django 用户认证之二:token的原理和用法

最新推荐文章于 2024-08-20 10:57:40 发布
最新推荐文章于 2024-08-20 10:57:40 发布
阅读量1.1w 收藏 13
点赞数 9
分类专栏: django框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26128879/article/details/82431866
版权

基于restframework 的用户验证跟 django 用户验证的区别 :

django 用户验证只要是基于 cookie 与 session 来完成的。

 

我现在访问我的 restf api 接口时可以看到浏览器会有一个登陆 ,这里通过 django 创建的 超级用户

或者注册的用户就可以登陆

 

 

 

这是因为我们在 django 的url 中配置了

url(r'^api-auth/', include('rest_framework.urls', namespace='rest_framework')),

而 对应的 rest_framework.urls 有 包含 login 和 logout 两个url。

 

这里会让登陆验证变得很简单,但是 他会验证 csrf ,我们登陆时 django 返回的 html 中其实是

包含一个 csrf 的 code 的,用来做表单的 安全验证的。

所以

如果用户验证需要做成 restful api ,这个 自带的 login是无法拿来直接用的。

 

那如果我们需要做成一个前后端分离的用户验证, 就需要通过其他的方法。 【Auth 模块】

 

django 的 MIDDLEWARE 中包含的以下两个 MIDDLEWARE

'django.contrib.sessions.middleware.SessionMiddleware',

'django.contrib.auth.middleware.AuthenticationMiddleware',

可以在一个 request 进来的时候,将request里的 cookie 里面的 session_id 转换成

我们的 user !!!!! 也就是我们之前看到的 request.user 。

 

我们现在需要配置 restful 的 MIDDLEWARE , 直接在 django 的 settings.py 里面添加

 

REST_FRAMEWORK = {

'DEFAULT_AUTHENTICATION_CLASSES': (

'rest_framework.authentication.BasicAuthentication',

'rest_framework.authentication.SessionAuthentication',

)

}

官方文档显示 restful 提供的 auth 有三种 :

BasicAuthenticationTokenAuthenticationSessionAuthentication

其中 :

SessionAuthentication :跟django中的机制是一样的, 常用于浏览器,

因为浏览器会自动设置 cookie ,并将他的 cooike 和session 带到服务器,

所以前后端分离的系统用这种机制比较少见,但是还是可以做。

TokenAuthentication : 是需要重点关注的,使用他前 ,必须先将 'rest_framework.authtoken'

添加到 django 的 INSTALLED_APPS 中。

INSTALLED_APPS = ( ... 'rest_framework.authtoken' )

这个 tokenauth 实际上会给我们创建一张表,凡是有表的 app 都要加入到 INSTALLED_APPS 中。

如果不加人,就不会帮我们生成这些表。

此时执行 migrate 进行数据迁移。

可以看到为我们生成了一张表,该表有一个外键指向我们的 UserProfile (用户信息)表。

 

一个用户对于一个 token 。

而我创建一个超级用户的时候,并没有在 authtoken_token 这张表里面给我添加一个对应的 token 。

这个 token 需要我们自己来创建 。创建方法如下 ,调用 Token 模块,将 user 传进去:

 

from rest_framework.authtoken.models import Token token = Token.objects.create(user=...) print token.key

 

所以 当用户注册时保存了提交的 UserProfile 之后,调用这段代码,把保存的 UserProfile 传进去。

这样就会生成 token 。

 

---------------------------------

 

而后端需要在 django 的 url 中配置 token 的url :

from rest_framework.authtoken import views urlpatterns += [ url(r'^api-token-auth/', views.obtain_auth_token) ]

现在可以通过向 http://127.0.0.1:8000/api-token-auth/ 这个url 发送 post 请求并且携带

{

"username":"admin",

"password":"admin123456"

}

这个方式来获取 token ,发送请求后,他会返回一个 token 。此时如果这个 UserProfile

没有对应的 key ,就会在 authtoken_token 这张表创建一条数据 ,并且关联到你提交的

用户 ,给他生成一个 key 。

 

 

前端如何使用这个 token ? 【把他放到 http 的 header 里面】

对于客户端进行身份验证,令牌密钥应该包含在AuthorizationHTTP头中。关键字应以字符串文字“Token”为前缀,用空格分隔两个字符串。例如:

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

 

此时我在我的 url 请求的头部添加这个之后,访问我的 restful api 资源了后台获取到这个 token 后

还不能解析出这个 token 对应的用户是谁,我们需要在 REST_FRAMEWORK 里添加

'rest_framework.authentication.TokenAuthentication',

才能解析出对应的用户 。

REST_FRAMEWORK = {

'DEFAULT_AUTHENTICATION_CLASSES': (

'rest_framework.authentication.BasicAuthentication',

'rest_framework.authentication.SessionAuthentication',

'rest_framework.authentication.TokenAuthentication',

)

}

此时需要知道用户传递过来的 token 是什么 ,直接通过 request.auth 就可以看到。

完成 上面两步,就可以访问我的 restful api 资源了。

(以前需要登录,现在只要头部包含 这个 token 就可以访问。)

 

如果用户在 token 过期的情况下访问公共url , 就会报错, 这个问题前端也可以解决,后端的解决方案是, 把这个 token 验证不放在 settings.py 里做全局验证, 只对部分接口做验证。

把 REST_FRAMEWORK 中下面这个

1. 'rest_framework.authentication.TokenAuthentication',

注释掉 ,

2.在需要做验证的视图那里 导入

from rest_framework.authentication import TokenAuthentication

然后在视图里添加 authentication_classes 属性。 因为要给他个元组, 所以记得用逗号

authentication_classes = (TokenAuthentication, )

 

 

这个 token 的缺点是 :

1.这个token 是保存在服务器里面的。

如果我们是一个分布式系统,有两套子系统想要使用同一个认证系统,他就会出现问题,

因为他的 token 是放在某一台服务器的,如果是分布式的,那我们还得将这些用户同步过去。

2.这个 toen 是没有过期时间的,永久有效,一旦泄露了别人就可以一直用。

 

 

 

 

七年蝉
关注
专栏目录
django rest framework 从token中解析用户信息
Christian的博客
01-31 2153
from django.utils.deprecation import MiddlewareMixin from rest_framework_jwt.utils import jwt_decode_handler from utils import log class SetUserSession(MiddlewareMixin): """ 把用户id放入session...
django基于存储在前端的token用户认证解析
09-18
主要介绍了django基于存储在前端的token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django token验证
最新发布
XTY__的博客
08-20 144
【代码】Django token验证。
Django使用Token
cfy137000的博客
01-28 8864
基于Token的身份验证 在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie中写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端和客户端的token通信. 验证流程 整个基于Token的验证流程如下: 1. 客户端使用用户名跟密码请求登录 2. 服务器收到请求,去验
django 用户认证之三:token原理用法
qq_26128879的博客
09-06 1824
  当我们携带错误的token访问我们的 url 时,服务器会返回一个 401 "令牌认证失败",给我们, 但是如果我需要访问公开的资源,这个 token 又错了(或者过期了),怎么 处理呢?   因为我们之前在 django 的 settings.py 里面配置 'rest_framework.authentication.TokenAuthentication', 是一个全局的配置...
Django-jwt token生成源码分析
weixin_30906671的博客
07-21 204
一. 认证的发展历程简介   这里真的很简单的提一下认证的发展历程。以前大都是采用cookie、session的形式来进行客户端的认证,带来的结果就是在数据库上大量存储session导致数据库压力增大,大致流程如下:   在该场景下,分布式、集群、缓存数据库应运而生,认证的过程大致如下:   不过该方式还是缓解不了数据库压力,一个项目中应该尽可能多的减少IO操作,于是后来采用签名的...
django用户管理与token认证(四)
借风拥你
02-26 1484
django用户认证主要是用于用户的登陆认证上,如果用户名和密码正确,然后做对应的操作Django认证组件使用的默认用户模型类(User)存储用户信息,包括用户名、密码和电子邮件地址。在执行在数据库中会生成几张默认的表其中auth_user就是存储用户的表,默认这张表中没有用户
django-oscar-api:django-oscar的RESTful JSON API
02-04
3. **权限和认证**:提供了对 API 访问的控制,包括基于 token认证机制,确保只有授权的客户端才能访问敏感数据。 4. **分页和过滤**:支持 API 结果的分页,以及基于请求参数的复杂过滤,使客户端可以根据需要...
Django DRF认证组件流程实现原理详解
09-16
在`Login`视图的`post`方法中,如果认证成功,`request.user`将包含已验证的用户对象,并且返回的响应中会包含一个`token`,以便客户端在后续请求中使用。 总的来说,Django DRF的认证组件通过定义不同的认证类并将...
Django用户认证系统:构建零漏洞登录注册流程
## Django用户认证系统的核心作用 在构建Web应用时,用户认证系统是一个不可或缺的部分,它负责验证用户的合法性,保障系统的安全。Django,作为一个功能全面的高级Python Web框架,内置了强大的用户认证系统,提供...
django怎么取出auth-token_一图看懂Django和DRF
weixin_39543478的博客
11-22 260
一个总结Django和DRF用了很久了,一直没有认真的总结一下,没什么总结比一张框图更暴力了。最近根据使用经验画了几张图,下面这两张图分别是Django的框图和Django REST Framwork的框图。DjangoDjango REST FramworkDjango在Python的web框架中是出了名的重,而DRF即Django REST Framwork更重,这使得广大小伙伴在做完了Dja...
django--基于jwt的tokens验证浅析
qq_28829081的博客
01-11 543
setting.py文件里的配置,后面会用到 类视图代码,很容易看懂,不多说: 一般来说,服务器运行起来,发送请求后,程序肯定会进入as_view()方法,然后调用dispatch()方法,这个流程是必须的,不过这里的类视图继承的APIView类,而APIView类重写了django哪个View类的dispatch()方法,所以咱们这里调用的肯定是重写后的dispatch()方法。 def dispatch(self, request, *args, **kwargs): """
django项目后台开发】Token和Session的区别、Token的生成方式(1)
python全栈
05-17 1131
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token认证和传统的session认证的区别 1、传统的session认证
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 5096
django 使用jwt token的东西来进行认证
django drf 实现只有超级用户才能注册账号(涉及自定义权限permissions,获取token信息解析token信息)
热门推荐
亚索的博客
02-18 2万+
django drf 实现只有超级用户才能注册账号编写注册序列化器编写注册视图配置二级路由,一级路由和之前登录一样测试注册视图自定义权限测试自定义权限 编写注册序列化器 和之前的登录序列化器写在一个地方 from django.contrib.auth import get_user_model User = get_user_model() class RegisterSerializers(serializers.ModelSerializer): '''增加用户的序列化器''' cl
djangorestframework-jwt使用,生成tokentoken认证
weixin_46371752的博客
12-06 2462
使用django的jwt模块: 安装:pip install djangorestframework-jwt 配置: 将djangorestframework-jwt注册到apps中 settings.py下配置 import datetime JWT_AUTH = { 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), ​ 'JWT_AUTH_HEADER_PREFIX': 'JWT', #前缀需要家jwt } ....
django登录实现自动生成token
qq_60976312的博客
10-11 1979
django登录实现自动生成token
Django框架前后端分离开发之JWT Token详解及djangorestframework-jwt超详细使用demo
lienze.tech
02-07 2429
前言 这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题 于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。 微信小程序搜索:Python面试宝典 或可关注原创个人博客:https://lienze.tech 也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习 JWT 什么是jwt?
Django用户认证系统详解:Web请求认证与登录登出
此外,还讲解了login()和logout()两个关键函数的使用方法,以及如何处理用户认证和登出操作。" Django用户认证系统是Web应用程序中管理用户身份验证和授权的核心组件。它提供了一套全面的工具,使开发者能够轻松地...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值