认证与授权,JWT 认证

已于 2022-07-18 14:25:53 修改
阅读量808 收藏 1
点赞数 4
分类专栏: 后端开发-Django 文章标签: django python 后端
于 2022-07-17 18:03:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40132294/article/details/125833037
版权

1. 认证:

        获取权限的方式

2. 授权:

        通过认证后可以获取哪些特权

3. drf中的认证授权方式:

        3.1 默认使用SessionAuthentication,会话认证,AllowAny,授权所有

         3.2 在全局配置文件settings.py文件中的REST_FRAMEWORK={}指定该配置类

# 指定drf中能用的各种解析器,渲染器,过滤引擎,搜索引擎,排序引擎,分页引擎等
REST_FRAMEWORK = {
    # 指定使用的认证类
    # a. 在全局指定的认证类(认证方式)
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # 指定为session会话认证
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication'
    ],
    # 指定使用的权限类
    # a. 在全局指定的默认权限类(当认证通过后,可以获取何种权限)
    'DEFAULT_PERMISSION_CLASSES': [
        # AllowAny 不管是否认证成功,都能获取所有权限
        # IsAdminUser 管理员具备所有权限
        # IsAuthenticated 只要登录,就具备所有权限
        # IsAuthenticatedOrReadOnly 如果登录类就具备所有权限,否则只有读取权限
        'rest_framework.permissions.AllowAny',
    ],
}

        3.3 指定权限类: AllowAny--->IsAuthenticated

         3.4 前端访问: 提示身份认证信息未提供.

 4.使用DRF中的认证授权登录

        4.1 查看restframework/urls.py中的登录/等处接口路由

        4.2 将restframework/urls.py指定为项目的一个子路由

        4.3 使用drf自带的登录登场子应用

                django.contrib.auth指定认证子应用

         4.4 页面查看

 5. 注册添加superuser超级管理员用户

        5.1 python manage.py createsuperuser

        根据提示没有auth_user表,是因为没有做对应的数据迁移 

         5.2 数据迁移

# 1.创建迁移脚本(所有)
python manage.py makemigrations
# 2.执行迁移脚本(所有)
python manage.py migrate

        5.3 创建超级用户
                python manage.py createsuperuser 

        5.4 查看数据库中是否创建成功

        5.5 前端登录

                能正常查看数据了

        5.6 查看请求中的sessionid认证 

 6. JWT认证:Json Web Token认证

        6.1 最常用的认证方式:

                6.1.1 Session认证

                        6.1.1.1 保存在服务端,会增加服务端开销

                session_key会保存在服务端,有可能是保存在mysql,有可能是保存在redis,服务端会把这个session_key发送给浏览器客户端,下次来自客户端的请求就会带上这个session_key,服务端校验这个key是否存在,并且是否过期,以判断是否认证通过.         

                        6.1.1.2 分布式架构中,难以维持Session会话同步

                        6.1.1.3 会增加CSRF(Cross-site request forgery)跨站请求伪造)攻击风险

                6.1.2 Token认证

                        6.1.2.1 保存在客户端

                        6.1.2.2 跨语言,跨平台

                        6.1.2.3 扩展性强

                        6.1.2.4 鉴权性高

        6.2 token组成的3部分

                token示例:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImNodW50aWFuIiwiYWdlIjo0fQ.RMrtCAaCx36YpaQ-kFltBG5fOd1MMXXSh4tezA0NcMI

                token由3部分组成: header+playload+signature

                6.2.1 header 

                        声明类型

                        声明加密算法,默认为HS256

                        base64加密,可以解密

                6.2.2 payload 

                        存放过期时间,签发用户等

                        可以添加用户的非敏感信息

                        base64加密,可以解密

                6.2.3 signature

                        由3部分组层: 使用base64加密后的header+ . + 使用base64加密后的payload+ 使

                        用HS256算法加密,同时secret加盐处理.

        6.3 python使用第三方模块pyjwt实现token加解密

                6.3.1 安装pyjwt模块

                        pip3 install pyjwt

                6.3.2 token生成             

                6.3.3 token解密

                6.4 djangorestframework-jwt使用

                        6.4.1 安装

                                pip3 install djangorestframework-jwt

                        6.4.2 查看drf-jwt提供的token路由

                                obtain_jwt_token: 生成获取token

                                refresh_jwt_token: 刷新token

                                verify_jwt_token: 校验token

                        6.4.3 全局路由表中注册路由obtain_jwt_token

                        6.4.4 settings.py中配置

                        查看django生成token时使用到的随机生成的secret_key

                6.4.5 前端检验jwt是否生效

  • 由于JSON Web Token不再维护,故不使用。

 若提示JWT导入错误,那么就需要使用官方提供的simpleJWT认证

1.pip install djangorestframework-simplejwt

2.配置

# settings.py
INSTALLED_APPS = [
	...
    'rest_framework',               # add
    'rest_framework_simplejwt',     # add
]

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    ),
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}
SIMPLE_JWT = {
    # token有效时长(返回的 access 有效时长)
    'ACCESS_TOKEN_LIFETIME': datetime.timedelta(seconds=3600),
    # token刷新的有效时间(返回的 refresh 有效时长)
    'REFRESH_TOKEN_LIFETIME': datetime.timedelta(seconds=20),
}

 3.配置路由

4.验证

chuntian_tester
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
jwt认证授权实践
weixin_43890267的博客
09-23 465
jwt认证授权实践 环境:在springboot或者springcloud中进行 导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version...
Django REST Framework教程(7): 如何使用JWT认证(神文多图)
大江狗
11-07 7951
在前面的DRF系列文章中,我们介绍了DRF认证(authentication)的本质,以及自带的几种认证方案,包括TokenAuthentication方案。然而JSON Web To...
认证授权(二)-JWT
haoxin963的专栏
09-26 1955
一、定义 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 优点: 1.payload 可存储业务逻辑信息(非敏感性) 2.JWT可以使用一种加密算法比如HMAC 算法,也可以使用公钥/私钥的非对称算法 3.因为JWT签名后的信息够短,可...
如何做到无感刷新Token?
最新发布
lxw1844912514的博客
05-08 53
????????最新2024IDEA永久激活(支持全家桶)????????关注上面公众号回复“激活码”,获取最新永久激活来源:juejin.cn/post/7316797749517631515为什么需要无感刷新Token?自动刷新token前端token续约疑问及思考图片为什么需要无感刷新Token?「最近浏览到一个文章里面的提问,是这样的:」当我在系统页面上做业务操作的时候会出现突然闪退的情况,然后跳转到登录页面需要...
DjangoRestFramework 使用 simpleJWT登陆认证
mohuisheng的博客
02-27 1804
【代码】DjangoRestFramework 使用 simpleJWT登陆认证
JWT授权认证示例
卢卢在路上
06-28 277
代码】JWT授权认证示例。
解析SpringSecurity+JWT认证流程实现
08-18
请求经过过滤器链的过程中,会完成认证授权,如果中间发现请求未认证或者未授权,会根据被保护API的权限抛出异常,然后由异常处理器去处理这些异常。 二、SpringSecurity的重要概念 1. SecurityContext:上下文...
SpringSecurity之JWT实现token认证授权.zip
08-09
Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。
ASP.NET Core学习之使用JWT认证授权详解
10-14
主要给大家介绍了关于ASP.NET Core学习之使用JWT认证授权的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用ASP.NET Core具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
gateway和jwt网关认证实现过程解析
08-25
Gateway 和 JWT 网关认证实现过程解析 Gateway 和 JWT 网关认证是当前 Web 应用程序中最常用的身份验证方法之一。Gateway 作为入口点,负责处理所有的请求,而 JWT(JSON Web Token)则是用于身份验证和授权的 ...
Jwt认证示例-鉴权授权
06-05
在本文中,我们将介绍如何在 .NET 中使用 JWT 实现授权,包括如何创建和验证 JWT、如何在应用程序中使用 JWT 进行身份验证和授权、如何使用策略和角色进行权限控制等,如何实现全局必须授权等。
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
jwt-token-verifier 验证JWT令牌OpenID提供程序
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 9358
1. 首先前端将用户名和密码发送给后端后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
restframework-simpleJWT重写认证机制
roy8666的博客
06-30 1012
simpleJWT重写认证机制
django rest framwork用户权限设计和Authentication用户认证
mid_python的博客
10-22 977
为什么要在业务中实现用户权限管理? 在B/S系统中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个"非法用户"很可能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S系统业务中都需要一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未授权的“非法用户”会将他们彻底的“拒之门外”。 01 需求陈述 不同职责的人,对于系统操作权限是不同的。 根据“组”进行权限分配,将权限一致的人员编入同一组,然后对改组进行...
Django JWT认证
一枚很low得程序猿
07-07 720
首先pip install djangorestframework-jwt 在配置项中导入自己的sso模块 REST_FRAMEWORK = { "DEFAULT_AUTHENTICATION_CLASSES": ( "bmiss_sso.authentication.SSOTokenAuthentication", ), ... } SIMPLE_JWT = { "AUTH_HEADER_TYPES": ("Token",), "ACCESS_TO
java jwt实战,Spring Boot Security Jwt Authentication详解实战
weixin_35895485的博客
03-11 520
引言在这篇文章中,我们将通过JWT(JSOn Web Token)认证来保护我们的REST API 。我们将使用基于spring boot maven的配置来开发并保护我们的API,并提供单独的API用于注册并生成令牌。我们将扩展OncePerRequestFilter类,以使用JWT定义我们的自定义认证机制。认证机制可以应用于URL和方法。最后,我们将使用谷歌高级REST客户端测试实现。项目结构...
JWT Authentication in Django
qq_25131333的博客
11-04 110
Django中的JWT认证 本教程将介绍JSONWeb令牌(JWT)以及如何在Django中实现JWT身份验证。 JWT是什么? JWT是一个编码的JSON字符串,它在头中传递以验证请求。它通常是通过使用秘密密钥散列JSON数据来获得的。这意味着服务器不需要每次查询数据库来检索与给定令牌关联的用户。 JSONWeb令牌是如何工作的 当用户成功地使用他们的凭据登录时,将获得一个JSONWeb令牌并保...
DjangoRestFramework【simplejwt认证
qq_35653657的博客
02-07 2005
在userapp目录下面创建一个,然后在里面创建一个自定义认证类,继承重写函数:原始的只实现用户名密码登入"""实现自定义认证类(登入 内容)如果想自定义认证,就需要继承Django原生的auth,重写django认证方式@param kwargs:认证参数@return:如果认证成功返回认证用户 否则返回None。
Blazor jwt认证授权
05-31
Blazor是一种基于WebAssembly的新型Web开发框架,可以使用C#语言开发客户端应用程序。它提供了一种方便的方式来实现JWT认证授权。 在Blazor应用程序中,您可以使用ASP.NET Core Identity和JSON Web Token(JWT)来实现JWT认证授权。首先,您需要在ASP.NET Core应用程序中配置JWT认证服务。然后,您可以使用Identity提供的API来管理用户和角色,以及实现基于角色的授权策略。 接下来,您需要在Blazor组件中使用`[Authorize]`属性来标记需要授权才能访问的组件。这将要求用户登录,并检查他们是否具有访问该组件的权限。 最后,您可以使用JWT来验证用户身份,并根据用户的角色和权限来授权访问。 下面是一个示例,演示如何在Blazor应用程序中使用JWT认证授权: ``` @page "/myprotectedpage" @attribute [Authorize(Roles = "Admin")] <h1>Welcome to the protected page!</h1> @code { [Inject] private IAccessTokenProvider TokenProvider { get; set; } private async Task<string> GetAccessTokenAsync() { var tokenResult = await TokenProvider.RequestAccessToken(); if (tokenResult.TryGetToken(out var token)) { return token.Value; } else { return null; } } protected override async Task OnInitializedAsync() { var accessToken = await GetAccessTokenAsync(); if (accessToken != null) { // Verify the token and extract the user's claims var handler = new JwtSecurityTokenHandler(); var token = handler.ReadJwtToken(accessToken); var userId = token.Claims.FirstOrDefault(c => c.Type == ClaimTypes.NameIdentifier)?.Value; var roles = token.Claims.Where(c => c.Type == ClaimTypes.Role).Select(c => c.Value).ToList(); // Check if the user has the required role if (!roles.Contains("Admin")) { NavigationManager.NavigateTo("/accessdenied"); } } else { NavigationManager.NavigateTo("/login"); } } } ``` 在上面的示例中,我们使用`[Authorize(Roles = "Admin")]`属性来标记需要“Admin”角色才能访问的组件。然后,我们使用`IAccessTokenProvider`来获取JWT访问令牌,并验证令牌以确定用户的身份和角色。如果用户没有所需的角色,我们将重定向到一个名为“accessdenied”的页面。 希望这个示例能够帮助您实现Blazor中的JWT认证授权

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chuntian_tester

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值