Django中的JWT(Json Web Token认证机制)

最新推荐文章于 2024-03-14 15:07:55 发布
最新推荐文章于 2024-03-14 15:07:55 发布
阅读量1.8w 收藏 39
点赞数 6
分类专栏: django Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python_nice/article/details/81474794
版权
  • session:用户经过应用认证后会在服务端保存,以便于下次请求鉴别。第一点session是储存在服务器上面的,会占用少量内存,如果网站用户非常多的话,会影响服务器的性能;
  • 第二点拓展性:如果网站比较大,需要搭建有多个服务器,但是session是保存在当前服务器的,其他服务器调用不到。第三点::session是基于cookie进行识别的,容易被CSRF跨站请求伪造拦截。

  • 基于token的鉴权机制(加密的随机字符串)

  • 基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。token放在请求头部中,不易被请求,而且可以设置过期时间。

  • 第三方模块:JWT是由三段信息构成的,第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

  • jwt的头部(header)承载两部分信息
  • 声明是jwt类型
  • 声明加密的算法 通常直接使用 HMAC SHA256
  • 然后将头部进行base64加密
  • 完整的头部就像下面这样的JSON:
  • {
  'typ': 'JWT',
  'alg': 'HS256'
}
  • 然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
  • eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
  • 第二部分payload:存放有效信息,这些有效信息包含三个部分这些有效信息包含三个部分
  • 标准中注册的声明
  • 公共的声明
  • 私有的声明
  • 标准中注册的声明 (建议但不强制使用) :
  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
  • 公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
  • 私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
  • 定义一个payload:
  • {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
  • 然后将其进行base64加密,得到JWT的第二部分。
  • eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
  • 将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
  • eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
  • secret是保存在服务器端的(配置文件里),jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。
  •  

  • 优点

  • 因为json的通用性,所以JWT是可以进行跨语言支持的。
  • 因为有了payload部分,所以JWT可以在自定义一些参数,非敏感信息。
  • 便于传输,的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • jwt不需要在服务端保存会话信息, 易于应用的扩展。

  • 安全相关

  • 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  • 保护好secret私钥,该私钥非常重要。
  • 如果可以,请使用https协议。
    ##在django项目使用JTW
  • 目前会使用就好了,有能力了再对内部的加密知识进行研究吧(去官方文档)
  • jwt_payload_handler 专门对payload加密
  • jwt_encode_handler方法对三个部分加密生成token
  • 添加生成jwt:在序列化保存的地方,因为保存的时候需要加密,而且保存之前password2,sms_code,allow字段经过验证了
  • 记得把token字段加上序列化返回。 
  • 发起请求后可以发现,token存在在前端localstorage中,从redis里面获取在退出登陆后,前端js会自动调用localstorge.clear()方法,token被清空。 
python_nice
关注
  • 6
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
django-jwt-auth:对DjangoJSON Web令牌认证支持
02-04
Django JWT身份验证总览该软件包为Django提供支持。 基于软件包。安装使用pip安装... $ pip install django-jwt-auth用法在您的urls.py添加以下URL路由,以启用通过POST获得令牌的过程,其包括用户的用户名和密码...
Django框架前后端分离开发之JWT Token详解及djangorestframework-jwt超详细使用demo
lienze.tech
02-07 2284
前言 这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题 于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。 微信小程序搜索:Python面试宝典 或可关注原创个人博客:https://lienze.tech 也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习 JWT 什么是jwt
DjangoJWT
weixin_42234345的博客
06-28 2048
DjangoJWT一、什么是JWTJson Web Token)二、与session对比的优缺点2.1 优点2.2 缺点三、JWT的构成3.1 头部3.2 有效载荷(其实就是放内容的)3.3 签名3.4 样例四、django的应用4.1 后端安装与配置4.2 前端写法 一、什么是JWTJson Web Token) 顾名思义,JWT就是Json Web Token,是在web应用基于json的一种身份验证机制。 本质上就是把用户的信息通过base64编码后,加上一个头和一个签名,然后当作身份令牌
Django使用PyJWT实现登录及验证功能
最新发布
分享一点有用的知识
03-14 704
配置OnlyLoginCanView类视图的url后在请求时在Headers里需要添加参数名为。将decorator_login_require装饰器装饰在类视图的post方法上。在登录成功后会返回一个token。值登录,否则不能访问该视图。用于验证用户是否登录成功。
Django】使用itsdangerous加密json数据生成token
冰冷的希望的博客
09-11 692
有时候我们需要把一些信息传给前端,之后前端再传回来,若是遇到敏感信息就会被暴露,所以我们需要把它加密成一个token,待前端传回来的时候再进行解密。我们可以使用itsdangerous这个模块进行加密和解密操作 1.安装itsdangerous pip install itsdangerous 2.简单使用 其实itsdangerous的用法有多种,我们这里只用给JSON加解密的方法,需要用到TimedJSONWebSignatureSerializer类的dumps()和loads()方法 from i
Django使用Token
cfy137000的博客
01-28 8658
基于Token的身份验证 在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端和客户端的token通信. 验证流程 整个基于Token的验证流程如下: 1. 客户端使用用户名跟密码请求登录 2. 服务器收到请求,去验
四、【Django】基于Jwttoken认证(登录接口)
Ataoker的博客
07-18 2923
django 使用jwt token的东西来进行认证
JSON Web TokenJWT)原理和用法介绍
weixin_33913332的博客
12-26 1515
JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍一下JWT的原理和用法。 官网地址:https://jwt.io/ 一、跨域身份验证 Internet服务无法与用户身份验证分开。一般过程如下。 1. 用户向服务器发送用户名和密码。 2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话。 3. 服务器向用户返回session_id,sess...
JWT的介绍与应用
CONSOLE11的博客
12-30 3487
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web TokenJWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
常见的JWT到底有什么用?
码农桃子的博客
07-10 2401
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程, 当用户使用其...
JWT简介及使用
weixin_43994244的博客
09-07 3115
JWT认证使用
深入理解JWT的使用场景和优劣
热门推荐
爱琴孩的博客
05-06 3万+
前言 前面简单介绍了JWT的基础只是和简单的小Demo,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 原文链接 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 恰好同时涉及了这三个概念,笔者用大白话来做下通俗的讲解(非严谨定义,供个人理解) 编码(en...
django-graphql-jwt:石墨烯DjangoJSON Web令牌(JWT)身份验证
02-03
django-graphql-jwt:石墨烯DjangoJSON Web令牌(JWT)身份验证
djangorestframework-simplejwt:用于 Django REST 框架的 JSON Web Token 身份验证插件
07-24
简单的 JWT 抽象的 Simple JWT 是的 JSON Web 令牌身份验证插件。 有关完整文档,请访问 。 寻找维护者 有关更多信息,请参阅。
django使用JWT保存用户登录信息
01-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和...
drf-jwt-combination:Django REST框架+ JSON Web令牌组合
05-18
Django Rest Framework + JWT组合。 使用Postman或创建FrontEnd来使用JWT检查所有api。 回购包含: 1. API to register (generates JWT token) 2. API to login (refresh token) 3. API that allows get user-...
Python 框架学习 Django篇 (五) Session与Token认证
默子昂
10-20 2499
需要验证请求的cookie里面是否有sessionid,并且检查session表,看看是否存在session_key为该sessionid 的一条记录,该记录的数据字典里面是否 包含了 usertype 为 mgr 的 数据,我们可以把前面数据库增删改查视为我们的主页,只需要从主页函数调用之前去做下检查即可。
JWT入门详解
weixin_57504000的博客
05-16 3735
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
django使用JWT
wolflxiaolu的博客
04-24 5867
1.pyJWT简述 因http协议本身为无状态,这样每次用户发出请求,我们并不能区分是哪个用户发出的请求,这样我们可以通过保存cookie以便于识别是哪个用户发来的请求,传统凡事基于session认证。但是这种认证本身很多缺陷,扩展性差,CSRF等问题。JWT(Json web token) 相比传统token,设计更为紧凑且安全。通过JWT可以实现用户认证等操作。 pyJWT下载 pip install pyJWT JWT构成: eyJ0eXAiOiJKV1QiLC
django jwt
08-16
Django JWT (JSON Web Tokens) 是一种身份验证机制,用于在 Django 应用程序实现用户身份验证和授权。JWT 是一种无状态的认证方案,通过使用 JSON 数据结构,将用户的身份信息进行编码和签名。 在 Django 使用 JWT 需要安装相应的库,比如 `djangorestframework-jwt` 或 `django-rest-framework-simplejwt`。这些库提供了方便的工具和间件,用于生成、验证和解析 JWT。 使用 JWT 进行身份验证的基本流程如下: 1. 用户提供用户名和密码进行登录。 2. 服务器验证用户的凭据,并生成 JWT。 3. 服务器将 JWT 作为响应的一部分发送给客户端。 4. 客户端将 JWT 存储在本地(通常是在浏览器的 `localStorage` 或 `sessionStorage` )。 5. 客户端每次向服务器发送请求时,都需要在请求头包含 JWT。 6. 服务器验证 JWT 的签名,并解析其的信息以识别用户。 JWT 通常包含一些标准的声明(例如过期时间、发行人等),以及自定义的声明(例如用户 ID)。服务器可以使用这些声明来验证用户的身份,并授权用户访问特定的资源。 请注意,使用 JWT 进行身份验证时,服务器不需要存储用户的会话状态。这使得 JWT 成为一种可扩展和分布式系统非常有用的身份验证机制

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值