vue 参数加密_Vue+DRF实战10.JWT用户认证原理、用户注册功能实现

最新推荐文章于 2024-01-11 00:11:16 发布
最新推荐文章于 2024-01-11 00:11:16 发布
阅读量434 收藏 2
点赞数
文章标签: vue 参数加密
本文介绍了JWT在Django REST framework中的应用,包括全局认证的配置、部分接口权限校验、JWT原理、自定义用户认证、序列化器字段验证、用户密码加密、注册后返回token等内容,适合前端后端分离项目的开发者参考。
摘要由CSDN通过智能技术生成

内容提要:

  • JWT用户认证原理和用户注册功能实现。

《Python前后端分离开发Vue+Django REST framework实战》作者bobby

——学习来源

52c9a2a00a97c4f3f66f16eed87fa34d.png

7.2只对部分接口做权限校验

在settings.py中配置了全局的认证后(REST_FRAMEWORK的DEFAULT_AUTHENTICATION_CLASSES),每个接口都会使用全局认证配置。

如果想只针对部分接口进行权限校验,则应该取消全局配置,在需要认证的接口中增加如下设置。


from rest_framework.authentication import TokenAuthentication

class GoodsListViewset(mixins.ListModelMixin,viewsets.GenericViewSet):
    ...省略...
    authentication_classes = (TokenAuthentication,)
    ...省略...
7.3JWT用户认证原理

  • 参考资料:https://www.cnblogs.com/wenqiangit/p/9592132.html

drf的token认证模式有缺点(例如token无过期),通常前后端分离项目采用JWT(Json Web Token)用户认证模式。

传统验证用户登录信息的方式,是由后端根据用户信息生成一个token,保存token和用户id存入数据库或session,把token传给用户,存入浏览器cookie,之后请求带上cookie,后端根据cookie来判断用户权限。缺点如下。

  • js可以操作cookie。

  • 可以被xsrf。

  • 验证信息如果存在数据库中,每次认证查询会加大开销。

Json Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。JWT可以使用HMAC算法或者是RSA的公钥秘钥进行签名。有以下优点。

  • 简洁。

  • 通过URL,POST参数或者HTTP header发送。

  • 自包含。

  • 负载包含了所有用户所需信息,避免了多次查询数据库。

JWT组成 

da92077def8c32e1753bceaf7accb665.png

  • Header头部:包含token类型和采用的加密算法。

  • Payload负载:存放用户的信息,例如iss(签发者)、exp(过期时间)等。

  • Signature签名:根据header的算法,对payload进行签名,生成后的秘钥串会和header和payload放在一起。(服务器判断时会对秘钥串进行解密或者对前面的base进行加密比对,如果不同则表示token是伪造的)

JWT是通过算法进行用户信息的获取,不需要存储到服务器。

JWT用户认证流程 

52e18047d3d45273286ccd190475cdd2.png

7.4django-rest-framework使用JWT

使用github上第三方库djangorestframework-jwt实现DRF的JWT。

  1. 安装djangorestframework-jwt。

    pip install djagnorestframework-jwt -i https://pypi.douban.com/simple

  2. 在setting.py中增加jwt配置。

    REST_FRAMEWORK = {
    'DEFAULT_PAGINATION_CLASS': 'rest_framework.pagination.PageNumberPagination',
    'PAGE_SIZE': 2,
    'DEFAULT_AUTHENTICATION_CLASSES': [
    'rest_framework_jwt.authentication.JSONWebTokenAuthentication',  # 取出用户信息放入request.user
        ],
    }

  3. 增加urls配置。

    from rest_framework_jwt.views import obtain_jwt_token
    urlpatterns = [
        url(r'^jwt-auth/', obtain_jwt_token),
    ]

  4. 获取toknen后,放入header即可。

    {'Authorization': 'JWT eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1
    c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNTk2OTQ2MDA1LCJlbWFpbCI6ImFkbWluQGFkbWluLmNvbSJ9
    .uQzIc4Bonar5faWQThKmSTMcDnitiIW0uWh6ziB6tLg'}

其他的常用配置如下(github对应的文档打不开了):

# settings.py
import datetime
JWT_AUTH = {
'JWT_EXPIRATION_DELTA':datetime.timedelta(seconds=300),  # token有效期
# 'JWT_EXPIRATION_DELTA':datetime.timedelta(days=7),
'JWT_AUTH_HEADER_PREFIX': 'JWT',  # 设置header请求时Authorization值的前缀
}
7.5自定义用户认证函数

默认的用户认证(authenticate)使用的是用户名密码验证,如果想自定义方式验证(例如输入的username可以匹配手机号),可以自定义编写一个继承ModelBackend,重写authenticate方法的类。

# users的views.py
from django.contrib.auth.backends import ModelBackend
from django.contrib.auth import get_user_model
from django.db.models import Q

User = get_user_model()
class CustomBackend(ModelBackend):
"""自定义用户认证"""
def authenticate(self, request, username=None, password=None, **kwargs):
try:
            user = User.objects.get(Q(username=username)|Q(mobile=username))
if user.check_password(password):
return user
except Exception as e:
return None

在settings.py中配置authentication_backends属性,指定自定义类为认证时调用的类。

# settings.py
AUTHENTICATION_BACKENDS = (
'users.views.CustomBackend',
)
7.6通过serializers单独验证models某个字段

在之前的serializers中,直接使用了serializers.ModelSerializer,但是验证码模块不适合这样使用。因为验证码模块的mobile和code都是必填,如果用ModelSerializer则会校验这两项(但我们只需求他mobile是必填),所以我们可以改为使用serializers.Serializer。

在serializers.Serializer里,如果想针对某个字段做自定义的校验,可以重写validate_开头的函数。

import re
from datetime import datetime,timedelta
from rest_framework import serializers
from django.contrib.auth import get_user_model
from DRFDemo.settings import REGEX_MOBILE
from .models import VerifyCode

User = get_user_model()

class GoodsCategorySerializer3(serializers.Serializer):
    mobile = serializers.CharField(max_length=11)

def validate_mobile(self,mobile):
if User.objects.fileter(mobile = mobile).count():
raise serializers.ValidationError("用户已经存在")

# settings.py配置的属性REGEX_MOBILE = "^1[358]\d{9}$|^147\d{8}$|^176\d{8}$"
if not re.match(REGEX_MOBILE,mobile):
raise serializers.ValidationError("手机号码非法")

# 验证码发送频率
        one_mintes_ago = datetime.now() - timedelta(hours=0,minutes=1,seconds=0)  # 前一分钟的时间
if VerifyCode.objects.filter(add_time__gt=one_mintes_ago,mobile=mobile):  # 搜索该手机号是否有1分钟内发送验证码的记录
raise serializers.ValidationError("发送验证码间隔小于60秒")

return mobile

在views.py中的serializer验证和froms验证的方式是一样的。

from .serializers import VerifyCode
from .serializers import SmsSerializer
from rest_framework.mixins import CreateModelMixin
from rest_framework import viewsets
from rest_framework.response import Response
from rest_framework import status

class SmsCodeViewset(CreateModelMixin,viewsets.GenericViewSet):
"""发送短信验证码"""
    serializer_class = SmsSerializer
# 重写create
def create(self, request, *args, **kwargs):
        serializer = self.get_serializer(data=request.data)
        serializer.is_valid(raise_exception=True)  # 如果执行抛异常则不往后执行,返回400状态码
        mobile = serializer.validated_data["mobile"]

# 此处就可以编写创建逻辑代码,此处省略。下面为简略实现验证通过后的新增
        code_record = VerifyCode(code=1234,mobile=mobile)
        code_record.save()
return Response({
"status":0,
"mobile":mobile
        },status=status.HTTP_201_CREATED)
7.7serializers字段验证

  • 除了自定义的validate_xxx之外,DRF还提供了validation class,用于提供便捷的字段的验证。

  • 官方文档:https://www.django-rest-framework.org/api-guide/validators/

  • 例如:字段是唯一,如果数据库已经存在则返回错误。

    # serializers.py
    from rest_framework.validator import UniqueValidator
    username = serializers.CharField(required=True,allow_blank=False,validators=[UniqueValidator(queryset=User.objects.all(),message="用户已经存在")])
    # message是错误时返回的提示内容
7.8用户密码加密保存

用户注册时,如果没有做特殊处理,保存的密码也是明文的,这样会导致安全问题。如果想设置把密码加密后保存,可以采用以下两种方法。

方法一:重写create方法

重写create方法,将password加密后在存储。

# serializers.py
from rest_framework import serializers

class UserRegSerializer(serializers.ModelSerializer):
def create(self,validated_data):
        user = super(UserRegSerializer, self).create(validated_data=validated_date)
        user.set_password(validated_date["password"])
        user.save()
return user

方法二:使用信号量。

信号量是指django进行某些操作后(例如model),会发送一个全局信号,该信号可以捕捉,捕捉后加入自己的逻辑处理。

官方文档:https://docs.djangoproject.com/en/2.1/ref/signals/#django.db.models.signals.post_save

用户保存后会发送post_save信号,通过捕获该信号来控制密码保存操作。

  1. 新建signals.py文件。

    from django.db.models.signals import post_save
    from django.dispatch import receiver
    from django.contrib.auth import get_user_model
    User = get_user_model()

    @receiver(post_save,sender=User)  # 指定接收信号,从哪个model传递过来的。
    def create_auth_password(sender,instance=None,created=False,**kwargs):
    # instance代表models的对象,create代表该信号是否为新建操作
    if created:
            password = instance.password
            instance.set_password(password)
            instance.save()

  2. 在apps.py中重写ready函数。

    from django.apps import AppConfig

    class UserConfig(AppConfig):
        name = 'users'

    def ready(self):
    import users.signals
7.9注册后直接返回token

注册后可以让用户输入用户名密码自行登录,也可以直接当做用户已登录(返回首页)。如果需要注册成功后默认是登录状态,则需要在注册成功的接口中返回token(JWT模式)。

from rest_framework import viewsets
from rest_framework.mixins import CreateModelMixin
from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler
from rest_framework.response import Response
from rest_framework import status
from django.contrib.auth import get_user_model

from .serializers import UserRegSerializer

User = get_user_model()
class UserViewset(CreateModelMixin,viewsets.GenericViewSet):
"""用户注册"""
    serializer_class = UserRegSerializer
    queryset = User.objects.all()

def create(self, request, *args, **kwargs):
        serializer = self.get_serializer(data=request.data)
        serializer.is_valid(raise_exception=True)

# 修改下面的内容
        user = self.perform_create(serializer)
# 以下代码需要自行断点和查阅源码后编写,找到jwt如何生成token
        re_dict = serializer.data
        payload = jwt_payload_handler(user)
        re_dict["token"] = jwt_encode_handler(payload)

        headers = self.get_success_headers(serializer.data)
# 返回时使用更新后的数据re_dict
return Response(re_dict, status=status.HTTP_201_CREATED, headers=headers)

def perform_create(self, serializer):
return serializer.save()  # 需要返回user对象
7.10serializers的常用知识

  • self.initial_data:存储了前端传递过来的参数,例如self.initial_data["username"]获取前端传参username。

  • def validate(self,attrs):作用域所有的serializers之上,attrs是所有字段validate_xx处理之后,dict类型的所有参数。用于对所有参数做最后的处理。

    def validate(self,attrs):
    # 将username赋值给mobile
        attrs["mobile"] = attrs["username"]
    # 删除多余字段code
    del attrs["code"]
    return attrs

  • help_text:文档的提示内容。

    code = serializers.CharField(required=True,max_length=4,min_length=4,help_text="验证码")

  • error_messages:对应字段错误时的提示信息。

    code = serializers.CharField(required=True,max_length=4,min_length=4,error_messages={"blank":"请输入验证码",required":"请输入验证码","max_length":"验证码格式错误","min_length":"验证码格式错误"},help_text="验证码")

  • write_only:返回前端时不序列化该字段。

    code = serializers.CharField(required=True,write_only=True,max_length=4,min_length=4,error_messages={"blank":"请输入验证码",required":"请输入验证码","max_length":"验证码格式错误","min_length":"验证码格式错误"},help_text="验证码")
weixin_40003512
关注
【项目实战】一、Spring boot整合JWTVue案例展示用户鉴权
Java 技术专栏,从入门到精通,熟悉企业级开发
06-09 9010
案例整合了Spring boot、Spring Cloud alibaba、Gateway、Nacos discovery、Nacos config、openFeign、JWTVue3、Router、Axios等;通过JWT和登录、查询(带用户信息)接口,验证了上述工具以及鉴权功能
Vue+Django+DRF项目搭建案例
weixin_38169786的博客
07-31 1663
1. Vue+Django+DRF项目搭建案例 1.1 企业的web项目类型 商城 1.1 B2C 直销商城 商家与会员直接交易 ( Business To Customer ) 1.2 B2B 批发商城 商家与商家直接交易 1.3 B2B2C 购物平台 商家和会员在另一个商家提供的平台上面进行交易 1.4 C2B 定制商城 会员向商家发起定制商品的需求,商家去完成。 1.5 O2O...
基于drfjwt认证用户注册实战
zbx2010的专栏
07-21 448
drf TokenAuthentication 认证 settings.py增加: INSTALLED_APPS = [ ... 'rest_framework.authtoken' ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authent
vue使用jwt加密_如何使用Vue和Node构建轻量级发票应用程序:JWT身份验证和发送发票
08-15 807
vue使用jwt加密 介绍 (Introduction) In the previous parts of the series, we looked at how to create the User Interface of our Invoicing Application that allowed users to create and view existing invoices. In...
Vue(TS),Drf 实现 JWT,Token认证
weixin_59959097的博客
01-25 572
前后端分离使用token实现身份认证
DRF-JWT登陆注册以及状态保持
weixin_51575027的博客
09-23 394
使用django的自己用户模块 建⽴model( from django.contrib.auth.models import AbstractUser ) settings指定模型类( AUTH_USER_MODEL ) 迁移⽣成数据库(原来⽣成过这些表的,需要删除所有的表进⾏重新⽣成) 使用DRF-JWT来做登陆注册以及状态保持 下载依赖 pip install djangorestframework-jwt 配置seetings
DRF-JWT认证、权限、限流
XueDaJing030409的博客
06-04 764
主要以 Django+DRF + Vue的开发模式,简单介绍以 jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
django rest framework vue 实现用户登录详解
09-18
### 后端实现用户认证 在Django REST framework实现用户登录,需要在Django的视图(views.py)中编写API接口,通常使用TokenAuthentication或SessionAuthentication这两种认证方式。 #### TokenAuthentication ...
vue的前端生鲜超市项目与drf配套使用.zip
10-21
总的来说,这个项目结合了前后端分离的开发模式,利用Vue.js构建用户体验良好的前端界面,DRF提供强大的API接口,实现了生鲜超市的在线购物功能。这不仅涵盖了前端开发的多个方面,如组件设计、状态管理、路由等,...
drf-SimpleJWT-Vue:模板 Django + DRF + SimpleJWT + Vue.js 项目
08-04
DRF SimpleJWT + Vue.js 应用程序的模板库 最初创建:2020 年 7 月 3 日 TL;DR:SimpleJWT 的 Django 服务器存储库设置。 测试用户: test和 pw test 。 示例存储库 React: Vue: 安卓: iOS: 介绍 此模板存储库专用于生成已设置 SimpleJWT 的 Django + DRF 服务器。 这样做的目的是轻松创建展示 SimpleJWT 的清晰用法的存储库。 如果您不使用像 React 这样的前端框架或某种不使用 Web 浏览器的移动设备,那么请使用会话身份验证。 即,如果您使用带有 Jinja 2 模板标签的纯 HTML,请使用内置的会话身份验证中间件,因为它已被证明是最安全且迄今为止从未被破坏的安全身份验证方法。 注意:这个模板库是从用于 Android 和 iOS 使用。 该示例存储库的许可证是
收藏功能_Vue+DRF实战11.详情页、收藏、drf的权限校验功能实现
weixin_29516131的博客
01-12 372
内容提要:详情页、校验是否为当前用户、配置联合唯一索引、drf的权限校验。《Python前后端分离开发Vue+Django REST framework实战》作者bobby——学习来源第八章商品详情页8.1详情页实现使用mixins.RetrieveModelMixin,就能立即实现商品详情页的功能。如果商品详情的某个字段是外键,具有一对多的关系,则在serializers.py中,替换...
前后端分离项目(springboot+vue+mybatis)-sm对jwt进行加密-2
最新发布
mc_故事与你的博客
01-11 1562
SM2 算法是我国在吸收国际先进成果基础上研发出来的具有自主知识产权的 ECC 算法, 它在安全性和实现效率方面相当于或略优于国 际上同类的 ECC 算法, 能取代 RSA 以满足各种应用对公钥密码算法安全性和实现效率的更高要求, 具有广阔的推广和应用前景。
Django+drf+jwt+vue
hubert39641020的博客
07-04 568
文章目录 1.传统的登录鉴权跟基于 Token 的鉴权有什么区别? 2.drf 使用 jwt 2.1安装 2.2修改setting 2.3添加urls 2.4添加管理员账号 2.5测试 3.vue 使用token 3.1获取token,保存到vuex => store 和localStorage 3.2建立router全局守卫 3.3 添加请求头 3.4当前端拿到状态码为401,就清除token信息,并跳转登录页面 1.传统的登录鉴权跟基于 Token 的鉴权有什么区别? 以 Django 的账号密码登录为
DRF+VUE实现密码与验证码登录
xmt970324的博客
11-11 4049
# 一、用户名+密码+jwt验证实现登录验证 下面是VUE前端登录界面部分代码 <div class="inp" v-if="login_type==0"> <input v-model="username" type="text" placeholder="用户名 / 手机号码" class="user"> <input v-model="password" type="password" name="" class="pwd"
ZUUL+VUE+JWT+JPA加密拦截及封装优化
逆天的博客
10-22 1038
目录1.项目目录2.config2.1 pom2.2 application.yml2.3 live-config-dev.pro[erties2.4 启动类3. eureka3.1 pom3.2 bootstrap.yml3.3 启动类4.pojo4.1 pom4.2 实体类5.teacher5.1 pom5.2 bootstrap.yml5.3 启动类5.4 controller6.user6.1 pom6.2 bootstrap.yml6.3 启动类6.4 com.wo下的包1.client2.dao
DRFJWT 前后端分离Token认证机制
weixin_55164293的博客
08-16 871
在项目开发中,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户看数据,否则,返回一些错误信息。 传统token方式和jwt认证方面有什么差异? 传统token方式 用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到toke...
关于Vuejwt的使用方法和客户端设置token值
mh18810405067的博客
09-15 1684
Vuejwt的使用方法和客户端设置token值
vue---Jwt介绍与使用(vuex)
鑫709的博客
05-19 4407
Jwt介绍 什么是JWT JWT就是上述流程当中token的一种具体实现方式,其全称是JSON Web Token,官网地址:https://jwt.io/ token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端 会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者h
Node+Vue实战用户注册与头像上传实例代码
在本文中,我们将探讨如何使用Node.js和Vue.js技术栈实现一个用户注册系统,同时集成头像上传功能。作者利用了Vue.js的双向数据绑定和前端文件上传能力,结合MongoDB作为后端数据库来存储用户信息。以下是核心知识点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值