访问网址 token的格式_Django使用Pyjwt、restframework、restframeworkjwt 生成token

最新推荐文章于 2024-03-14 15:07:55 发布
最新推荐文章于 2024-03-14 15:07:55 发布
阅读量221 收藏 1
点赞数
文章标签: 访问网址 token的格式

Token

在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url 时,将token放到请求头中就可以直接访问,不用再登录。

token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。

注意事项

需要有一定的django基础,如果一点基础都没有,不建议查看。

使用PyJWT生成token

首先安装pyjwt包

pip install pyjwt

创建Pyjwt_demo项目,在settings.py文件中关闭 csrf 防护。

 # 'django.middleware.csrf.CsrfViewMiddleware',
前期工作
创建 account app
python manage.py startapp account
自定义 User 模型
from datetime import datetime, timedeltaimport jwtfrom django.conf import settingsfrom django.contrib.auth.models import AbstractBaseUser,PermissionsMixin,BaseUserManagerfrom shortuuidfield import ShortUUIDFieldfrom django.db import modelsclass UserManager(BaseUserManager):    def _create_user(self,username,password,**kwargs):        if not username:            raise ValueError('请传入用户名!')        if not password:            raise ValueError('请传入密码!')        user = self.model(username=username,**kwargs)        user.set_password(password)        user.save()        return user    def create_user(self,username,password,**kwargs):        kwargs['is_superuser'] = False        return self._create_user(username,password,**kwargs)    def create_superuser(self,username,password,**kwargs):        kwargs['is_superuser'] = True        kwargs['is_staff'] = True        return self._create_user(username,password,**kwargs)class User(AbstractBaseUser,PermissionsMixin):    email = models.EmailField(unique=True,null=True)    username = models.CharField(max_length=100, unique=True)    is_active = models.BooleanField(default=True)    is_staff = models.BooleanField(default=False)    data_joined = models.DateTimeField(auto_now_add=True)    USERNAME_FIELD = 'username'    objects = UserManager()    def get_full_name(self):        return self.username    def get_short_name(self):        return self.username    # 此处是用户模型中生成token的方法    @property    def token(self):        return self._generate_jwt_token()    def _generate_jwt_token(self):        token = jwt.encode({            'exp': datetime.utcnow() + timedelta(days=1),# 这个地方设置token的过期时间。            'iat': datetime.utcnow(),            'data': {                'username': self.username            }        }, settings.SECRET_KEY, algorithm='HS256')        return token.decode('utf-8')
注册模型

在setting.py中添加

AUTH_USER_MODEL = 'account.User'
模型迁移生成超级用户
python manage.py makemigrationspython manage.py migratepython manage.py createsuperuser

编写工具类

我们在这里编写两个工具类,一个是我们返回接口的规范,一个是我们在视图函数中验证token是否符合要求的函数。
在account目录下新建一个utils.py 文件。

import jwtfrom django.conf import settingsfrom django.http import JsonResponsefrom django.contrib.auth import get_user_modelfrom django.core.exceptions import PermissionDeniedUserModel = get_user_model()def auth_permission_required(perm):    def decorator(view_func):        def _wrapped_view(request, *args, **kwargs):            # 格式化权限            perms = (perm,) if isinstance(perm, str) else perm            if request.user.is_authenticated:                # 正常登录用户判断是否有权限                if not request.user.has_perms(perms):                    raise PermissionDenied            else:                try:                    auth = request.META.get('HTTP_AUTHORIZATION').split()                except AttributeError:                    return result(401,"No authenticate header")                # 用户通过 API 获取数据验证流程                if auth[0].lower() == 'token':                    try:                        dict = jwt.decode(auth[1], settings.SECRET_KEY, algorithms=['HS256'])                        username = dict.get('data').get('username')                    except jwt.ExpiredSignatureError:                        return result(401,"Token expired")                    except jwt.InvalidTokenError:                        return result(401,"Invalid token")                    except Exception as e:                        return result(401,"Can not get user object")                    try:                        user = UserModel.objects.get(username=username)                    except UserModel.DoesNotExist:                        return result(401,"User Does not exist")                    if not user.is_active:                        return result(401,"User inactive or deleted")                    # Token 登录的用户判断是否有权限                    if not user.has_perms(perms):                        return result(401,"PermissionDenied")                else:                    return result(401,"Not support auth type")            return view_func(request, *args, **kwargs)        return _wrapped_view    return decorator# 接口规范 code  message=""  data:{}def result(code=200,message="",data=None,kwargs=None):    json_dict = {"code":code,"message":message,"data":data}    if kwargs and isinstance(kwargs,dict) and kwargs.keys():        json_dict.update(kwargs)    return JsonResponse(json_dict)

编写视图函数

在views.py中编写一下代码

from django.contrib.auth import authenticatefrom django.contrib.auth.views import loginfrom django.http import JsonResponsefrom django.shortcuts import render# Create your views herefrom .utils import result, auth_permission_requiredfrom django.views.decorators.http import require_POST#登录视图分发token,只要用户名和密码正确就分发token@require_POSTdef user_login(request):    username = request.POST['username']    password = request.POST['password']    user = authenticate(username=username, password=password)    if user is None:        return result(200, "用户名或者密码错误!")    login(request, user)    # 分发token    token = user.token    return result(200,"登录成功", {"token":token})#之前定义的验证函数@auth_permission_required("account.User")def token_test(request):    return result(200,"认证成功")

编写路由

在urls中根据以下代码进行编写视图路由。

from django.contrib import adminfrom django.urls import pathfrom account import viewsurlpatterns = [    path('admin/', admin.site.urls),    path("login/", views.user_login),    path('tokentest/', views.token_test),]

到这里代码编写的任务就完成了,下一步就是测试,我们使用postman来测试。
使用post,填写好用户名和密码就可以获取token。2033c3334691ebeebd95f74ea9714ea8.png
在请求头中添加Authentication信息,值为‘token '+token。c7ce26a6f7cb6cf8e706364e9ec3f7e3.png
如果不加token,就会显示错误。

e8712438177eea1ffe1c8a1b7ac7aab1.png

使用rest-framework生成token

rest-framework是通过生成一张token表的方式来验证token的。
安装rest-framework

pip install djangorestframework

前期工作同上,新建drf_token_demo项目,但是在执行模型迁移之前,我们需要在settings.py中添加如下信息。

INSTALLED_APPS = [    'django.contrib.admin',    'django.contrib.auth',    'django.contrib.contenttypes',    'django.contrib.sessions',    'django.contrib.messages',    'django.contrib.staticfiles',    'account',    'rest_framework.authtoken', # 一定添加上]

工具类

为了统一接口规范,我们还是在account文件夹下新建utils.py文件

from django.http import JsonResponsedef result(code=200,message="",data=None,kwargs=None):    json_dict = {"code":code,"message":message,"data":data}    if kwargs and isinstance(kwargs,dict) and kwargs.keys():        json_dict.update(kwargs)    return JsonResponse(json_dict)

编写视图函数

from django.contrib.auth import authenticatefrom django.contrib.auth.views import loginfrom django.shortcuts import render# Create your views here.from django.views.decorators.http import require_POSTfrom rest_framework.authentication import TokenAuthenticationfrom rest_framework.authtoken.models import Tokenfrom rest_framework.decorators import api_view, authentication_classes, permission_classesfrom rest_framework.permissions import IsAuthenticated#登录并返回token@require_POSTdef user_login(request):    username = request.POST['username']    password = request.POST['password']    user = authenticate(username=username, password=password)    if user is None:        return result(200, "用户名或者密码错误!")    login(request, user)  #把之前已经产生的token删除掉,在添加新的token    token = Token.objects.filter(user=user)    token.delete()    token = Token.objects.create(user=user).key    return result(200,"登录成功", {"token":token})#这个地方authentication_classes((TokenAuthentication,))是用来验证token是否正确,@permission_classes((IsAuthenticated,))是用来添加权限,只有被认证的用户才能访问,api_view是限制访问的方式。@api_view(['GET'])@permission_classes((IsAuthenticated,))@authentication_classes((TokenAuthentication,))def token_test(request):    return result(200,"认证成功")

编写路由

from django.contrib import adminfrom django.urls import pathfrom account import viewsurlpatterns = [    path('admin/', admin.site.urls),    path('login/', views.user_login),    path('tokentest/', views.token_test),]

使用和上面相同的方法测试即可,可能生成的token看起来不一样,这个无所谓,注意这个地方还是在token前加上’token ‘的前缀。39c2404f88de43a4a9519ada458d14d8.png

token过期问题

在这个地方我们发现没有给token设置期限,这是个很严重的问题,通过缺少自定义化,我们可以通过使用自定义的验证方法实现。
在utils.py中添加如下代码,注意在设置里面设置了时区 USE_TZ = False,如果使用utc这里需要改变。

import jwtfrom django.conf import settingsfrom django.http import JsonResponsefrom django.contrib.auth import get_user_modelfrom django.core.exceptions import PermissionDeniedclass ExpiringTokenAuthentication(BaseAuthentication):    model = Token    def authenticate(self, request):        auth = get_authorization_header(request)        if not auth:            return None        try:            token = auth.decode().split()[-1]            print(token)        except UnicodeError:            msg = ugettext_lazy("无效的Token, Token头不应包含无效字符")            raise exceptions.AuthenticationFailed(msg)        return self.authenticate_credentials(token)    def authenticate_credentials(self, key):        # 尝试从缓存获取用户信息(设置中配置了缓存的可以添加,不加也不影响正常功能)        token_cache = 'token_' + key        cache_user = cache.get(token_cache)        if cache_user:            return cache_user, cache_user  # 这里需要返回一个列表或元组,原因不详        # 缓存获取到此为止        # 下面开始获取请求信息进行验证        try:            token = self.model.objects.get(key=key)        except self.model.DoesNotExist:            raise exceptions.AuthenticationFailed("认证失败")        if not token.user.is_active:            raise exceptions.AuthenticationFailed("用户被禁用")        # Token有效期时间判断(注意时间时区问题)        # 我在设置里面设置了时区 USE_TZ = False,如果使用utc这里需要改变。        if (datetime.datetime.now() - token.created) > datetime.timedelta(seconds=60):            raise exceptions.AuthenticationFailed('认证信息已过期')        # 加入缓存增加查询速度,下面和上面是配套的,上面没有从缓存中读取,这里就不用保存到缓存中了        if token:            token_cache = 'token_' + key            cache.set(token_cache, token.user, 600)        # 返回用户信息        return token.user, token    def authenticate_header(self, request):        return 'Token'

修改views.py, 添加如下代码。

@api_view(['GET'])@permission_classes((IsAuthenticated,))@authentication_classes((ExpiringTokenAuthentication,)) #这是我们自己定义的验证类,需要将其导入进来def token_test_timestamp(request):    return result(200,"期限token认证成功")

url 里新加一条:

path('tokenteststamp/', views.token_test_timestamp),

访问这个 url 便可以验证token是否过期。

使用django-rest-framework-jwt生成token

我们使用jwt有什么好处呢,目前看来它可以配置token过期时间。

pip install djangorestframework-jwt

前期工作同上,新建drf_jwt_token_demo项目,但是在执行模型迁移之前,我们需要在settings.py中添加如下信息。

INSTALLED_APPS = [    'django.contrib.admin',    'django.contrib.auth',    'django.contrib.contenttypes',    'django.contrib.sessions',    'django.contrib.messages',    'django.contrib.staticfiles',    'account',    'rest_framework-jwt', # 一定添加上]

同样新建utils.py,这里不再赘述。

编写视图函数

我们在这个地方使用api_settings来生成token,官方文档有自己自定义的方法,可以自行查看。

from django.contrib.auth import authenticate, loginfrom django.http import JsonResponsefrom django.shortcuts import renderfrom rest_framework.decorators import permission_classes, authentication_classes, api_viewfrom rest_framework.permissions import IsAuthenticatedfrom rest_framework_jwt.authentication import JSONWebTokenAuthenticationfrom rest_framework_jwt.settings import api_settings# Create your views here.from account.utils import resultdef user_login(request):    username = request.POST['username']    password = request.POST['password']    user = authenticate(username=username, password=password)    if user is None:        return result(200, "用户名或者密码错误!")    login(request, user)    jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER    jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER    payload = jwt_payload_handler(user)    token = jwt_encode_handler(payload)    return JsonResponse({"code":200, "token": token})@api_view(["GET",])@permission_classes((IsAuthenticated,))@authentication_classes((JSONWebTokenAuthentication,))# 这里使用JSONWebTokenAuthentication来验证def token_test(request):    return JsonResponse({"code":200,"message":"successful"})

在settings.py中加入以设置过期时间

JWT_AUTH = {    # 设置token有效期时间    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=60 * 60 * 2)}

编写路由

from django.contrib import adminfrom django.urls import pathfrom account import viewsurlpatterns = [    path('admin/', admin.site.urls),    path('login/', views.user_login),    path('tokentest/', views.token_test),]

接下来就是验证啦,这里一切同上面验证的方法一致,但是这个地方我们生成的token是JWT类型的,所以token的前缀不再是’token ‘,而是JWT。de169f6ef988371e5a1d915c3c7b1f15.png
你可能会问,这个地方我们能不能像第二种一样自定义验证类呢?完全可以,你可以把第二种里的验证类直接放到这里来使用,但是这个时候就要注意token前缀不再是’JWT‘,而是原来的’token ‘。可以自行验证。

在本篇博文编写过程中参考了以下文章:
Django+JWT 实现 Token 认证 https://www.v2ex.com/t/530103

Django 用户登录校验以及接口token校验 https://www.jianshu.com/p/410208cd9b1a

适合小白的Django rest_framework Token入门 https://blog.csdn.net/yueguangMaNong/article/details/90519819

历经了三天时间,终于把这个概念和源码搞清楚了,这里提醒大家多看官方说明文档,多思考,坚持就是胜利。如果有问题可以私信我或者向我的邮箱lkzhang98@163.com 发送邮件。欢迎关注我的微信公众号Pkill,之后有很多技术文章推送。

weixin_39639049
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django-csrf使用和禁用方式
12-20
orm表单使用csrf a. 基本应用 form表单中添加 {% csrf_token %} b. 全站禁用 # ‘django.middleware.csrf.CsrfViewMiddleware’, c. 局部禁用 'django.middleware.csrf.CsrfViewMiddleware', from django.views.decorators.csrf import csrf_exempt @csrf_exempt def csrf1(request): if request.method == 'GET': return
django避免csrf_token验证
ZCR73的博客
05-18 421
将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件中对单个函数关闭csrf_token验证。首先import关闭csrf_token验证的函数。
Django使用PyJWT实现登录及验证功能
最新发布
分享一点有用的知识
03-14 690
配置OnlyLoginCanView类视图的url后在请求时在Headers里需要添加参数名为。将decorator_login_require装饰器装饰在类视图的post方法上。在登录成功后会返回一个token。值登录,否则不能访问该视图。用于验证用户是否登录成功。
Django取消CSRF限制
Tomonkey的专栏
06-04 1872
在前后端分离的时候,前端请求时接口中请求头没有CSRF token,然后就报错了 Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For
django如何阻止CSRF的使用
Colinspace
11-23 922
CSRF 是指跨站请求伪造,跨站请求伪造的问题在于,服务器信任来自客户端的数据如果没有 CSRF 面临的风险是:跨站请求伪造是指攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。
彻底关闭django的csrf认证
m0_52513940的博客
01-01 458
将该文件插入settings.py
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
前后端分离,使用redis存储用户token实现登录才可以调用的接口
rest-framework生成token
08-03
使用rest-frameworkdjango中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以...
Token_Based_Authentication_using_Django-Rest_Api-:Token_Based_Authentication_using_DjangoRest_Api)
02-13
Token_Based_Authentication_using_DjangoRest_Api) 使用Django Rest Framework和mysql创建用于登录,注册,查看配置文件,编辑配置文件和删除配置文件的用户的Api 1.注册用户将在其中注册这些数据的地方 姓名 ...
自定义Django_rest_framework_jwt登陆错误返回的解决
12-16
使用Django做前端后端项目时,登陆认证方法往往使用的是jwt_token,但是想自定义登陆成功和失败的返回体。 1.当用户名和密码正确就会生成token,返回response是调用的是JWT_RESPONSE_PAYLOAD_HANDLER,如果想自定义...
Django Rest framework之权限的实现示例
01-01
在阅读本文之前请先参考django rest framework 之 认证 中关于 django rest framework 的相关内容及实例 1、目录结构 为了更好的管理各个功能组件,在django rest framework 之 认证 中我们说到可以将认证类单独的拿...
django 取消csrf限制的实例
01-20
# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return HttpResponse('123') 补充知识:Django 前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题 获取CSRFTOKEN Django的中间件’django.middleware.c
django 取消csrf限制
chen1042246612的博客
01-24 3112
# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return Htt...
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用
django rest framework jwt使用django user来生成和认证token的方法
feng3615的博客
06-15 8851
简单介绍一下jwt Json Web TokenJWTJWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小...
django-restful中去掉csrf验证
chenGL
11-27 671
使用django-restful时候,想取消掉csrf的验证,单独引入django的@csrf_exempt发现不起作用,原因是django-restful 的Token中间件会再次启用csrf 自己写一个中间件,取消django-restful的csrf验证 from django.utils.deprecation import MiddlewareMixin class Disable...
Django Rest Framework关闭CSRF验证
denglinglin2653的博客
07-24 1262
detail": "CSRF Failed: CSRF cookie not set 如果你使用DRF出现了上面的报错,而试过网上所说的注释掉setting里面的CSRF中间件,依然无效的话,尝试一下下面的方法。 SessionAuthenticationDRF使用的默认方案。DRFSessionAuthentication使用Django的会话框架进行身份验证,需要检查CS...
django-rest-frameworktoken认证取消csrf
smartwu_sir的博客
04-25 3645
django-rest-frameworktoken认证取消csrf 1. 有的django-rest-framework 是强制进行csrf的,有的不是,有的是,具体不清楚 2. 可以写个中间键把这个强制csrf去掉 from django.utils.deprecation import MiddlewareMixin class DisableCSRFCheck(Middle...
微信小程序python token验证_Django实现微信小程序的登录验证功能并维护登录态
06-09
5. 将获取到的session_key和openid存储到Django的数据库中,并生成一个自定义的token作为登录态。 6. 将自定义的token发送给小程序前端,并在小程序前端中将token存储到本地。 7. 在小程序前端的每个API请求中,都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值