Django使用Pyjwt、rest-framework、rest-framework-jwt 生成token

最新推荐文章于 2024-03-14 15:07:55 发布
最新推荐文章于 2024-03-14 15:07:55 发布
阅读量1.3k 收藏 12
点赞数 1
分类专栏: Django 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwuis_/article/details/107771954
版权

Token

在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url 时,将token放到请求头中就可以直接访问,不用再登录。

token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。

注意事项

需要有一定的django基础,如果一点基础都没有,不建议查看。

使用PyJWT生成token

首先安装pyjwt包

pip install pyjwt

创建Pyjwt_demo项目,在settings.py文件中关闭 csrf 防护。

 # 'django.middleware.csrf.CsrfViewMiddleware',
前期工作
创建 account app
python manage.py startapp account
自定义 User 模型
from datetime import datetime, timedelta
import jwt
from django.conf import settings
from django.contrib.auth.models import AbstractBaseUser,PermissionsMixin,BaseUserManager
from shortuuidfield import ShortUUIDField
from django.db import models


class UserManager(BaseUserManager):
    def _create_user(self,username,password,**kwargs):
        if not username:
            raise ValueError('请传入用户名!')
        if not password:
            raise ValueError('请传入密码!')

        user = self.model(username=username,**kwargs)
        user.set_password(password)
        user.save()
        return user

    def create_user(self,username,password,**kwargs):
        kwargs['is_superuser'] = False
        return self._create_user(username,password,**kwargs)

    def create_superuser(self,username,password,**kwargs):
        kwargs['is_superuser'] = True
        kwargs['is_staff'] = True
        return self._create_user(username,password,**kwargs)


class User(AbstractBaseUser,PermissionsMixin):

    email = models.EmailField(unique=True,null=True)
    username = models.CharField(max_length=100, unique=True)
    is_active = models.BooleanField(default=True)
    is_staff = models.BooleanField(default=False)
    data_joined = models.DateTimeField(auto_now_add=True)

    USERNAME_FIELD = 'username'

    objects = UserManager()

    def get_full_name(self):
        return self.username

    def get_short_name(self):
        return self.username
	
	# 此处是用户模型中生成token的方法
    @property
    def token(self):
        return self._generate_jwt_token()

    def _generate_jwt_token(self):
        token = jwt.encode({
            'exp': datetime.utcnow() + timedelta(days=1),# 这个地方设置token的过期时间。
            'iat': datetime.utcnow(),
            'data': {
                'username': self.username
            }
        }, settings.SECRET_KEY, algorithm='HS256')

        return token.decode('utf-8')
注册模型

在setting.py中添加

AUTH_USER_MODEL = 'account.User'
模型迁移生成超级用户
python manage.py makemigrations
python manage.py migrate
python manage.py createsuperuser

编写工具类

我们在这里编写两个工具类,一个是我们返回接口的规范,一个是我们在视图函数中验证token是否符合要求的函数。
在account目录下新建一个utils.py 文件。

import jwt
from django.conf import settings
from django.http import JsonResponse
from django.contrib.auth import get_user_model
from django.core.exceptions import PermissionDenied

UserModel = get_user_model()

def auth_permission_required(perm):
    def decorator(view_func):
        def _wrapped_view(request, *args, **kwargs):
            # 格式化权限
            perms = (perm,) if isinstance(perm, str) else perm

            if request.user.is_authenticated:
                # 正常登录用户判断是否有权限
                if not request.user.has_perms(perms):
                    raise PermissionDenied
            else:
                try:
                    auth = request.META.get('HTTP_AUTHORIZATION').split()
                except AttributeError:
                    return result(401,"No authenticate header")

                # 用户通过 API 获取数据验证流程
                if auth[0].lower() == 'token':
                    try:
                        dict = jwt.decode(auth[1], settings.SECRET_KEY, algorithms=['HS256'])
                        username = dict.get('data').get('username')
                    except jwt.ExpiredSignatureError:
                        return result(401,"Token expired")
                    except jwt.InvalidTokenError:
                        return result(401,"Invalid token")
                    except Exception as e:
                        return result(401,"Can not get user object")

                    try:
                        user = UserModel.objects.get(username=username)
                    except UserModel.DoesNotExist:
                        return result(401,"User Does not exist")

                    if not user.is_active:
                        return result(401,"User inactive or deleted")

                    # Token 登录的用户判断是否有权限
                    if not user.has_perms(perms):
                        return result(401,"PermissionDenied")
                else:
                    return result(401,"Not support auth type")

            return view_func(request, *args, **kwargs)

        return _wrapped_view

    return decorator

# 接口规范 code  message=""  data:{}
def result(code=200,message="",data=None,kwargs=None):
    json_dict = {"code":code,"message":message,"data":data}

    if kwargs and isinstance(kwargs,dict) and kwargs.keys():
        json_dict.update(kwargs)

    return JsonResponse(json_dict)

编写视图函数

在views.py中编写一下代码

from django.contrib.auth import authenticate
from django.contrib.auth.views import login
from django.http import JsonResponse
from django.shortcuts import render
# Create your views here
from .utils import result, auth_permission_required
from django.views.decorators.http import require_POST

#登录视图分发token,只要用户名和密码正确就分发token
@require_POST
def user_login(request):

    username = request.POST['username']
    password = request.POST['password']

    user = authenticate(username=username, password=password)
    if user is None:
        return result(200, "用户名或者密码错误!")
    login(request, user)
    # 分发token
    token = user.token

    return result(200,"登录成功", {"token":token})

#之前定义的验证函数
@auth_permission_required("account.User")
def token_test(request):
    return result(200,"认证成功")

编写路由

在urls中根据以下代码进行编写视图路由。

from django.contrib import admin
from django.urls import path
from account import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path("login/", views.user_login),
    path('tokentest/', views.token_test),

]

到这里代码编写的任务就完成了,下一步就是测试,我们使用postman来测试。
使用post,填写好用户名和密码就可以获取token。
在这里插入图片描述
在请求头中添加Authentication信息,值为‘token '+token。
在这里插入图片描述
如果不加token,就会显示错误。
在这里插入图片描述

使用rest-framework生成token

rest-framework是通过生成一张token表的方式来验证token的。
安装rest-framework

pip install djangorestframework

前期工作同上,新建drf_token_demo项目,但是在执行模型迁移之前,我们需要在settings.py中添加如下信息。

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'account',
    'rest_framework.authtoken', # 一定添加上
]

工具类

为了统一接口规范,我们还是在account文件夹下新建utils.py文件

from django.http import JsonResponse


def result(code=200,message="",data=None,kwargs=None):
    json_dict = {"code":code,"message":message,"data":data}

    if kwargs and isinstance(kwargs,dict) and kwargs.keys():
        json_dict.update(kwargs)

    return JsonResponse(json_dict)

编写视图函数

from django.contrib.auth import authenticate
from django.contrib.auth.views import login
from django.shortcuts import render

# Create your views here.
from django.views.decorators.http import require_POST
from rest_framework.authentication import TokenAuthentication
from rest_framework.authtoken.models import Token
from rest_framework.decorators import api_view, authentication_classes, permission_classes
from rest_framework.permissions import IsAuthenticated

#登录并返回token
@require_POST
def user_login(request):

    username = request.POST['username']
    password = request.POST['password']

    user = authenticate(username=username, password=password)
    if user is None:
        return result(200, "用户名或者密码错误!")
    login(request, user)

	#把之前已经产生的token删除掉,在添加新的token
    token = Token.objects.filter(user=user)
    token.delete()
    token = Token.objects.create(user=user).key

    return result(200,"登录成功", {"token":token})

#这个地方authentication_classes((TokenAuthentication,))是用来验证token是否正确,@permission_classes((IsAuthenticated,))是用来添加权限,只有被认证的用户才能访问,api_view是限制访问的方式。
@api_view(['GET'])
@permission_classes((IsAuthenticated,))
@authentication_classes((TokenAuthentication,))
def token_test(request):
    return result(200,"认证成功")

编写路由

from django.contrib import admin
from django.urls import path
from account import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path('login/', views.user_login),
    path('tokentest/', views.token_test),
]

使用和上面相同的方法测试即可,可能生成的token看起来不一样,这个无所谓,注意这个地方还是在token前加上’token ‘的前缀。
在这里插入图片描述

token过期问题

在这个地方我们发现没有给token设置期限,这是个很严重的问题,通过缺少自定义化,我们可以通过使用自定义的验证方法实现。
在utils.py中添加如下代码,注意在设置里面设置了时区 USE_TZ = False,如果使用utc这里需要改变。

import jwt
from django.conf import settings
from django.http import JsonResponse
from django.contrib.auth import get_user_model
from django.core.exceptions import PermissionDenied
class ExpiringTokenAuthentication(BaseAuthentication):
    model = Token

    def authenticate(self, request):
        auth = get_authorization_header(request)
        if not auth:
            return None
        try:
            token = auth.decode().split()[-1]
            print(token)
        except UnicodeError:
            msg = ugettext_lazy("无效的Token, Token头不应包含无效字符")
            raise exceptions.AuthenticationFailed(msg)

        return self.authenticate_credentials(token)

    def authenticate_credentials(self, key):
        # 尝试从缓存获取用户信息(设置中配置了缓存的可以添加,不加也不影响正常功能)
        token_cache = 'token_' + key
        cache_user = cache.get(token_cache)
        if cache_user:
            return cache_user, cache_user  # 这里需要返回一个列表或元组,原因不详
        # 缓存获取到此为止

        # 下面开始获取请求信息进行验证
        try:
            token = self.model.objects.get(key=key)
        except self.model.DoesNotExist:
            raise exceptions.AuthenticationFailed("认证失败")

        if not token.user.is_active:
            raise exceptions.AuthenticationFailed("用户被禁用")

        # Token有效期时间判断(注意时间时区问题)
        # 我在设置里面设置了时区 USE_TZ = False,如果使用utc这里需要改变。
        if (datetime.datetime.now() - token.created) > datetime.timedelta(seconds=60):
            raise exceptions.AuthenticationFailed('认证信息已过期')

        # 加入缓存增加查询速度,下面和上面是配套的,上面没有从缓存中读取,这里就不用保存到缓存中了
        if token:
            token_cache = 'token_' + key
            cache.set(token_cache, token.user, 600)

        # 返回用户信息
        return token.user, token

    def authenticate_header(self, request):
        return 'Token'

修改views.py, 添加如下代码。

@api_view(['GET'])
@permission_classes((IsAuthenticated,))
@authentication_classes((ExpiringTokenAuthentication,)) #这是我们自己定义的验证类,需要将其导入进来
def token_test_timestamp(request):
    return result(200,"期限token认证成功")

url 里新加一条:

path('tokenteststamp/', views.token_test_timestamp),

访问这个 url 便可以验证token是否过期。

使用django-rest-framework-jwt生成token

我们使用jwt有什么好处呢,目前看来它可以配置token过期时间。

pip install djangorestframework-jwt

前期工作同上,新建drf_jwt_token_demo项目,但是在执行模型迁移之前,我们需要在settings.py中添加如下信息。

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'account',
    'rest_framework-jwt', # 一定添加上
]

同样新建utils.py,这里不再赘述。

编写视图函数

我们在这个地方使用api_settings来生成token,官方文档有自己自定义的方法,可以自行查看。

from django.contrib.auth import authenticate, login
from django.http import JsonResponse
from django.shortcuts import render
from rest_framework.decorators import permission_classes, authentication_classes, api_view
from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework_jwt.settings import api_settings
# Create your views here.
from account.utils import result


def user_login(request):

    username = request.POST['username']
    password = request.POST['password']

    user = authenticate(username=username, password=password)

    if user is None:
        return result(200, "用户名或者密码错误!")

    login(request, user)

    jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
    jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

    payload = jwt_payload_handler(user)
    token = jwt_encode_handler(payload)

    return JsonResponse({"code":200, "token": token})

@api_view(["GET",])
@permission_classes((IsAuthenticated,))
@authentication_classes((JSONWebTokenAuthentication,))# 这里使用JSONWebTokenAuthentication来验证
def token_test(request):

    return JsonResponse({"code":200,"message":"successful"})

在settings.py中加入以设置过期时间

JWT_AUTH = {
    # 设置token有效期时间
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=60 * 60 * 2)
}

编写路由

from django.contrib import admin
from django.urls import path
from account import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path('login/', views.user_login),
    path('tokentest/', views.token_test),
]

接下来就是验证啦,这里一切同上面验证的方法一致,但是这个地方我们生成的token是JWT类型的,所以token的前缀不再是’token ‘,而是JWT。
在这里插入图片描述
你可能会问,这个地方我们能不能像第二种一样自定义验证类呢?完全可以,你可以把第二种里的验证类直接放到这里来使用,但是这个时候就要注意token前缀不再是’JWT‘,而是原来的’token ‘。可以自行验证。

在本篇博文编写过程中参考了以下文章:
Django+JWT 实现 Token 认证
Django 用户登录校验以及接口token校验
适合小白的Django rest_framework Token入门

历经了三天时间,终于把这个概念和源码搞清楚了,这里提醒大家多看官方说明文档,多思考,坚持就是胜利。如果有问题可以私信我或者向我的邮箱lkzhang98@163.com 发送邮件。欢迎关注我的微信公众号Pkill,之后有很多技术文章推送。
三种类型的源代码地址均已上传,地址如下:
https://download.csdn.net/download/lwuis_/12683638
https://download.csdn.net/download/lwuis_/12683634
https://download.csdn.net/download/lwuis_/12683462

PersistenceForever56
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Django配置JWT认证方式
09-16
主要介绍了Django 配置JWT认证方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
drf - Django Rest Framework Permissions权限验证详解
weixin_51098806的博客
03-24 3431
来我的GitHub来看更多关于DRF的资料吧 十分钟学会DRF的企业级用法 官方解释: 权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求中的身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权 限用于授予或拒绝不同类型的用户对API不同部分的访问。 最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架中的IsAuthenticated类。 其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继
Django restframework 认证、权限、限流
架构专栏
07-30 2978
认证Authentication 可以在配置文件中配置全局默认的认证方案 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthentication', # 基本认证 'rest_framework.authent...
Django rest framework permission权限
Christian的博客
09-07 1051
1.utils文件中的permissions.py: from rest_framework.permissions import BasePermission class MyPermission(BasePermission): message="vip3是才可以访问" def has_permission(self, request, view): i...
Django使用PyJWT实现登录及验证功能
最新发布
分享一点有用的知识
03-14 855
配置OnlyLoginCanView类视图的url后在请求时在Headers里需要添加参数名为。将decorator_login_require装饰器装饰在类视图的post方法上。在登录成功后会返回一个token。值登录,否则不能访问该视图。用于验证用户是否登录成功。
django-rest-framework-boilerplate:Django 2.1和Django Rest框架的简单样板
05-01
token-auth 请求jwt令牌用户端点方法终点功能性得到/api/user 列出用户邮政/api/user/create 创建一个用户得到/api/user/profile/{pk} 检索用户放/api/user/update/{pk} 编辑使用者删除/api/user/destroy/{pk} 删除...
自定义Django_rest_framework_jwt登陆错误返回的解决
12-16
在开发基于Django的Web应用时,为了实现前后端分离并提供RESTful API,开发者常常会采用Django Rest Framework(DRF)结合JSON Web Tokens (JWT)进行身份验证。JWT是一种轻量级的身份验证机制,它允许服务器生成一个...
django-rest-framework-simplejwt-master_oppositemeq_encryption_dj
09-30
接下来,“simplejwt”是指“Django REST Framework Simple JWT”,这是一个流行的身份验证库,它实现了JSON Web TokenJWT)认证机制。最后,“master”通常表示这是项目仓库的主分支。 **描述解析:** "Simple ...
DjangoAngularJWT:Django Rest Framework JWT用户身份验证,注册,登录。 角JWT会话
05-16
配套Django 2.1.1 DjangoRestFramework DjangoCorsHeader DjangoRestFramework-simpleJWT 角8.1.1 角jwt 其他入门克隆项目(您应该使用--recursive下载子模块,对于该项目,它是有角项目) $ git clone --recursive ...
Django rest framework jwt使用方法详解
09-18
Django Rest Framework JWT 是一种基于 JSON Web Token (JWT) 的认证和授权机制,适用于构建 RESTful API。JWT 是一种安全的、无状态的、令牌化的身份验证方式,它允许服务提供商在客户端和服务器之间传递经过签名的...
PyJWT 项目
08-24
PyJWT项目,使用pycharm导入资源,配置好运行环境,即可运行该项目。
django使用JWT
wolflxiaolu的博客
04-24 6019
1.pyJWT简述 因http协议本身为无状态,这样每次用户发出请求,我们并不能区分是哪个用户发出的请求,这样我们可以通过保存cookie以便于识别是哪个用户发来的请求,传统凡事基于session认证。但是这种认证本身很多缺陷,扩展性差,CSRF等问题。JWT(Json web token) 相比传统token,设计更为紧凑且安全。通过JWT可以实现用户认证等操作。 pyJWT下载 pip install pyJWT JWT构成: eyJ0eXAiOiJKV1QiLC
pyjwtdjangorestframework-simplejwttoken
General_zy的博客
01-20 927
【代码】pyjwt模块。
PythonDjangoPyJWT 认证流程
day day up
09-15 557
JWT(JsonWeb Tokens ),是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。
Django PyJWT 使用
Ch3nnn的博客
10-16 995
PyJWT官网 https://jwt.io/ 安装 pip install PyJWT 项目文档(英文) https://pyjwt.readthedocs.io/en/latest/ DEMO import jwt import datetime dic = { 'exp': datetime.datetime.now() + datetime.timedelta(days=1), # 过期时间 'iat': datetime.datetime.now(),
python实现jwtdjango,flask)
帅泽泽的博客
03-16 1699
本文分别基于python及其框架django和flask框架实例实现jwt 1.python实现jwt 安装 pip3 install pyjwt 实现 import jwt import datetime from jwt import exceptions SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' de...
Django使用pyjwt实现Token跨域认证登录过程实践
吾星喵的博客
07-11 2767
更多内容请点击 我的博客 查看,欢迎来访。 官方文档: https://pyjwt.readthedocs.io/en/latest/installation.html JWT定义 Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SS...
Django REST Framework教程(5): 认证(Authentication)与权限(Permission)初识
大江狗
10-17 2695
在前面教程中我们以博客为例,使用DRF开发了博客文章列表资源和单篇文章资源这两个API,支持客户端以各种请求方式对文章资源进行增删查改。然而目前的 API 对谁可以新建、编辑或删除文章资...
Django REST framework API 指南(13):认证
weixin_33717117的博客
03-15 186
官方原文链接 本系列文章 github 地址 转载请注明出处 身份验证 身份验证是将传入请求与一组识别凭证(例如请求的用户或其签名的令牌)相关联的机制。然后,权限和限制策略可以使用这些凭据来确定请求是否应该被允许。 REST framework 提供了许多开箱即用的身份验证方案,同时也允许你实施自定义方案。 身份验证始终在视图的开始处运行,在执行权限和限制检查之前,在允许继续执行任何其他代码之...
django-rest-framework-simplejwt
03-16
django-rest-framework-simplejwt是一个基于Django REST framework的JSON Web TokenJWT)认证库。它提供了简单易用的API,可以轻松地将JWT认证集成到Django REST framework应用程序中。使用它可以快速构建安全的RESTful API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值