权限和jwt(json.web.token)

最新推荐文章于 2024-04-17 12:26:16 发布
最新推荐文章于 2024-04-17 12:26:16 发布
阅读量360 收藏 2
点赞数
分类专栏: Django框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40406241/article/details/96503057
版权

一、权限

权限概念:

在实际开发中,项目中都有后台运营站点,运营站点里面会存在多个管理员,
那么不同的管理员会具备不同的任务和能力,那么要实现这样的管理员功能,那么就需要了解权限机制了。
在开发中, 一般现在流行的权限机制有2种: RBAC[基于角色(分组)的权限认证]和Auth认证[授权认证机制]
我们使用的django框架内部集成的Auth模块实际上就是基于RBAC开发出来的权限认证机制。

  • RBAC: 用户表 | 角色表 | 权限表
  • Auth: 规则表 | 用户表 | 用户明细表

在开发中,实现RBAC权限机制,一般有2种不同的设计方式:分别是3表和5表,django扩展出6表
基于角色的权限访问控制(Role-Based Access Control) 

三表、五表、六表模型如下: 

其实我们通过跨表查询完全能够实现查询,但是跨的表太多,会耗费数据库的资源,影响代码的执行效率,因此需要这种多表关系。  

二、认证的发展(cookie,session,jwt)

基础的cookie认证:

 

 利用集群redis的认证:

jwt认证:

三、jwt

3.1、简介

1、组成: 
header.payload.signature     头.载荷.签名

2、距离:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Im93ZW4iLCJleHAiOjE1NTgzMDM1NDR9.4j5QypLwufjpqoScwUB9LYiuhYcTw1y4dPrvnv7DUyo

3:介绍:

  • header:一般存放如何处理token的方式:加密的算法、是否有签名等,头是固定的。
  • payload:数据的主体部分:用户信息、发行者、过期时间等
  • signature:签名:将header、payload再结合密码盐整体处理一下,以便下次认证。

 3.2、工作原理

1)  jwt = base64(头部).base64(载荷).hash256(base64(头部).base(载荷).密钥)
2)  base64是可逆的算法、hash256是不可逆的算法
3)  密钥是固定的字符串,保存在服务器(django的在配置文件中,有一个SCRECT_KEY)

 3.3、drf-jwt

官网:https://github.com/jpadilla/django-rest-framework-jwt

安装:pip install djangorestframework-jwt

使用:

from django.urls import path
# 返回token
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    path('login/', obtain_jwt_token),
]

我在路由里配了这个,jwt就会签发token。可以用postman测试接口。

上面只是自己返回了一个token,如果我们想按照restful规范,那就需要自定义返回的接口数据,需要重写jwt_response_payload_handler()方法

首先在配置文件中配置,自定义认证结果就是你的认证方法所在的文件:

import datetime
JWT_AUTH = {
    # 过期时间
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    # 自定义认证结果:见下方序列化user和自定义response
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'user.utils.jwt_response_payload_handler',  
}

 在返回数据时,需要序列化数据:

from rest_framework import serializers
from .models import User
class UserModelSerializer(serializers.ModelSerializer):
    """用户信息序列化器"""
    class Meta:
        model = User
        fields = ["username", "mobile"]

再来看自定义签发token的返回结果:

from .serializers import UserModelSerializer
# rest_framework_jwt中的jwt_response_payload_handler用于返回token的,我们可以重写这个方法自定义序列化返回的信息
def jwt_response_payload_handler(token, user=None, request=None):
    return {
        'token': token,
        # 序列化后的数据
        'user': UserModelSerializer(user).data
    }
    # restful 规范
    # return {
    #     'status': 0,
    #     'msg': 'OK',
    #     'data': {
    #         'token': token,
    #         'username': user.username
    #     }
    # }

现在已经可以返回token了,我们的某些功能需要登录后才能访问,那么就该做一个登录的认证。当用户访问的时候,判断用户的token是否有,是否合法,是否过期等。

# 由于源码的认证有缺陷,因此需要我们自定义
# -*- coding: utf-8 -*-
# @Author  : Sunhaojie
# @Time    : 2019/7/18 20:51
import jwt
from rest_framework_jwt.settings import api_settings
from rest_framework.exceptions import AuthenticationFailed
from rest_framework_jwt.authentication import jwt_decode_handler
from rest_framework_jwt.authentication import get_authorization_header
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication

class JSONWebTokenAuthentication(BaseJSONWebTokenAuthentication):
    def authenticate(self, request):
        # 采用drf获取token字段  HTTP_AUTHORIZATION - Authorization
        token = get_authorization_header(request)
        # 自定义从请求头的某个字段得到认证的token
        # token = request.META.get('HTTP_TOKEN', b'')
        if not token:
            raise AuthenticationFailed('Authorization字段是必需的')
        # 可以添加反爬措施,原功能是token有前缀
        jwt_value_list = token.split()
        if len(jwt_value_list) != 2:
            raise AuthenticationFailed('传值长了或短了')
        # JWT_AUTH_HEADER_PREFIX在dev.py中配置了,所以找自己的
        if jwt_value_list[0].lower().decode() != api_settings.JWT_AUTH_HEADER_PREFIX.lower():
            raise AuthenticationFailed('没头,认证失败')
        token = jwt_value_list[1]
        # drf-jwt认证校验算法
        try:
            payload = jwt_decode_handler(token)
        except jwt.ExpiredSignature:
            raise AuthenticationFailed('签名过期,认证失败')
        except jwt.InvalidTokenError:
            raise AuthenticationFailed('非法用户')
        user = self.authenticate_credentials(payload)
        # 将认证结果丢给该drf:通过认证的request.user拿到用户对象,request.auth拿到token,是bytes类型
        return user, token

 在配置文件可以配置全局启用;

REST_FRAMEWORK = {
    # 认证模块
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'user.authentications.JSONWebTokenAuthentication',
    ),
}

在要访问的视图类可以局部启用或禁用:

# 局部禁用
authentication_classes = []

# 局部启用
from user.authentications import JSONWebTokenAuthentication
authentication_classes = [JSONWebTokenAuthentication]

有些时候,我们会有用户名,邮箱,手机号登录的需求。可以使用正则匹配,继承ModelBackend类,重写authenticate方法,在内部返回user,交给前面的jwt去签发token

# 有时候需要 用户名/邮箱/电话号码 都可以登录,就该用正则进行匹配
from django.contrib.auth.backends import ModelBackend
from .models import User
import re
class JWTModelBackend(ModelBackend):
    def authenticate(self, request, username=None, password=None, **kwargs):
        """
        :param request:
        :param username: 前台传入的用户名
        :param password: 前台传入的密码
        :param kwargs:
        :return:
        """
        try:
            if re.match(r'^1[3-9]\d{9}$', username):
                user = User.objects.get(mobile=username)
            elif re.match(r'.*@.*', username):
                user = User.objects.get(email=username)
            else:
                user = User.objects.get(username=username)
        except User.DoesNotExist:
            return None  # 认证失败就返回None即可,jwt就无法删除token
        # 用户存在,密码校验通过,是活着的用户 is_active字段为1
        if user and user.check_password(password) and self.user_can_authenticate(user):
            return user  # 认证通过返回用户,交给jwt生成token

将我们的文件位置配置到settings配置文件中:

AUTHENTICATION_BACKENDS = ['user.utils.JWTModelBackend']

 

BigMasterSun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT安装配置
zzzjin_的博客
10-06 410
文章目录1. JWT安装配置1.1安装JWT1.2 `syl/settings.py`配置jwt载荷中的有效期设置1.3 `syl/settings.py` JWT结合DRF进行认证权限配置1.4 `user/urls.py` 增加获取token接口和刷新token接口1.5 在user/utils.py 中从写jwt_response_payload_handler2. postman 测试接口2.1 测试登录接口,获取token2.2 使用获得的token获取所有用户信息3. 源码分析 1. 登录接口
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
为Django REST framework打造的一个开箱即用的RBAC(基于角色的权限管理)系统.zip
01-21
管理系统是一种通过计算机技术实现的用于组织、监控和控制各种活动的软件系统。这些系统通常被设计用来提高效率、减少错误、加强安全性,同时提供数据和信息支持。以下是一些常见类型的管理系统: 学校管理系统: 用于学校或教育机构的学生信息、教职员工信息、课程管理、成绩记录、考勤管理等。学校管理系统帮助提高学校的组织效率和信息管理水平。 人力资源管理系统(HRM): 用于处理组织内的人事信息,包括员工招聘、培训记录、薪资管理、绩效评估等。HRM系统有助于企业更有效地管理人力资源,提高员工的工作效率和满意度。 库存管理系统: 用于追踪和管理商品或原材料的库存。这种系统可以帮助企业避免库存过剩或不足的问题,提高供应链的效率。 客户关系管理系统(CRM): 用于管理与客户之间的关系,包括客户信息、沟通记录、销售机会跟踪等。CRM系统有助于企业更好地理解客户需求,提高客户满意度和保留率。 医院管理系统: 用于管理医院或医疗机构的患者信息、医生排班、药品库存等。这种系统可以提高医疗服务的质量和效率。 财务管理系统: 用于记录和管理组织的财务信息,包括会计凭证、财务报表、预算管理等。财务管理系统
JwtJson web token)——使用token权限验证方法 & 用户+角色
最新发布
2401_84267735的博客
04-17 1045
PrivsCheck.java文件/*** 定义注解*/
springboot项目集成JWT实现身份认证(权鉴)
dhklsl的专栏
04-11 1875
springboot集成JWT实现身份认证
SpringSecurity+JWT前后端分离[上]
私信可回答各种问题~
07-29 806
SpringSecurity+JWT前后端分离
认识JWT
justlpf的专栏
05-29 163
参考文章:认识JWT 1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authori...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWTJSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
JWT(Json Web Token)Java实现jar
04-18
JSON Web TokenJWT)是一种广泛使用的轻量级身份验证和授权机制,主要应用于Web应用程序和服务之间的安全通信。JWT通过在客户端和服务器之间传递令牌来携带信息,这些信息经过签名,可以确保数据的完整性和不可...
web api JWT token认证
04-24
"JWTToken.sln"可能是一个Visual Studio解决方案文件,包含了整个项目的配置和依赖。"packages"文件夹可能包含了项目所需的NuGet包,比如JWT相关的库。"Web"可能是Web API项目的主要源代码,其中可能有Startup.cs...
jwt_token_test.zip
05-21
Java Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于移动应用与服务器之间的交互。JWT允许在用户身份验证后将权限信息安全地编码为一个字符串,并在客户端和服务端之间传递,无需存储session信息在...
只需两步就能实现JWT认证
ares_beyong的博客
04-04 855
使用 djangorestframework-jwt 不需要定义视图函数吗? 一般情况下,DRF-JWT在登陆功能中应用最为广泛。而登陆视图的功能就是生成签证token ,然后将其返回给前端。 而生成签证token的事情,已有 djangorestframewo
jwt权限控制
weixin_42492790的博客
04-29 3297
权限管理 token 支持跨域访问 无状态 更适用CDN 去耦合 更适合移动应用 CRSF跨域伪造 性能 不需要登录页面做特殊处理 基于标准化 JSON Web Token(简称JWT)。 jwt JSON Web Token是一个非常轻巧的规范。这个规范允许我们是用jwt在用户和服务器之间传递安全可靠的信息。 token创建 1.导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4157
关于spring security整合jwt实现前后端权限认证和授权管理
无懈可击的身份验证:深入了解JWT的工作原理
todoitbo的博客
11-29 1415
本篇博客将带你深入研究JSON Web TokenJWT),这是一项用于身份验证和信息传递的强大工具。从基础概念到实际应用,你将了解JWT的工作原理、安全性,以及在现代Web应用中的广泛应用。
十一、Django REST framework自定义使用RBAC权限
光明小学王小雨的博客
01-04 2802
参考,主要参考第一个链接的,然后根据自己的场景做了些改动 drf_admin(权限RBAC)后台管理系统(RBAC权限篇) Django实战【六】—权限管理系统rbac组件实现 CRM【第一篇】: 权限组件之权限控制 一、流程 根据需求,创建不同角色,例如:admin、visitor 依据角色,给不同的角色分配不同的权限 根据用户的岗位及职责分配角色,使不同用户具有不同的权限 用户请求后端接口时,验证用户权限,通过则放行,否则返回403 操作数据库 二、数据库表设计 Users用户表 Roles
权限管理与jwt鉴权
骚戴的博客
10-14 972
权限管理与jwt鉴权
权限验证-JWT认证
Hello_super的博客
06-11 1129
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
jwt.getPayload
02-01
在CSDN开发的"C知道"中,jwt.getPayload是一个用于获取JWTJSON Web Token)的负载部分的方法。JWT是一种用于在网络应用之间传递信息的安全方式,它由三部分组成:头部、负载和签名。 负载部分包含了JWT的实际数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值