django中的权限认证token和jwt实操记录

最新推荐文章于 2023-07-18 17:03:07 发布
最新推荐文章于 2023-07-18 17:03:07 发布
阅读量2.1k 收藏 23
点赞数 6
分类专栏: Django 文章标签: django python jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32656561/article/details/107933708
版权

理论基础:vue+django前后端分离权限控制之django权限控制

建立项目

假定已经创建好虚拟环境,虚拟环境内安装了:

asgiref             3.2.10 
Django              3.1    
djangorestframework 3.11.1 
pip                 20.0.2 
PyJWT               1.7.1  
pytz                2020.1 
setuptools          46.1.3 
sqlparse            0.3.1  
wheel               0.34.2

pip install django djangorestframework pyjwt
mkdir jwt
cd jwt

  1. 创建django项目:

django startproject jwt_test

  1. 进入项目目录下创建api应用

cd jwt_test
django startapp api

  1. 修改settings,在33行INSTALLED_APPS下最后面加入:
'rest_framework',
'api',
  1. 修改时区和语言配置(105行)
# LANGUAGE_CODE = 'en-us'
LANGUAGE_CODE = 'zh-hans'
# TIME_ZONE = 'UTC'
TIME_ZONE = 'Asia/Shanghai'

此时项目目录
.
├── api
│ ├── admin.py
│ ├── apps.py
│ ├── init.py
│ ├── migrations
│ │ └── init.py
│ ├── models.py
│ ├── tests.py
│ └── views.py
├── jwt_test
│ ├── asgi.py
│ ├── init.py
│ ├── settings.py
│ ├── urls.py
│ └── wsgi.py
├── manage.py
└── templates

一,最简单的token验证

  1. 修改api下views.py,创建api视图
    *args和**kwargs的区别
import uuid

from rest_framework.views import APIView
from rest_framework.response import Response
from api import models


class LoginView(APIView):
    """用户登录,一般采用不显示参数的post方法"""

    def post(self, request, *args, **kwargs):
        user = request.data.get('username')
        pwd = request.data.get('password')
        # 过滤数据库中数据,如果有对应的数据则返回第一个
        user_object = models.UserInfo.objects.filter(username=user, password=pwd).first()
        # 如果没有找到,就返回错误信息
        if not user_object:
            return Response({'code': 1000, 'error': '用户名或密码错误'})
        random_string = str(uuid.uuid4())
        user_object.token = random_string
        user_object.save()
        return Response({'code': 1001, 'token': random_string})

uuid的资料
6. 修改models.py创建数据模型

from django.db import models


# Create your models here.
class UserInfo(models.Model):
    """三个字段用户名,密码和令牌,其中设定token可以为空"""
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=64)
    # 模型类中设置:blank=True,表示代码中创建数据库记录时该字段可传空白(空串,空字符串)
    token = models.CharField(max_length=64, null=True, blank=True)

生成迁移文件:python manage.py makemigrations
执行迁移动作,根据迁移文件对数据库进行改动:python manage.py migrate
这时可以将生成db.sqlite3拖入pycharm右边的Database,展开看到有一个api_userinfo表,双击击可发现表已经生成
加入一条记录:
在这里插入图片描述

  1. 修改jwt_test下urls.py
from django.contrib import admin
from django.urls import path
from api import views
urlpatterns = [
    path('admin/', admin.site.urls),

    path('api/login',views.LoginView.as_view())
]
  1. 运行后访问
    在这里插入图片描述可见成功,这是第一种最简单的登录验证,登录后将token保存到数据库,并且每登录一次换一个token,此处可以加一个字段用于失效时间处理。可见没有用到jwt
  2. 再模拟登录后使用token登录的场景
    urls.py加入url:
from django.contrib import admin
from django.urls import path
from api import views

urlpatterns = [
    path('admin/', admin.site.urls),

    path('api/login', views.LoginView.as_view()),
    path('api/order', views.OrderView.as_view())
]

views.py加入:

class OrderView(APIView):
    def get(self, request, *args, **kwargs):
        # 取get方法中通过url传递的参数
        token = request.query_params.get('token')
        if not token:
            return Response({'code': 2000, 'error': '登录之后才能访问'})
        # 从数据库中比对
        user_object = models.UserInfo.objects.filter(token=token).first()
        if not user_object:
            return Response({'code': 2000, 'error': 'token无效'})
        return Response('订单列表')

测试:
未加token:
在这里插入图片描述加入错误token:
在这里插入图片描述正确token:
在这里插入图片描述

基于jwt实现

urls.py加入:

	path('api/jwt/login', views.JwtLoginView.as_view()),
    path('api/jwt/order', views.JwtOrderView.as_view()),

views.py加入:

class JwtLoginView(APIView):
    def post(self, request, *args, **kwargs):
        user = request.data.get('username')
        pwd = request.data.get('password')
        # 过滤数据库中数据,如果有对应的数据则返回第一个
        user_object = models.UserInfo.objects.filter(username=user, password=pwd).first()
        # 如果没有找到,就返回错误信息
        if not user_object:
            return Response({'code': 1000, 'error': '用户名或密码错误'})
        import jwt
        import datetime
        salt = 'ssasdgf14sd4s5gf4s5s4fs'

        # 构造header
        headers = {
            'typ': 'jwt',
            'alg': 'HS256'
        }
        # 构造payload

        payload = {
            'user_id': user_object.id,  # 自定义用户ID
            'username': user_object.username,  # 自定义用户名
            'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5)  # 有效时间5分钟
        }

        token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
        return Response({'code': 1001, 'token': token})


class JwtOrderView(APIView):
    def get(self, request, *args, **kwargs):
        # 获取token并判断token的合法性
        token = request.query_params.get('token')

        # 1.切割
        # 2, 解密第二段/判断过期
        # 3,验证第三段合法性
        import jwt
        from jwt import exceptions
        salt = 'ssasdgf14sd4s5gf4s5s4fs'
        payload = None
        msg = None
        try:
            payload = jwt.decode(token, salt, True)
        except exceptions.ExpiredSignatureError:
            msg = 'token已失效'
        except jwt.DecodeError:
            msg = 'token认证失败'
        except jwt.InvalidTokenError:
            msg = '非法的token'
        if not payload:
            return Response({'code': 1003, 'error': msg})
        print(payload['user_id'], payload['username'])
        return Response('订单列表')

测试成功:
在这里插入图片描述

模拟使用:
在这里插入图片描述

将jwt的加密和解密分别封装,并在各个api中默认使用

urls.py加入:

 	path('api/pro/login', views.ProLoginView.as_view()),
    path('api/pro/order', views.ProOrderView.as_view()),

views.py 中加入:

from api.extensions.auth import JwtQueryParamsAuthentication
from api.utils.jwt_auth import create_token


class ProLoginView(APIView):
    def post(self, request, *args, **kwargs):
        user = request.data.get('username')
        pwd = request.data.get('password')
        # 过滤数据库中数据,如果有对应的数据则返回第一个
        user_object = models.UserInfo.objects.filter(username=user, password=pwd).first()
        # 如果没有找到,就返回错误信息
        if not user_object:
            return Response({'code': 1000, 'error': '用户名或密码错误'})
        token = create_token({'user_id': user_object.id, 'username': user_object.username})
        return Response({'code': 10001, 'token': token})


class ProOrderView(APIView):
    authentication_classes = [JwtQueryParamsAuthentication, ]

    def get(self, request, *args, **kwargs):
        print(request.user)
        print(request.auth)
        return Response('订单列表')

在api下创建目录:extensions
再创建auth.py
此处就是用户登录后要进行操作时的token认证
auth.py加入:

# 导入django配置文件
from django.conf import settings
# 从drf中导入认证模块
from rest_framework.authentication import BaseAuthentication
# 从drf中导入认证异常模块
from rest_framework.exceptions import AuthenticationFailed
import jwt
from jwt import exceptions


class JwtQueryParamsAuthentication(BaseAuthentication):
    def authenticate(self, request):
        # 获取token并判断token的合法性
        token = request.query_params.get('token')

        # 1.切割
        # 2, 解密第二段/判断过期
        # 3,验证第三段合法性
        # 在drf里面对其进行了封装,会产生三种结果
        # 1.抛出异常,后续不再执行
        # 2.return一个元组(1,2),在视图中如果调用request.user,就是元组的第一个值,即payload;request.auth为第二个,即token
        # 3. None
        # 也就是说,只需要token跟salt,就能验证token是否正确,其详细操作可以查看源码,其实就是按照jwt,对其各步骤进行了封装

        # 使用django配置中的SECRET_KEY作为盐
        salt = settings.SECRET_KEY

        try:
            payload = jwt.decode(token, salt, True)
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({'code': 1003, 'error': 'token已失效'})
        except jwt.DecodeError:
            raise AuthenticationFailed({'code': 1003, 'error': 'token认证失败'})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({'code': 1003, 'error': '非法的token'})

        return (payload, token)

在api下创建目录:utils
再创建jwt_auth.py
此处就是用户登录时生成token的单元
jwt_auth.py加入:

import jwt
import datetime

from django.conf import settings

# 需要传入
def create_token(payload, timeout=1):
    salt = settings.SECRET_KEY

    # 构造header
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    
    # 其实就是往payload加入了有效时间
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)  # 有效时间

    token = jwt.encode(payload=payload, key=salt, algorithm='HS256', headers=headers).decode('utf-8')
    return token

测试登录:
在这里插入图片描述测试验证:
在这里插入图片描述查看元组返回的payload和token
在这里插入图片描述使用drf封装好的jwt就是这样了,下面还可以优化:目前每个api验证时都需要加这一段:

authentication_classes = [JwtQueryParamsAuthentication, ]

如果能在api使用时自动加入就更好了:
选中views.py中的APIView,即ProLoginView的基类,ctrl+B进入
可以发现有一段
authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
这里就是设置默认APIView的验证类的地方
在settings.py中加入

# 为所有接口添加验证
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES":['api.extensions.auth.JwtQueryParamsAuthentication']
}

现在就可以把之前的authentication_classes = [JwtQueryParamsAuthentication, ]这一段注释掉了,调用接口时会自动验证
但是要注意,在不需要验证的地方要加入

authentication_classes = []

取消默认验证,因为它不需要验证

处理跨域访问报错问题

大数据坚为
关注
专栏目录
Django+JWT实现Token认证
weixin_34174422的博客
01-22 1983
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
使用django的rest_framework_jwt实现权限认证
qq_45632139的博客
05-22 1315
1、JWT简介 JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(Self-contained) 负载包含了所有用户所需要的信息,避免了多次查询数据库 2.JWT的组成 一个JWT由三个部分组成:header,
详解Django配置JWT认证方式
09-16
主要介绍了Django 配置JWT认证方式,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django实战: 使用JWT Token进行用户认证
大江狗
04-20 6449
编者注:一般Web应用开发验证用户信息有两种方式,一是使用session,二是使用token。下文详细对比了两者的区别,介绍了Token认证的原理及如何在Django项目简单实现tok...
django jwt token 令牌
廷益_飞鸟的博客
02-23 237
jwt的使用 jwt官网:https://jwt.io/ 1.header {‘alg’:‘HS256’, ‘typ’:‘JWT’} 2.payload { ‘exp’:xxx, # Expiration Time 此token的过期时间的时间戳 ‘iss’:xxx,# (Issuer) Claim 指明此token的签发者 ‘aud’:xxx, #(Audience) Claim 指明此token的 ‘iat’:xxx, # (Issued At) Claim 指明此创建时间的时间戳 ‘aud’:.
四、【Django】基于Jwttoken认证(登录接口)
最新发布
Ataoker的博客
07-18 4909
django 使用jwt token的东西来进行认证
Django+JWT实现Token认证的实现方法
09-19
本篇文章将深入探讨如何在Django项目利用JWT实现Token认证,无需依赖Django REST Framework(DRF)。 首先,我们需要理解传统登录鉴权和基于Token的鉴权的区别。传统的登录鉴权通常涉及用户提交账号和密码,...
django jwt token认证rest_framework_jwt的refresh token有效期
hhhhh11的博客
09-11 3420
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt的refresh token功能,因为它很可能不是你想象的refresh token哦 。 场景再现 在jwt鉴权过程往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users ...# 全局认证from rest_framework.authentication import Token
django_rest-vuejs-auth:使用JWT令牌,Vuejs(前端)和Django-Rest(后端)的身份验证项目
02-04
使用JWT令牌,Vue.js(前端)和Django-Rest(后端)的身份验证项目。 流: 用户在客户端(Vue.js)输入其凭据。 该信息将转发到后端API。 如果信息有效,则生成访问和刷新令牌,然后将其发送回客户端。 令牌存储在Vue.js store(Vuex)上。 “ / mods /”是后端的路径,是示例受保护的视图。 它只能处理GET请求。 客户端必须发送带有GET请求的访问令牌,以证明用户已通过身份验证才能查看此路径。 客户端上的“ / downloads /”路由显示从后端的“ / mods /”路径获取的数据。 这是使用axios完成的。 如果服务器返回401(表示访
Django之DRF框架(五)JWT认证
Simple子夜
07-06 1891
JWT简介 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token认证机制。 Json web token (JWT):是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也..
Django】基于JWTtoken认证
无邪的博客
03-28 1871
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
Django从零开始——Simple JWT鉴权变的如此简单
Ryuuku的博客
11-08 1407
要求 Python(3.7、3.8、3.9) Django (2.2, 3.1, 3.2) Django REST 框架(3.10、3.11、3.12) 安装 使用 pip 安装简单的 JWT: pip install djangorestframework-simplejwt 然后,django 项目settings.py,添加 rest_framework_simplejwt.authentication.JWTAuthentication到身份验证类列表: REST_FRAMEWORK =
Django-restframework 基于token认证 + 权限管理
Pythoner的博客
05-23 557
【】 【全局配置】 REST_FRAMEWORK = { # 全局使用的认证类 # "DEFAULT_AUTHENTIVATION_CLASSES":['这里填写文件路径.类名'], # 全局使用的权限类 "DEFAULT_PERMISSON_CLASSES":['orders.utils.permissions.MyPermission'] } ...
django添加jwt授权
干巴爹兔的博客
04-12 311
部分内容参考于jwt认证流程 代码实现(持续更新):Gitee 安装 首先安装pyjwt: pip3 install pyjwt 使用 创建token 在根目录目录新建util文件夹,新建jwt_auth.py,代码如下: import jwt import datetime from django.conf import settings from jwt import exceptions ...
Django应用jwt进行身份校验token
qq_44614115的博客
02-23 1621
本文记录Django如何应用jwt进行身份校验token
Django DRF - JWT Token认证使用
Mr_WoLong
04-21 869
Django DRF - JWT Token认证使用
Django使用jwt--超详细
pygodnet的博客
12-15 5725
一:什么是jwt? jwt被广泛用于各类鉴权,其jwt token如下所示: b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkaW1uIn0.MeQOdDiiI39mBpgbFNnBVNdJMDhUpRTxziPeFJKB2fA' jwt token   JWT生成的Token是一个用两个点(.)分割的长字符串   点分割成的三部分分别是Header头部,Payload负载,Signature签名:Header.Payload.Sig
django间件验证jwttoken
03-16
Django间件可以用来验证JWT TokenJWT Token是一种用于身份验证的令牌,它由三部分组成:头部、载荷和签名。在Django,可以使用第三方库django-rest-framework-jwt来实现JWT Token的验证。该库提供了一个名为JWTAuthentication的间件,可以用来验证请求头的Authorization字段Token是否有效。如果Token有效,则将用户信息添加到请求对象,以便后续的视图函数可以使用。如果Token无效,则返回401 Unauthorized响应。使用该间件需要在Django的settings.py文件进行配置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值