152-jwt的介绍及使用

最新推荐文章于 2024-02-18 12:52:24 发布
最新推荐文章于 2024-02-18 12:52:24 发布
阅读量194 收藏
点赞数
分类专栏: Django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40808228/article/details/111880614
版权

昨日回顾

1 分页功能
	-三个类:普通分页,偏移分页,游标分页
    -每个类中都有几个属性:查询的字段,每页显示的条数,每页最多显示的条数,游标分页中有个排序
    -定义一个类,继承上面3个其中一个,重写字段
    -继承了APIView:实例化得到分页对象,把要分页的数据传入,返回分页后的数据,序列化,可以按照自己定制的规则返回,也可也使用page.get_paginated_response(ser.data)
    -如果继承了ListModelMixin和GenericAPIView,直接配置就可以了
    	pagination_class = MyCursorPagination
2 全局异常
	-写一个方法
    def common_exception_handler(exc, context):
        response = exception_handler(exc, context)
        if response is None:
            response = Response({'code': 999, 'detail': str(exc)}, status=status.HTTP_500_INTERNAL_SERVER_ERROR)
        return response
   	-setting中配置一下
    	'EXCEPTION_HANDLER':'app01.utils.common_exception_handler'
    -通常情况咱们会记录日志
    	-使用django日志记录  xx.log文件中
        -使用sentry(公司自己写)日志记录, 平台(django),查询,统计,告警
3 自己写的Response
	class APIResponse(Response):
        def __init__(self, code=100, msg='成功', data=None, status=None, headers=None, content_type=None, **kwargs):
            dic = {'code': code, 'msg': msg}
            if data:
                dic['data'] = data
            dic.update(kwargs) # 这里使用update
            super().__init__(data=dic, status=status,
                             template_name=None, headers=headers,
                             exception=False, content_type=content_type)
    #我们期望这种格式
    {
        code:100
        msg:成功,失败信息
        data:[]
        count:
    }
    # 使用
    APIResponse(data=[],code=101,heades={})
    
    
4 自动生成接口文档
	-手写
    -自动生成(drf:crorapi),swagger(java,go,python)
    	-安装:pip3 install coreapi
        -路由中配置:path('docs/', include_docs_urls(title='图书管理系统api')),
        -在配置文件中配置:'DEFAULT_SCHEMA_CLASS': 'rest_framework.schemas.coreapi.AutoSchema',
        -写视图类,在里面要加注释,就在接口平台就能看到
        
   	

# 作业:
1 自定义User表扩展auth的User,新增mobile唯一约束字段;新增icon图片字段
2 在自定义User表基础上,用 GenericViewSet + CreateModelMixin + serializer 完成User表新增接口(就是注册接口)(重要提示:序列化类要重写create方法,不然密码就是明文了)
3 在自定义User表基础上,用 GenericViewSet + RetrieveModelMixin + serializer 完成User表单查(就是用户中心)
4 在自定义User表基础上,用 GenericViewSet + UpdateModelMixin + serializer 完成用户头像的修改

今日内容

1 作业讲解之用户注册/查询用户/修改头像

4 jwt认证介绍

1 不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制,用户登录认证
2 用户只要登录了,返回用户一个token串(随机字符串),每次用户发请求,需要携带这个串过来,验证通过,我们认为用户登录了
3 JWT的构成(字符串)
	-三部分(每一部分中间通过.分割):header   payload  signature
    -header:明类型,这里是jwt,声明加密算法,头里加入公司信息...,base64转码
        {
          'typ': 'JWT',
          'alg': 'HS256'
        }
    -payload:荷载(有用),当前用户的信息(用户名,id,这个token的过期时间,手机号),base64转码
        {
          "sub": "1234567898",
          "name": "egon",
          "admin": true,
          "userid":1,
          'mobile':123444444
        }
    -signature:签名
    	-把前面两部分的内容通过加密算法+密钥加密后得到的一个字符串
        
        
    -jwt总的构成样子:
 	 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
        
4 JWT认证原理
	-用户携带用户名,密码登录我的系统,校验通过,生成一个token(三部分),返回给用户---》登录功能完成
    -访问需要登录的接口(用户中心),必须携带token过来,后端拿到token后,把header和payload截出来,再通过一样的加密方式和密码得到一个signature,和该token的signature比较,如果一样,表示是正常的token,就可以继续往后访问

5 base64介绍和使用

1 任何语言都有base64的加码和解码,转码方式(加密方式)
2 python中base64的加密与解密

    import base64

    import json
    dic_info={
      "name": "lqz",
      "age": 18
    }
    # 转成json格式字符串

    dic_str=json.dumps(dic_info)
    print(dic_str)
    #eyJuYW1lIjogImxxeiIsICJhZ2UiOiAxOH0=
    #eyJuYW1lIjogImxxeiIsICJhZ2UiOiAxOH0=
    # 需要用bytes格式
    # 加密
    base64_str=base64.b64encode(dic_str.encode('utf-8'))
    print(base64_str)


    # 解密

    res_bytes=base64.b64decode('eyJuYW1lIjogImxxeiIsICJhZ2UiOiAxOH0=')
    print(res_bytes)

6 jwt基本使用(jwt内置,控制用户登录后能访问和未登陆能访问)

1 drf中使用jwt,借助第三方https://github.com/jpadilla/django-rest-framework-jwt
2 pip3 install djangorestframework-jwt
3 快速使用(默认使用auth的user表)
	1 再默认auth的user表中创建一个用户
    2 在路由中配置
    	path('login/', obtain_jwt_token),
    3 用postman向这个地址发送post请求,携带用户名,密码,登陆成功就会返回token
    
    4 obtain_jwt_token本质也是一个视图类,继承了APIView
    	-通过前端传入的用户名密码,校验用户,如果校验通过,生成token,返回
        -如果校验失败,返回错误信息
    
4 用户登录以后才能访问某个接口
	-jwt模块内置了认证类,拿过来局部配置就可以
    -class OrderView(APIView):
        # 只配它不行,不管是否登录,都能范围,需要搭配一个内置权限类
        authentication_classes = [JSONWebTokenAuthentication, ]
        permission_classes = [IsAuthenticated,]
        def get(self, request):
            print(request.user.username)
            return Response('订单的数据')

5 用户未登录,不能访问
    -class OrderView(APIView):
        # 只配它不行,不管是否登录,都能范围,需要搭配一个内置权限类
        authentication_classes = [JSONWebTokenAuthentication, ]
        def get(self, request):
            print(request.user.username)
            return Response('订单的数据')
        
6 如果用户携带了token,并且配置了JSONWebTokenAuthentication,从request.user就能拿到当前登录用户,如果没有携带,当前登录用户就是匿名用户

7 前端要发送请求,携带jwt,格式必须如下
	-把token放到请求头中,key为:Authorization 
    -value必须为:jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo1LCJ1c2VybmFtZSI6ImVnb24xIiwiZXhwIjoxNjA1MjQxMDQzLCJlbWFpbCI6IiJ9.7Y3PQM0imuSBc8CUe_h-Oj-2stdyzXb_U-TEw-F82WE

7 控制登录接口返回的数据格式

1 控制登录接口返回的数据格式如下
    {
    code:100
    msg:登录成功
    token:asdfasfd
    username:egon
    }
    
2 写一个函数
	from homework.serializer import UserReadOnlyModelSerializer
    def jwt_response_payload_handler(token, user=None, request=None):
        return {'code': 100, 
                'msg': '登录成功',
                'token': token,
                'user': UserReadOnlyModelSerializer(instance=user).data
                }
3 在setting.py中配置
	import datetime
    JWT_AUTH = {
        'JWT_RESPONSE_PAYLOAD_HANDLER': 'homework.utils.jwt_response_payload_handler',
    }

8 自定义基于jwt的认证类

1 自己实现基于jwt的认证类,通过认证,才能继续访问,通不过认证就返回错误
2 代码如下
	
    class JwtAuthentication(BaseJSONWebTokenAuthentication):
        def authenticate(self, request):
            # 认证逻辑()
            # token信息可以放在请求头中,请求地址中
            # key值可以随意叫
            # token=request.GET.get('token')
            token=request.META.get('HTTP_Authorization'.upper())
            # 校验token是否合法
            try:
                payload = jwt_decode_handler(token)
            except jwt.ExpiredSignature:
                raise AuthenticationFailed('过期了')
            except jwt.DecodeError:
                raise AuthenticationFailed('解码错误')
            except jwt.InvalidTokenError:
                raise AuthenticationFailed('不合法的token')
            user=self.authenticate_credentials(payload)
            return (user, token)
 3 在视图类中配置
	authentication_classes = [JwtAuthentication, ]

作业

1 什么是集群,什么是分布式
2 什么是反向代理,什么是正向代理
3 (拓展)自己实现jwt的认证
	-{}.{}.asfasdf   前两部分用base64加密,最后一部分用md5+密码----》token 串
    -携带串过来 ,取出前俩部分,再用统一的md5+密码得到signature,跟携带过来的比较,通过(drf的认证类中)
4 研究什么是对称加密,什么是非对称加密
5 多方式登录(手机号登录,邮箱,用户名)+密码登录的接口,返回token
Pinkman2k
关注
专栏目录
构建新一代的K8s原生Java微服务+Quarkus实战
Java 技术专栏,从入门到精通,熟悉企业级开发
10-18 2万+
过去几年来,Quarkus 作为一种微服务开发框架大为流行,而Eclipse MicroProfile 也持续演进成一组Java 微服务开发API。本书详细介绍如何基于MicroProfile 和Spring API新建、开发和调试Quarkus 微服务,并部署到Kubernetes 上。 除了微服务的开发和部署,本书还涵盖Kubernetes 微服务的其他方方面面,比如应用健康管理、监控、可观测性、安全性以及API 可视化。
OpenStack ussuri 私有云平台搭建企业级实战
悦分享
10-12 1753
openstack是一个云操作系统,这个操作系统控制着数据中心中的计算,存储和网络资源。所有这些资源的管理都是通过API来来实现的,并且管理资源都有相应的认证机制。在openstack中有一个叫做dashboard的仪表盘,这个仪表盘通过web界面可以管理这些在DC中的资源。除了能提供IaaS功能外,你还可以使用orchestration,错误管理和服务管理等服务来确保应用的高可用性。
jwt认证基本使用,控制登录接口返回的数据格式,base64使用,自定义基于jwt的认证类
yikenaoguazi的博客
11-14 571
一.昨日回顾 1 分页功能 -三个类:普通分页,偏移分页,游标分页 -每个类中都有几个属性:查询的字段,每页显示的条数,每页最多显示的条数,游标分页中有个排序 -定义一个类,继承上面3个其中一个,重写字段 -继承了APIView:实例化得到分页对象,把要分页的数据传入,返回分页后的数据,序列化,可以按照自己定制的规则返回,也可也使用page.get_paginated_response(ser.data) -如果继承了ListModelMixin和GenericAPIVie
jwt与base64和base64url
weixin_45543674的博客
02-15 5455
base64编码 效果:使用64个可打印的字符来表示二进制数据的方法。 A-Z a-z 0-9 + / 一共64个字符,本质上是进行表示,并不是加密(但如果打乱字符顺序,也可以达到加密的效果) 具体原理见博客:[一篇文章弄懂Base64编码原理_mijichui2153的博客-CSDN博客]() base64Url编码 base64编码将’+’、’/‘替换成’-’、’_’,将=去掉,就成为了base64url编码,因为这三个字符在url有特殊意义。 JWT json web token JWT是一种用户认证
04 SS之JWT和base64
m0_46671240的博客
02-18 1043
Token是一项规范和标准(接口)JWT(JSON Web Token)是具体可以生成,校验,解析等动作Token的技术(实现类)JWT只通过算法实现对Token合法性的验证,不依赖数据库存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
JWT令牌,常见加密算法,Base64笔记
没有
01-11 3962
JWT令牌: 是客户端和服务器进行数据安全传输的一种标准: 组成: 头 (指定签名的加密算法方式), 负载(主要子自定义信息内容), 签名(头部Base64+负载Base64通过加密算法和密钥生成的) 作用:防止令牌信息被篡改; JWT令牌优点: 1.jwt基于json,非常方便解析 2.可以在令牌中自定义丰富的内容,易扩展; 3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 4、...
springboot整合jwt_Spring Boot整合JWT实现用户认证(附源码)
weixin_39807954的博客
11-26 109
作者:LTLAYXhttps://dwz.cn/yv1Do6e3推荐阅读1. Java 性能优化:教你提高代码运行的效率2. 基于token的多平台身份认证架构设计3. select count(*)底层究竟做了什么?4. Springboot启动原理解析初探JWT什么是JWTJWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用...
基于 Token 的身份验证:JSON Web Token
qq_34441176的博客
08-06 5031
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 文章先介绍了一下传统身份验证与基于 JWT 身份...
红队专题-抓包工具-Burpsuite-fiddler-Wireshark
aming小老弟
12-13 4545
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己会自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能会导致Burp Suite因内存不足而崩溃,从而会丢失渗透测试过程中的相关数据,这是我们不希望看到的。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
egg基础及项目制作
zhao021130的博客
06-30 876
目录 第一节:egg初始化操作和目录介绍... 2第二节:路由和控制器... 2egg中的控制器(controller)作用:... 2get请求获取参数的两种方式... 2第三节:插件... 3Egg.js安装使用egg-view-nunjucks. 3Egg.js安装使用egg-cors. 5第四节:用户登录状态... 7第五节:中间件... 13第六节:数据持久化... 151.概述、sequelize插件、配置sequelize及对应数据类型... 152.Sequelize创建表... .....
【SpringSecurity】九、Base64与JWT
llg___的博客
08-31 994
JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。官方网址:https://jwt.io/调试页面:https://jwt.io/学习文档:https://jwt.io/introduction/授权:一次登录后,后续请求携带token,校验合法的token,则允许访问系统的资源。
接口使用jwt返回token_基于JWT的Token开发案例
weixin_42412396的博客
01-12 246
();if (token != null) {// 解析tokentry {Mapbody = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token.replace(TOKEN_PREFIX, "")).getBody();String username = (String) (body.get("username"));Date gen...
WebApi中关于base64和jwt的联合验证
weixin_30337251的博客
09-25 202
用到了如鹏的代码 jwt验证 1 public class MyAuthoFilterPostOrgInfoAttribute: AuthorizationFilterAttribute 2 { 3 public override void OnAuthorization(HttpActionContext actionContext) 4 ...
基于JWT验证原理解决分布式系统session一致性问题
嘎嘎的博客
12-15 2868
session一致性问题 在集群或者分布式系统中,用户登录后的,由于服务端是集群环境或者分布式环境,如何保证用户每次与服务器交互都是使用原来的session或者实现单点登录,这里就涉及session一一致性的问题。 解决session一致性问题可以从两种思路实现,一种是session服务端存储,一种是session客户端存储。 session服务端存储 服务端存储session,需要保证用户请求过...
zuul配合jwt做认证登录,认证不通过response返回给前台要求格式的json数据
douxubao的博客
03-24 592
package com.tensquare.manager; import com.netflix.zuul.ZuulFilter; import com.netflix.zuul.context.RequestContext; import com.netflix.zuul.exception.ZuulException; import io.jsonwebtoken.Claims; impo...
返回结果不是有效的json_更加灵活,Json数据一致性校验的整体设计与Python实现...
weixin_39791446的博客
12-08 1296
在测试开发工作中,一般都会接触到期望结果数据与实际结果数据一致性比对的测试场景,对于复杂、庞大数据的比对工作。如果依靠人工执行,其成本相当高,难以保障执行结果的一致性(多次执行可能存在偏差),并且重复性极高。因此,通常我们需要考虑如何通过自动化工具实现数据的比对。之前分享过《Python实现复杂场景下文本数据的一致性比对》文章,主要应用于文件一致性比对的测试场景。今天分享下如何实现Json数据灵活...
前后端分离使用SpringSecurity整合JWT返回JSON
qq_45593068的博客
10-03 670
typora-root-url: images 前后端分离使用SpringSecurity整合JWT返回JSON 环境:springboot 2.6.0-SNAPSHOT 参考大佬博客:https://blog.csdn.net/mengxianglong123/article/details/112463172 本文没有什么是JWT,什么是SpringSecurity不了解的自行学习,且本文不涉及OAuth2 配置 案例属于前后端分离,且后端连接DB application.yaml .
生成JWT格式的token
zhangdonghang
01-22 2641
JWT简介 JWT是json web token缩写 它将用户信息加密到token里,服务器不保存任何用户信息 服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证 于token的身份验证可以替代传统的cookie+session身份验证方法 JWT组成 header部分 { "alg": "HS256", "typ": "JWT" } //对应base64U...
DRF从入门到精通八(Simplejwt快速使用、定制返回格式、Simplejwt默认配置、多方式登录、自定义表签发token、编写认证类)
Mchen的博客
01-03 3011
此时直接访问即可,它都帮我们写好了,在请求体中携带刚刚创建的超级用户的账号密码就会返回token(因为是simplejwt它是双Token认证),如果是的话才会获取空格后面的token值来进行校验,所以我们后续会重写一些方法,不需要遵守一些不必要的规则。我们定义了一个book视图类,它只允许访问时在请求头里面携带了合法的token值才能通过认证。,因为在源码内部获取校验token值前,会先通过空格进行分隔一下,第一个值是否为。携带登录后,服务端响应给我们的token值来访问,token值的开头必须是。
Flask-JWT-Extended使用教程
最新发布
09-26
以下是使用Flask-JWT-Extended的基本步骤: 1. **安装库**: 首先,在你的项目目录中安装Flask-JWT-Extended: ```bash pip install flask-jwt-extended ``` 2. **设置环境变量**(可选): 如果你在生产环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值