwebtoken`模块解析演示下载 本文为djangorestframework-simplejwt入门教程的高级篇,上一篇里面讲述了simplejwt的基本使用,包括安装
【djangorestframework_simplejwtJWT认证模块
u013998349的博客
12-04 648
【djangorestframework_simplejwtJWT认证模块转载资料:一、安装二、//settings.py 设置:1.引入库三、//urls.py 设置:四、测试: 转载资料: 资料1:https://blog.csdn.net/kaikai0803/article/details/98766036 资料2:https://blog.csdn.net/weixin_42134789/article/details/109554843 一、安装 pip install djangorestf
jwt-simple
08-09
JWT-Simple是一个用于生成和解析JWT的简单库,它提供了一些方便的方法和函数来处理JWTJWT-Simple库允许你轻松地对JWT进行编码和解码,并提供了一系列的选项来设置JWT的各个字段,例如签发者、目标用户、收件人、过期时间等等。另外,JWT-Simple还可以生成一个唯一的身份标识,以防止重放攻击。在你给出的例子,token字段JWT被解码后包含了用户信息、使用的环境以及过期时间等信息。JWT-Simple使得对JWT的生成和解析变得简单和方便。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值