drf——分页、jwt介绍与原理、jwt快速使用、jwt源码分析、jwt自定义返回格式、自定义用户签发token、自定义token认证类

已于 2022-09-20 19:09:09 修改
阅读量601 收藏 2
点赞数
分类专栏: web框架 django框架 文章标签: django 后端
于 2022-06-26 20:21:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kdq18486588014/article/details/125430765
版权

系列文章目录

第一章 django web开发模式、api接口、api接口测试工具、restful规范、序列化反序列化、drf安装使用

第二章 drf的使用、APIView源码分析、Request源码分析、Serializer的序列化

第三章 Serializer的反序列化、字段与参数、局部与全局钩子、ModelSerializer使用

第五章 drf认证、权限、频率源码分析、全局异常处理、自动生成接口文档、RBAC介绍

文章目录

一、分页

分页是针对于查询所有的接口使用的,针对于分页需要在GenericAPIView的基础上设置对应的pagination_class来启动分页功能

分页在drf中有三种:

PageNumberPagination
LimitOffsetPagination
CursorPagination

1.PageNumberPagination

基本分页:正常的查第几页,每页显示多少条的方式,有前一页和下一页的url(常用)

使用时需要创建一个类继承PageNumberPagination然后设置对应的类属性

pagtions.py

class CommPageNumberPagination(PageNumberPagination):

    page_size = 2  # 每页显示的内容数
    page_query_param = 'page' # 当前在第几页的参数如:?page=5
    page_size_query_param = 'size' # 分页显示的内容数如: ?size=3 不能超过最大内容显示数
    max_page_size = 5 # 最大内容显示数

views.py

class BookView(GenericViewSet,ListModelMixin):
    queryset = models.Book.objects.all()
    serializer_class = serializer.BookSerializer
    pagination_class = pagtions.CommPageNumberPagination #设置对应的分页类

分页返回的响应为:

"count": 6,  第几页数据
    "next": "http://127.0.0.1:8000/api/v1/book/?page=2", 下一页的url
    "previous": null, 上一页的url
    "results": [
        { 此处为该页对应显示的数据条数
            "id": 1, 
            "name": "asd1",
            "price": "12.56"
        },
    }

2.LimitOffsetPagination

偏移分页是根据当前页面来计算第一条坐标然后根据偏移量来获取当前页的数据

pagtions.py

class commLimitOffsetPagination(LimitOffsetPagination):
    default_limit = 2  # 每页显示多少条
    limit_query_param = 'limit'  # 取多少条
    offset_query_param = 'offset'  # 从第0个位置偏移多少开始取数据
    max_limit = 5 # 一页最多显示数据数

views.py

class BookView1(GenericViewSet,ListModelMixin):
    queryset = models.Book.objects.all()
    serializer_class = serializer.BookSerializer
    pagination_class = pagtions.commLimitOffsetPagination

分页返回的响应为:

"count": 6,  第几页数据
    "next": "http://127.0.0.1:8000/api/v1/book/?page=2", 下一页的url
    "previous": null, 上一页的url
    "results": [
        { 此处为该页对应显示的数据条数
            "id": 1, 
            "name": "asd1",
            "price": "12.56"
        },
    }

3.CursorPagination

游标分页 不能精准跳转到某一页,只能在前一页或者下一页 但是因为是游标所以查询速度很快

pagtions.py

class commCursorPagination(CursorPagination):
    cursor_query_param = 'cursor'  # 查询的名字  等同于  page=xx
    page_size = 2  # 每页显示多少条
    ordering = 'id' # 排序规则,必须是表中有的字段,一般用id

views.py

class BookView2(GenericViewSet,ListModelMixin):
    queryset = models.Book.objects.all()
    serializer_class = serializer.BookSerializer
    pagination_class = pagtions.commCursorPagination

返回的响应结果

{
    "next": "http://127.0.0.1:8000/api/v1/book2/?cursor=cD0y",  下一页的url
    "previous": null, 上一页的url
    "results": [ 返回的当前页的数据
        {
            "id": 1,
            "name": "asd1",
            "price": "12.56"
        },
        {
            "id": 2,
            "name": "asd2",
            "price": "13.56"
        }
    ]
}

4.继承APIView实现分页

相对于GenericAPIView而言APIView需要我们自己使用分页类来进行分页数据的组装

第一种方式实例化自建分页类后调用分页类的方法拼凑

class BookView3(ViewSet):

    def list(self, request):
        books = models.Book.objects.all()
        paginator= pagtions.CommPageNumberPagination()
        qs = paginator.paginate_queryset(books, request, self) # 分页后的数据
        res = serializer.BookSerializer(qs, many=True) # 序列化数据
        # 第一种返回方式
        return Response({
        'code':200, 
        'msg':'查询全部书籍成功',  
        'count':books.count(), 
        'data':res.data, 
        'next': paginator.get_next_link(), 
        'previous':paginator.get_previous_link()
        })

第二种方式实例化自建分页类后使用分页类的方法获取最后的结果

class BookView3(ViewSet):

    def list(self, request):
        books = models.Book.objects.all()
        paginator= pagtions.CommPageNumberPagination()
        qs = paginator.paginate_queryset(books, request, self) # 分页后的数据
        res = serializer.BookSerializer(qs, many=True) # 序列化数据
		return paginator.get_paginated_response(res.data)

二、jwt介绍与原理

cookie是存放在客户端浏览器的键值对,主要目的是为了完成信息交互,为用户展示个性化的页面
使用cookie,容易被伪造,因为cookie是存放在客户端的之后就开发了session
session是存放在服务端的键值对,但是对于服务器的内存占用过大
所以出现了token,token是存放在客户端的一个加密字符串,用户访问服务器时携带上token来展示用户自己的身份,方便服务器发送对应数据

jwt主要作用是进行交互式通信的,可以动态的为用户展示个性化的页面,jwt集成了token的生成、加密解密、认证
token:
字符串:分三段
第一段:为头,软件所属公司,加密方式等
第二段:为荷载,放用户信息如{id:3,name:lqz}
第三段:为签名,把第一段和第二段通过某种加密方式+秘钥加密得到一个字符串

token典型样子:每个点最为字符串各阶段的分割
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

jwt的认证原理拿到第一段和第二段使用同样的加密方式+秘钥再加密,得到字符串跟第三段比较,如果一样,表示没有被篡改,如果不一样,表明被篡改了,token不能用了,如果没有被篡改,取出第二段 当前登录用户的信息,这个时候传递给认证类来进行认证,认证完成之后在进行别的正常数据交互处理

jwt组成
第一段 header为{‘typ’: ‘JWT’,‘alg’: ‘HS256’}
第二段 payload为荷载是真正用户的数据
{
“sub”: “1234567890”, # 过期时间
“id”:3
“name”: “John Doe”,
“admin”: true
}
第三段 signature为签名
header (base64编码后的)
payload (base64编码后的)
secret

三、jwt快速使用

1.首先是安装jwt

pip3 install djangorestframework-jwt

2.使用的表是django的auth的user表创建一个用户

3.配置路由
urls.py

from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    path('login/', obtain_jwt_token),
]

4.向login发送post请求携带上对应的用户名密码这是会返回一个token

在这里插入图片描述

四、jwt源码分析

根据from rest_framework_jwt.views import obtain_jwt_token寻找到ObtainJSONWebToken,该类用于返回一个基于APIView的已登陆用户的token

class ObtainJSONWebToken(JSONWebTokenAPIView):
	此处为jwt自身的序列器
    serializer_class = JSONWebTokenSerializer

class JSONWebTokenSerializer(Serializer):
    def __init__(self, *args, **kwargs):
        super(JSONWebTokenSerializer, self).__init__(*args, **kwargs)

        self.fields[self.username_field] = serializers.CharField()
        self.fields['password'] = PasswordField(write_only=True)

	该方法返回了项目中正在活跃的用户(已登录)
    @property
    def username_field(self):
        return get_username_field()

	全局钩子函数
    def validate(self, attrs):
    	credentials 中获取到了post请求携带的用户名以及密码
        credentials = {
            self.username_field: attrs.get(self.username_field),
            'password': attrs.get('password')
        }
		此处获取credentials中所有的vlaue调用jwt的authenticate方法来获取user
        if all(credentials.values()):
            user = authenticate(**credentials)

            if user:
                if not user.is_active:
                    msg = _('User account is disabled.')
                    raise serializers.ValidationError(msg)

                payload = jwt_payload_handler(user)

                return {
                    'token': jwt_encode_handler(payload),
                    'user': user
                }
            else:
                msg = _('Unable to log in with provided credentials.')
                raise serializers.ValidationError(msg)
        else:
            msg = _('Must include "{username_field}" and "password".')
            msg = msg.format(username_field=self.username_field)
            raise serializers.ValidationError(msg)

VerifyJSONWebToken是用于检验token是否有效的

class VerifyJSONWebToken(JSONWebTokenAPIView):
    serializer_class = VerifyJSONWebTokenSerializer

class VerifyJSONWebTokenSerializer(VerificationBaseSerializer):
    def validate(self, attrs):
        token = attrs['token']

        payload = self._check_payload(token=token) 根据token获取有效荷载(也就是用户的数据部分)
        user = self._check_user(payload=payload) 根据有效数据部分获取对应的用户

        return {
            'token': token,
            'user': user
        }

RefreshJSONWebToken将基于视图来判断登录用户是否还在活跃,如果还在活跃则会刷新已到期的token返回新的token给用户

class RefreshJSONWebToken(JSONWebTokenAPIView):
    serializer_class = RefreshJSONWebTokenSerializer

class RefreshJSONWebTokenSerializer(VerificationBaseSerializer):
    def validate(self, attrs):
        token = attrs['token']

        payload = self._check_payload(token=token)
        user = self._check_user(payload=payload)
        # Get and check 'orig_iat'
        orig_iat = payload.get('orig_iat')

        if orig_iat:
            # Verify expiration
            refresh_limit = api_settings.JWT_REFRESH_EXPIRATION_DELTA

            if isinstance(refresh_limit, timedelta):
                refresh_limit = (refresh_limit.days * 24 * 3600 +
                                 refresh_limit.seconds)

            expiration_timestamp = orig_iat + int(refresh_limit)
            now_timestamp = timegm(datetime.utcnow().utctimetuple())

            if now_timestamp > expiration_timestamp:
                msg = _('Refresh has expired.')
                raise serializers.ValidationError(msg)
        else:
            msg = _('orig_iat field is required.')
            raise serializers.ValidationError(msg)

        new_payload = jwt_payload_handler(user)
        new_payload['orig_iat'] = orig_iat

        return {
            'token': jwt_encode_handler(new_payload),
            'user': user
        }

五、jwt自定义返回格式

jwt的返回格式不一定符合我们的要求,这个时候我们需要通过修改配置文件告诉jwt我们需要的返回格式

首先创建一个函数

def jwt_response_payload_handler(token, user=None, request=None):
    return {'code': 100, 'msg': '登陆成功', 'token': token, 'username': user.username}


JWT_AUTH = {
'JWT_RESPONSE_PAYLOAD_HANDLER':'app01.jwt_response.Jwt_response',
}

六、jwt自定义签发token

from django.contrib.auth.models import auth
from rest_framework_jwt.settings import api_settings
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
class CustomUser(ViewSet):
    def login(self, request):
        dicts = {'code': 200, 'msg':'登陆成功'}
        user = auth.authenticate(request, username=request.data.get('username'), password = request.data.get('password'))
        if user:
            payload = jwt_payload_handler(user)
            token = jwt_encode_handler(payload)
            dicts['token'] = token
        else:
            dicts['code'] = 1001
            dicts['msg'] = '用户名或密码错误'
        return Response(dicts)

七、jwt自定义token认证类

只需要继承BaseAuthentication然后重写authenticate方法
在需要认证的类中配置authentication_classes即可

from rest_framework.authentication import BaseAuthentication
from rest_framework import exceptions
from rest_framework_jwt.settings import api_settings
from app01.models import User
jwt_decode_handler = api_settings.JWT_DECODE_HANDLER
class CommAuthentication(BaseAuthentication):
    def authenticate(self, request):
        jwt_value = request.META.get('token')
        try:
            payload = jwt_decode_handler(jwt_value)
        except Exception:
            raise exceptions.AuthenticationFailed('token错误')
            user = User.objects.filter(pk=jwt_value['user_id']).first()
        return user, jwt_value
山上有个车
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
drf-JWT认证JWT认证、安装和简单使用、自动签发、手动签发、多方式登录
大大的博客
07-11 707
目录一、 JWT认证 一、 JWT认证
drf-jwt-wechat django jwt 小程序登录后台
liazylee的博客
05-31 1077
drf-jwt-wechat 小程序,drf,jwt,一个对三者进行封装登录的包小程序登录逻辑jwtdrf源代码示例drf-jwt-wechatUsage 小程序,drf,jwt,一个对三者进行封装登录的包 项目进行时,创建的一个包。 小程序登录逻辑 小程序登录需要前端调用wechat-login,产生code,传给后台,后台再用code,appip,appsecret 调用微信接口获取用户数据,...
python DjangoDRF(六)jwt源码分析、结合认证使用
weixin_45859193的博客
09-03 1121
文章目录前言一、jwt认证流程、原理二、通过jwt实战DRF认证三、jwt校验token源码分析 前言 对于前后端分离的项目中,我们通常会在数据库中给用户表设计一个token的字段,是一种判别用户的手段,但如果当用户数据量大的时候,我们的数据库将存放很多用户token,并且每次登录的时候都会进行数据库查询。 如果我们还想让用户登录完成后的token设置超时时间,那么数据库的字段又需要加一列,显然是非常不友好的,为了解决这个问题,jwt的作用就诞生了。 jwt官网地址:https://jwt.io/intr
DRF-jwt认证
ddt3520的博客
09-09 215
目录 DRF-jwt认证(三大认证) authentication认证 permission权限 throttle频率 session认证 实现登录接口反序列化操作 jwt认证 实现登录接口反序列化操作 DR...
后端分离使用drf jwttoken认证授权
OnTheway
04-07 678
鄙人太浮躁,简单搜索两下后没有成功的完成我的认证,因此静心开始慢慢搞一遍 试验环境 后端 djangorestframework==3.12.4 djangorestframework-jwt==1.11.0 Django==3.1.7 drf-yasg==1.20.0 (调试使用) 跨域 开发过程中配置全部允许 认证流程 实现过程 对应包的安装过程省略....... 配置 setting.py中添加jwt鉴权 REST_FRAMEWORK = { 'DEFAUL
自定义Django_rest_framework_jwt登陆错误返回的解决
12-16
使用Django做前端后端项目时,登陆认证方法往往使用的是jwt_token,但是想自定义登陆成功和失败的返回体。 1.当用户名和密码正确就会生成token返回response是调用的是JWT_RESPONSE_PAYLOAD_HANDLER,如果想自定义...
7、DRF实战总结:JWT认证原理使用,以及第三方库simplejwt 的详解源码
04-05
JSON Web TokenJWT)是一种用于认证和授权的开放标准,允许在客户端和服务器之间传递信息,以验证用户身份和授权访问特定资源。它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此...
drf_jwt_token_demo.zip
08-03
使用django-rest-framework-jwtdjango中创建和认证token,用于在移动端来认证用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,...
DjangoAngularJWT:Django Rest Framework JWT用户身份验证,注册,登录。 角JWT会话
05-16
DjangoAngularJWT 该项目是JWTDRF和Angular结合使用的示例。在前端/角度git子模块中,它是角度部分。 要快速入门,请参阅“入门”部分。 我做了简单的用户身份验证,用户注册,登录和发布微博。配套Django 2.1.1 ...
drf_jwt_demo.zip
06-08
django rest framework 实现 json web token认证示例代码,虽然已经有了pip包了,但这个更适合去理解内部机理。有兴趣自己研究吧
DRFJWT签发Token源码分析
Chimengmeng的博客
09-19 147
【一】JWT介绍 JWT(JSON Web Token)是一种用于身份认证和授权的开放标准(RFC 7519)。 它基于JSON格式定义了一种安全的令牌,用于在客户端和服务器之间传输信息。 【二】JWT三段式 JWT(JSON Web Token)是一种用于身份认证和授权的开放标准(RFC 7519)。 它基于JSON格式定义了一种安全的令牌,用于在客户端和服务器之间传输信息。 JW...
DRFJWT后端分离Token认证机制
weixin_55164293的博客
08-16 799
在项目开发中,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户看数据,否则,返回一些错误信息。 传统token方式和jwt认证方面有什么差异? 传统token方式 用户登录成功后,服务端生成一个随机token用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到toke...
Zhong__JWT简介及方案
Zhong的博客
10-08 211
时间: 环境: 目的: 说明: 作者:Zhong QQ交流群:121160124 欢迎加入!
drfjwt认证
weixin_44149181的博客
06-23 903
https://www.cnblogs.com/guapitomjoy/p/11939050.html
DRF-JWT认证、权限、限流
XueDaJing030409的博客
06-04 728
主要以 Django+DRF + Vue的开发模式,简单介绍jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
drfToken加密以及Jwt加密
似水灬流年的博客
09-04 1188
一.drfToken认证机制 1.配置 settings里加入 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthentication', 'rest_fr...
drf jwt 认证
进阶默示录
08-13 1241
JWT是什么(Json Web TokenJWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 ...
django rest framework自定义返回格式
weixin_30847271的博客
10-05 1783
一、默认response # view from rest_framework.generics import ListAPIView from .serializer import IdcSerializer from .models import Idc class IdcList(ListAPIView): queryset = Idc.objects....
Day 28 JWT认证相关
A1L__的博客
11-17 1015
Day 28 JWT认证相关 一、JWT用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证,我们不再shiyongsession认证机制,而使用Json Web Token认证机制。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证用户身份信息,以便于从资源服
drfjwt使用原理
最新发布
05-18
Django Rest Framework(DRF)是一种基于 DjangoWeb 应用程序开发框架,它提供了许多工具和库,使得开发 Web API 更加容易。JWT 是一种基于 JSONWeb Token,它用于在网络应用程序和服务器之间传递声明以使身份验证和授权更加安全。在 DRF使用 JWT 可以使得 API 更加安全。 JWT 由三个部分组成:头部、载荷和签名。头部通常包含算法和令牌型的信息,载荷通常包含用户标识信息和令牌的过期时间,签名则是根据头部、载荷和密钥生成的。 DRF 支持 JWT 验证,可以使用第三方库 djangorestframework-jwt 来实现。实现方式如下: 1. 安装 djangorestframework-jwt ``` pip install djangorestframework-jwt ``` 2. 添加 JWT 相关配置到 settings.py 中 ``` REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ], } JWT_AUTH = { 'JWT_SECRET_KEY': SECRET_KEY, 'JWT_ALGORITHM': 'HS256', 'JWT_VERIFY_EXPIRATION': True, 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=30), } ``` 3. 在 urls.py 中添加 JWT 相关路由 ``` from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token urlpatterns = [ url(r'^api-token-auth/', obtain_jwt_token), url(r'^api-token-refresh/', refresh_jwt_token), url(r'^api-token-verify/', verify_jwt_token), ] ``` 4. 在需要验证的视图中添加 @jwt_authentication_classes 装饰器 ``` from rest_framework.decorators import api_view, permission_classes, jwt_authentication_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) @jwt_authentication_classes def my_view(request): content = {'message': 'Hello, World!'} return Response(content) ``` 以上是 DRF使用 JWT 的简单介绍JWT原理是将用户标识信息和过期时间等信息进行编码,生成一个安全的 token,并将其传递给客户端。客户端在后续的请求中携带这个 token,在服务端进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值