Django jwt认证(基于pyjwt)

最新推荐文章于 2024-03-14 15:07:55 发布
最新推荐文章于 2024-03-14 15:07:55 发布
阅读量810 收藏 15
点赞数 12
文章标签: django python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73396736/article/details/136253937
版权

1.前置准备

     pip install pyjwt(默认安装最新版)

2.jwt三个部分的介绍

   2.1Header

         头部包含两部分,一个是token的类型,另一个是加密类型

           

    2.2payload

         payload是装载在jwt中的一些有效信息,是可以自定义的一部分,比如我想在验证完这个jwt之后直接取到用户的id,昵称之类的,就可以放在这个地方,怎么取到后面会说

         

       这里放的是wx小程序里main获取的openid和过期时间

   2.3signature

        这个部分是整个jwt最核心的地方,他需要经过base64url编码的header,payload,以及我们提供的一把密钥,通过header中指定的算法(这里是HS256)算出的一个字符串

得到header,payload和signature后用‘.’连接就得到了jwt 

eg:

eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9.eyJvcGVuaWQiOiIoJ29RdVdsNVdGeWdscEpVb2tJQ2N5U25PZWJ3TWsnLCkiLCJleHAiOjE3MDkyMTM4NDZ9.2BT5AhrkYB5ww0jetD7qIz9DntXmXbYYdOTHdxMO9Wo

   2.4解密原理

1.后端接收到前端传来的token

2.对token进行分割(分成header,payload,signature)

3.对payload进行base64url解密得到payload中的信息

4.将header和payload拼接后进行HS256加密看是否等于base64解密的signature,如果相等则验证成功

3.1代码示例

   在根目录下创建文件夹jwt.auth,创建py文件jwt.auth

文件代码如下:

一个用来创建jwt,一个用来验证jwt

import jwt
import datetime
import djangoProject.settings

def create_jwtToken(openid):
    expire_time = datetime.datetime.utcnow() + datetime.timedelta(days=7)
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }

    payload = {
        'openid': openid,
        "exp": expire_time
    }
    result = jwt.encode(payload=payload, key=djangoProject.settings.SECRET_KEY, algorithm='HS256', headers=headers)
    return result


def identify_token(token):
    try:
        verified_payload = jwt.decode(token, key=djangoProject.settings.SECRET_KEY, algorithms="HS256")
#验证通过返回payload中的信息
        return verified_payload
#不通过返回报错
    except jwt.ExpiredSignatureError:
        print('token已失效')
        return False
    except jwt.DecodeError:
        print('token认证失败')
        return False
    except jwt.InvalidTokenError:
        print('非法的token')
        return False

如果是2.x的python,create_jwtToken里面的result要写成

 result = jwt.encode(payload=payload, key=djangoProject.settings.SECRET_KEY, algorithm='HS256', headers=headers).decode("utf-8")

3.x版本都是unicode就不用decode了    

调用示例:

打印的结果(openid是隐私信息就用乱码代替了):

eyJhbGciOiJIUzI1NiIsInR5cCI6Imp3dCJ9.eyJvcGVuaWQiOiIoJ29RdVdsNVdGeWdscEpVb2tJQ2N5U25PZWJ3TWsnLCkiLCJleHAiOjE3MDkyNzI2NDJ9.EZRwUn6fF7F5_qwFHxITu04blp6z6jP7L-BbAViCnhY
{'openid': "('dafadfasfsdfafda',)", 'exp': 1709272642}

好了,现在我们已经有了生成jwt和验证jwt的方法,那具体在函数里面该怎么认证呢?

3.2jwt认证方式以及通过中间件添加全局认证

    3.2.1单个函数添加认证

def func(request):
    #我的前端是以在header中添加参数jwttoken来传递的,所以获取方式如下
    jwtToken = request.META['HTTP_JWTTOKEN']
    #如果是用url参数的方式传递也可以,用相应的方法获取token就行了
    res=jwt_auth.identify_token(jwtToken)
        if not res:
           return HttpResponse("TOKEN ERROR")
    #后面写正常流程即可
    #...

正常的话不会有任何反应,如果有问题的话会报错,然后阻断后面的函数执行(报错的方法写在认证那里了)

  3.2.2通过中间件添加全局认证

         如果只有几个函数还可以挨个添加,但如果有几百个函数呢,我们不可能去每个函数里面都加这几句,这个时候就需要中间件来帮忙了

在根目录下创建软件包middleware,包中创建py文件check_function_middleware

文件代码如下:

from django.http import HttpResponse
from django.urls import resolve
from django.utils.deprecation import MiddlewareMixin
from jwt_auth import jwt_auth


class CheckFunctionMiddleware(MiddlewareMixin):
#如果所有的视图函数都要检验token,那login界面也会无法触发,所以有部分函数是可以不需要验证token的
#把这些函数的名字写在排除表中即可
#如果函数是 def func(request):,在表中写func即可
    EXCLUDED_FUNCTIONS = ['login', 'getJwtToken', 'getToken']
#这个函数在所有视图函数之前被触发,用来检验token的合法性刚好
    def process_request(self, request):
        jwtToken = request.META['HTTP_JWTTOKEN']
#获取函数的名称
        path = request.path
        match = resolve(path)
        request_name = match.func.__name__
#如果不在排除表中则触发
        if request_name not in self.EXCLUDED_FUNCTIONS:
            print("this func is not in the middleware dict")
            res=jwt_auth.identify_token(jwtToken)
#检验不通过则返回错误
            if not res:
               return HttpResponse("TOKEN ERROR")

接下来只要全局注册一下中间件就行了

在setting.py中(路径写成CheckFunctionMiddleware类的路径就行):

  至此,基本功能已经完成。

    

幻梦AT
关注
  • 12
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Python3使用jwt的方法
什么都干的派森
12-02 1157
安装jwt依赖pyjwt2+的版本兼容python3+pyjwt1+的版本兼容python2+pyjwt2+和pyjwt1+的使用方法有差异,本人写的是pyjwt2+的使用方法,如果使用pyjwt1+的话本方法应该跑不通。
PyJWT 登录鉴权最佳实践【Refresh Token】
AI全栈 和 IT 编程相关分享
03-14 1127
JWT规定的协议的格式由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。
django中使用JWT
wolflxiaolu的博客
04-24 5938
1.pyJWT简述 因http协议本身为无状态,这样每次用户发出请求,我们并不能区分是哪个用户发出的请求,这样我们可以通过保存cookie以便于识别是哪个用户发来的请求,传统凡事基于session认证。但是这种认证本身很多缺陷,扩展性差,CSRF等问题。JWT(Json web token) 相比传统token,设计更为紧凑且安全。通过JWT可以实现用户认证等操作。 pyJWT下载 pip install pyJWT JWT构成: eyJ0eXAiOiJKV1QiLC
DJANGO后端开发简单员工管理系统实现登录功能中的JWT验证(零基础也可以看懂)
weixin_63603830的博客
05-08 942
基于DJANGO的登录功能中的JWT原理,步骤,实现方法
Django JWT验证
LoadingCreate的博客
05-27 933
JSON Web Token,简称JWT,是一种开放标准(RFC 7519),用于在网络上传输信息,特别是在身份验证和授权方面。JWT是一串编码后的JSON格式字符串,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。Django JWT验证是一种安全的身份验证方法,通过使用库,我们可以轻松地实现JWT的创建、验证和刷新。
Django中使用jwt--超详细
pygodnet的博客
12-15 5684
一:什么是jwt? jwt被广泛用于各类鉴权中,其中jwt token如下所示: b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkaW1uIn0.MeQOdDiiI39mBpgbFNnBVNdJMDhUpRTxziPeFJKB2fA' jwt token   JWT生成的Token是一个用两个点(.)分割的长字符串   点分割成的三部分分别是Header头部,Payload负载,Signature签名:Header.Payload.Sig
如何在Django中集成JWT
panzhixiang
10-16 624
django中集成jwt
详解Django配置JWT认证方式
09-16
主要介绍了Django 配置JWT认证方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Django用户认证系统详解
09-20
下面小编就为大家分享一篇基于Django用户认证系统详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users 添加项目apps settings.py INSTALLED_APPS = [ ... 'users.apps....
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django中使用PyJWT实现登录及验证功能
最新发布
分享一点有用的知识
03-14 795
配置OnlyLoginCanView类视图的url后在请求时在Headers里需要添加参数名为。将decorator_login_require装饰器装饰在类视图的post方法上。在登录成功后会返回一个token。值登录,否则不能访问该视图。用于验证用户是否登录成功。
Django中如何使用jwt登录验证
weixin_44380466的博客
09-06 215
'rest_framework_jwt.authentication.JSONWebTkenAuthenticaion', # 在DRF中配置JWT认证。'rest_framework.permissions.IsAuthenticated', # 全局配置只有认证的用户才可以访问接口。1.在settings中配置 rest_framework.auhtoken corsheaders。# 3.刷新token 允许使用旧的token刷新新的token 接口对接需要设置为true。
Django】基于JWT的token认证
无邪的博客
03-28 1706
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
pyjwtdjangorestframework-simplejwt双token
General_zy的博客
01-20 886
【代码】pyjwt模块。
理解JWT(JSON Web Token)认证python实践
weixin_34258078的博客
07-23 1187
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT认证方式。这一篇主要内容是 JWT认证原理,以及python 使用 jwt 认识的实践。 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提...
Django PyJWT 使用
Ch3nnn的博客
10-16 981
PyJWT官网 https://jwt.io/ 安装 pip install PyJWT 项目文档(英文) https://pyjwt.readthedocs.io/en/latest/ DEMO import jwt import datetime dic = { 'exp': datetime.datetime.now() + datetime.timedelta(days=1), # 过期时间 'iat': datetime.datetime.now(),
python实现jwtdjango,flask)
帅泽泽的博客
03-16 1679
本文分别基于python及其框架django和flask框架实例实现jwt 1.python实现jwt 安装 pip3 install pyjwt 实现 import jwt import datetime from jwt import exceptions SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' de...
php dingo和jwt,Laravel实现dingo+JWT api接口之配置篇
weixin_32943417的博客
04-15 85
尝试了下在简书写博客。。结果一般如下:废话不多说,直接进入----|1. 安装拓展包一、集成dingo①在composer.json的require字段中添加:"dingo/api":"1.0.*@dev"②执行:composer update③在config/app.php注册到providers数组:'providers'=>[Dingo\Api\Provider\LaravelServ...
django jwt
08-16
Django JWT (JSON Web Tokens) 是一种身份验证机制,用于在 Django 应用程序中实现用户身份验证和授权。JWT 是一种无状态的认证方案,通过使用 JSON 数据结构,将用户的身份信息进行编码和签名。 在 Django 中使用 JWT 需要安装相应的库,比如 `djangorestframework-jwt` 或 `django-rest-framework-simplejwt`。这些库提供了方便的工具和中间件,用于生成、验证和解析 JWT。 使用 JWT 进行身份验证的基本流程如下: 1. 用户提供用户名和密码进行登录。 2. 服务器验证用户的凭据,并生成 JWT。 3. 服务器将 JWT 作为响应的一部分发送给客户端。 4. 客户端将 JWT 存储在本地(通常是在浏览器的 `localStorage` 或 `sessionStorage` 中)。 5. 客户端每次向服务器发送请求时,都需要在请求头中包含 JWT。 6. 服务器验证 JWT 的签名,并解析其中的信息以识别用户。 JWT 通常包含一些标准的声明(例如过期时间、发行人等),以及自定义的声明(例如用户 ID)。服务器可以使用这些声明来验证用户的身份,并授权用户访问特定的资源。 请注意,使用 JWT 进行身份验证时,服务器不需要存储用户的会话状态。这使得 JWT 成为一种可扩展和分布式系统中非常有用的身份验证机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值