DRF中使用JWT认证

常用状态码的使用场景

状态码使用场景
200服务请求成功,并响应了数据 ,修改也是
201新增数据成功,用于新建资源
204用于删除内容
301永久重定向
400路径、?查询参数,请求头,请求体参数有错误
401当前请求需要用户登录验证,登录失败,或未登录
403没有权限访问,请联系管理员
404请求失败,请求所希望得到的资源未被在服务器上发现。

一、基于传统的 token 认证

基于传统的 token 认证流程:用户登录,服务端给返回的token,并将token保存在服务端,以后再来访问时,需要携带token,服务器获取token后,再去数据库中获取token来进行校验。

  • 注册DRF应用
# settings.py
# Application definition

INSTALLED_APPS = [
		...
    'rest_framework',
]
  • 编写用户模型
# models.py
from django.db import models

# Create your models here.

class UserInfo(models.Model):
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=32)
    token = models.CharField(max_length=128,null=True,blank=True)
  • 数据库迁移
# shell命令行
python manage.py makemigrations
# python manage.py check 查看数据库迁移是否有错
python manage.py migrate
  • 编写视图
# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from user.models import UserInfo
import uuid

class LoginView(APIView):
    """用户登录"""
    def post(self,request,*args,**kwargs):
        user = request.data.get('username')
        pwd = request.data.get('password')
        user_obj = UserInfo.objects.filter(username=user,password=pwd).first()
        if not user_obj:
            return Response({'code':401,'error':'用户名或密码错误'})
        # 模拟生成的token
        user_token = str(uuid.uuid4())
        # 保存生成的token,用于后续的校验
        user_obj.token = user_token
        user_obj.save()
        return Response({'code':201,'token':user_token})
    
class IndexView(APIView):
# 判断携带 token 是否生效
    def get(self,request,*args,**kwargs):
        token = request.query_params.get('token')
        if not token:
            return Response({"code":401,"error":"登录成功后才能访问"})
        user_token = UserInfo.objects.filter(token=token).first()
        if not user_token:
            return Response({"code":401,'error':"token已失效"})
        return Response(f"已登录成功,欢迎{user_token.username}!")
  • 配置路由
# urls.py
from django.contrib import admin
from django.urls import path
from django.conf import settings
from django.conf.urls.static import static
from user.views import LoginView,IndexView
urlpatterns = [
    path('admin/', admin.site.urls),
    path('login/', LoginView.as_view()),
    path('index/', IndexView.as_view()),
]
if settings.DEBUG:
    urlpatterns += static(settings.MEDIA_URL, document_root=settings.MEDIA_ROOT)
  • 在表中预先存入下的数据,用于模拟验证
    在这里插入图片描述

  • post请求用户名和密码

在这里插入图片描述

  • 访问页面

在这里插入图片描述
在这里插入图片描述

二、DRF中使用pyjwt编写JWT 认证

JWT的全称是Json Web Token,常用于用户认证(用于前后端分离、微信小程序、app开发)
JWT认证流程:用于登录,服务端给用户返回一个token(服务器中不保存),之后用户再来访问,需要携带token,再做token的校验。从https://jwt.io/官网上看到了JWT字符串示例如下图:

在这里插入图片描述

  • 用户提交用户名和密码给服务端,如果登录成功,使用JWT创建一个token值如下
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  1. 第一部分标头通常(HEADER)由两部分组成:令牌的类型,即 JWT,以及正在使用的签名算法,例如 HMAC SHA256 或 RSA。例:{ "alg": "HS256", "typ": "JWT" }
  2. 第二部分是负载(PYLOAD),其中包含声明。声明是关于实体(通常是用户)和附加数据的声明。共有三种类型:注册声明、公共声明和私人声明。注册声明:这些是一组预定义的声明,这些声明不是强制性的,而是推荐的,以提供一组有用的、可互操作的声明。其中一些是:iss(发行者)、exp(到期时间)、sub(主题)、aud(受众)等。(请注意,声明名称只有三个字符,因为 JWT 是紧凑的。)公共声明:这些可以由使用 JWT 的人随意定义。但是为了避免冲突,它们应该在 IANA JSON Web Token Registry 中定义,或者定义为包含抗冲突命名空间的 URI。私人声明:这些自定义声明是为了在同意使用它们的各方之间共享信息而创建的,这些声明既不是注册声明也不是公开声明。例(不要加入敏感信息):{ "sub": "1234567890", "name": "John Doe", "admin": true }
  3. 第三部分是签名(SIGN),要创建签名部分,您必须获取编码的标头、编码的有效载荷、秘密、标头中指定的算法,并对其进行签名。例:HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
  • 以后用户访问时候,需要携带Token,后端需要对token进行校验
  1. 第一步:获取Token,对Token进行切割
  2. 第二步:对第二段进行base64url解密,并获取payload信息,检验token是否已经超时
  3. 第三步:把1,2,部分拼接,再次执行Heade中的加密算法加密,并与签名进行判断,相等即认证通过。

2.1 JWT 认证实现

pip install pyjwt
  • 由于不需要数据库保存,做出如下方式修改即可。
from rest_framework.views import APIView
from rest_framework.response import Response
from user.models import UserInfo
import uuid
from django.conf import settings

class LoginView(APIView):
    """用户登录"""
    def post(self,request,*args,**kwargs):
        user = request.data.get('username')
        pwd = request.data.get('password')
        user_obj = UserInfo.objects.filter(username=user,password=pwd).first()
        if not user_obj:
            return Response({'code':401,'error':'用户名或密码错误'})
        import jwt
        import datetime
        salt = settings.SECRET_KEY
        # 构造Header,默认如下
        headers = {
            'typ':'jwt',
            'alg':'HS256'
        }
        # 构造Payload
        payload = {
            'user_id':user_obj.pk,#自定义用户ID
            'username':user_obj.username,#自定义用户名
            'exp':datetime.datetime.utcnow()+datetime.timedelta(minutes=1),# 设置超时时间,1min
        }
        jwt_token = jwt.encode(headers=headers,payload=payload,key=salt,algorithm='HS256')
        return Response({'code':200,'token':jwt_token})
# {"username":"admin","password":"admin123"}
class IndexView(APIView):
    def get(self,request,*args,**kwargs):
        token = request.query_params.get('token')
        if not token:
            return Response({"code":401,"error":"登录成功后才能访问"})
        # 切割
        # 解密payload,判断是否过期
        # 验证第三段的合法性
        import jwt
        salt = settings.SECRET_KEY
        error = ""
        try:
            # 从token中获取payload【不校验合法性】
            # unverified_payload = jwt.decode(token, None, False)
            # print(unverified_payload)
            # 从token中获取payload【校验合法性】
            payload = jwt.decode(jwt=token, key=salt, algorithms=["HS256"])
            print(payload)
            return Response(f"已登录成功,欢迎!")
        except jwt.ExpiredSignatureError:
            error = "token已失效"
            return Response({"code": 401, "error": error})
        except jwt.DecodeError:
            error = "token认证失败"
            return Response({"code": 401, "error": error})
        except jwt.InvalidTokenError:
            error = "非法token"
            return Response({"code": 401, "error": error})

2.2 JWT 结合 BaseAuthentication 使用

  • 新建一个文件用于识别是否认证的功能模块
# user/extensions/jwt_authenticate.py
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from django.conf import settings
class JWTQueryParamsAuthentication(BaseAuthentication):
    def authenticate(self, request):
        token = request.query_params.get('token')
        print(token)
        if not token:
            raise AuthenticationFailed({"code": 401, "error": "登录成功后才能访问"})
        # 切割
        # 解密payload,判断是否过期
        # 验证第三段的合法性
        import jwt
        salt = settings.SECRET_KEY
        try:
            # 从token中获取payload【不校验合法性】
            # unverified_payload = jwt.decode(token, None, False)
            # print(unverified_payload)
            # 从token中获取payload【校验合法性】
            payload = jwt.decode(jwt=token, key=salt, algorithms=["HS256"])
            print(payload)
            return (payload,token)
        except jwt.exceptions.ExpiredSignatureError:
            error = "token已失效"
            raise AuthenticationFailed({"code": 401, "error": error})
        except jwt.exceptions.DecodeError:
            error = "token已认证失败"
            raise AuthenticationFailed({"code": 401, "error": error})
        except jwt.exceptions.InvalidTokenError:
            error = "非法的token"
            raise AuthenticationFailed({"code": 401, "error": error})
        """ 三种操作
        1. 抛出异常,后续不在执行
        2. return 一个元组(1,2)认证通过,
        在视图中调用request.user就是元组的第一个值;
        另外一个就是request.auth
        3.None 
        """
  • 新建一个文件用于存储Token的功能模块
# user/utils/jwt_create_token.py
import jwt
from django.conf import settings

def create_token(payload):
    salt = settings.SECRET_KEY
    # 构造Header,默认如下
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    jwt_token = jwt.encode(headers=headers, payload=payload, key=salt, algorithm='HS256')
    return jwt_token
  • 添加全局认证
# settings.py
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': ['user.extensions.jwt_authenticate.JWTQueryParamsAuthentication',],
}
  • 修改views.py文件
from rest_framework.views import APIView
from rest_framework.response import Response
from user.models import UserInfo
import datetime
from user.utils.jwt_create_token import create_token
from user.extensions.jwt_authenticate import JWTQueryParamsAuthentication

class LoginView(APIView):
    """用户登录"""
    authentication_classes = [] # 取消全局认证
    def post(self,request,*args,**kwargs):
        user = request.data.get('username')
        pwd = request.data.get('password')
        user_obj = UserInfo.objects.filter(username=user,password=pwd).first()
        if not user_obj:
            return Response({'code':401,'error':'用户名或密码错误'})
        payload = {
            'user_id':user_obj.pk,#自定义用户ID
            'username':user_obj.username,#自定义用户名
            'exp':datetime.datetime.utcnow()+datetime.timedelta(minutes=1),# 设置超时时间,1min
        }
        jwt_token = create_token(payload=payload)
        return Response({'code':200,'token':jwt_token})

# {"username":"admin","password":"admin123"}
class IndexView(APIView):
		# 局部认证
    # authentication_classes = [JWTQueryParamsAuthentication,]
    def get(self,request,*args,**kwargs):
        return Response("可以了")

三、DRF中使用djangorestframework-jwt

3.1 djangorestframework-jwt 使用流程

  • 安装djangorestframework-jwt
pip install djangorestframework-jwt
  • 更改settings中的配置文件
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES":(
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',   
        # 全局设置的方法,也可在单个视图中设置,如同之前编写的
    ) 
}



# 设置JWT参数(如过期时间):
import datetime

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300), # 设置JWT Token的有效时间
    'JWT_AUTH_HEADER_PREFIX': 'JWT',  # 设置在请求头中的前缀,之前是通过请求体来做的,这里有所区别 
}
  • 配置路由
from rest_framework_jwt.views import obtain_jwt_token
# urlpatterns中
path('login/', obtain_jwt_token),  # jwt的认证接口(路径可自定义任意命名)
  • 配合权限进行使用
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": [
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',  # 全局设置的方法,也可在单个视图中设置
    ],
    'DEFAULT_PERMISSION_CLASSES': [
        # IsAuthenticated 仅通过认证的用户
        'rest_framework.permissions.IsAuthenticated'
    ]
}

在这里插入图片描述
在这里插入图片描述

3.2 使用扩展 Django 中的用户模型

3.3 自定义认证成功返回字段

# user/utils/my_response_payload.py
def jwt_response_payload_handler(token, user=None, request=None):
    """
    自定义jwt认证成功返回数据
    """
    return {
        'token': token,
        'user_id': user.id,
        'username': user.username
    }
# settings.py 
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=60*5),  # 设置JWT Token的有效时间
    'JWT_AUTH_HEADER_PREFIX': 'JWT',  # 设置 请求头中的前缀
    'JWT_RESPONSE_PAYLOAD_HANDLER':'user.utils.my_payload_response.jwt_response_payload_handler',
}
  • 10
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
首先,需要安装 `djangorestframework` 和 `djangorestframework-jwt` 库: ``` pip install djangorestframework pip install djangorestframework-jwt ``` 然后在 Django 项目的 `settings.py` 文件添加以下配置: ```python INSTALLED_APPS = [ # ... 'rest_framework', 'rest_framework.authtoken', 'rest_framework_jwt', # ... ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } JWT_AUTH = { 'JWT_SECRET_KEY': 'your-secret-key', 'JWT_ALGORITHM': 'HS256', 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_AUTH_HEADER_PREFIX': 'Bearer', } ``` 其,`JWT_SECRET_KEY` 是一个随机字符串,用于加密生成 JWT token。 接下来,在 Django 项目的 `urls.py` 文件添加以下代码: ```python from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token urlpatterns = [ # ... path('api-token-auth/', obtain_jwt_token), path('api-token-refresh/', refresh_jwt_token), path('api-token-verify/', verify_jwt_token), # ... ] ``` 这里添加了三个路由,用于获取、刷新、验证 JWT token。 最后,为需要登录认证的接口添加装饰器,例如: ```python from rest_framework.decorators import api_view, permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) def my_view(request): content = {'message': 'Hello, World!'} return Response(content) ``` 这里使用了 `@permission_classes([IsAuthenticated])` 装饰器,表示只有通过 JWT token 认证的用户才能访问该接口。 至此,我们完成了 Django DRF 框架的 JWT 登录认证接口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

而又何羡乎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值