一、JWT认证:
1、本质:
定义:在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。
本质: 签发和校验
签发:根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token
"""
1)jwt分三段式:头.体.签名 (head.payload.sgin)
2)头和体是可逆加密,让服务器可以反解出user对象;签名是不可逆加密,保证整个token的安全性的
3)头体签名三部分,都是采用json格式的字符串,进行加密,可逆加密一般采用base64算法,不可逆加密一般采用hash(md5)算法
4)头中的内容是基本信息:公司信息、项目组信息、token采用的加密方式信息
{
"company": "公司信息",
...
}
5)体中的内容是关键信息:用户主键、用户名、签发时客户端信息(设备号、地址)、过期时间
{
"user_id": 1,
...
}
6)签名中的内容时安全信息:头的加密结果 + 体的加密结果 + 服务器不对外公开的安全码 进行md5加密
{
"head": "头的加密字符串",
"payload": "体的加密字符串",
"secret_key": "安全码"
}
"""
校验:根据客户端带token的请求 反解出 user 对象
"""
1)用基本信息存储json字典,采用base64算法加密得到 头字符串
2)用关键信息存储json字典,采用base64算法加密得到 体字符串
3)用头、体加密字符串再加安全码信息存储json字典,采用hash md5算法加密得到 签名字符串
账号密码就能根据User表得到user对象,形成的三段字符串用 . 拼接成token返回给前台
"""
2:构成(heander、payload、signature):
2.1、头部header:
jwt的头部注意放两部分信息:
{
'typ':'JWT', #声明类型,这里是jwt
'alg':'HS256' #声明加密算法,通常直接使用HMAC SHA256
}
#最后对头部进行base64加密,构成第一部分。
2.2、载荷payload
payload主要包含三个部分信息
{
"sub":"112334", #标准中注册的声明
"name":"NQ", #公共的声明
"admin":true, #私有的声明
}
标准中注册的声明 (建议但不强制使用) :
- iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避时序攻击。
公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
2.3、签名signature:
主要由加密后的header、payload、secret三部分组成
// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:ecret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,它本质上来说就是你服务端的私钥,不能泄露。
header、payload的加密是可以逆的,签名是不可逆的
二、drf-jwt的简单使用
1、安装方法:pip install djangorestframework-jwt
2、使用方法:
1、创建一个超级用户
python3 manage.py createsuperuser
2、配置路由
from django.conf.urls import url
from rest_framework_jwt.views import RefreshJSONWebToken,VerifyJSONWebToken,ObtainJSONWebToken
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^login/',ObtainJSONWebToken.as_view()),
]
3、在postman进行测试,可以看到生成一个token
4、在setting.py中配置认证使用jwt提供的jsonwebtoken
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_jwt.authentication.JSONWebTokenAuthentication', # 全局jwt
),
}
5、postman发起请求必须有tokend的数据,前面要加上jwt+空格
三、jwt高级用法:
1、自定义返回数据格式:
# 控制登录接口返回的数据格式
-第一种方案,自己写登录接口
-第二种写法,用内置,控制登录接口返回的数据格式
-jwt的配置信息中有这个属性
'JWT_RESPONSE_PAYLOAD_HANDLER':'rest_framework_jwt.utils.jwt_response_payload_handler',
-重写jwt_response_payload_handler,配置信息中配置成自己的
#配置文件中配置
JWT_AUTH={
'JWT_RESPONSE_PAYLOAD_HANDLER':'app01.utils.new_jwt_response_payload_handler',
}
2、自定义基于jwt的权限类
from rest_framework_jwt.utils import jwt_response_payload_handler,jwt_decode_handler
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication
from rest_framework.exceptions import AuthenticationFailed
import jwt
from app.views import models
class New_JWT_Authentication(BaseJSONWebTokenAuthentication):
def authenticate(self, request):
jwt_value = self.request.META.get('HTTP_AUTHORIZATION')
if jwt_value is None:
raise AuthenticationFailed('您没有携带认证信息')
try:
payload = jwt_decode_handler(jwt_value)
except jwt.ExpiredSignature:
msg = ('签名过期.')
raise AuthenticationFailed(msg)
except jwt.DecodeError:
msg = ('签名解码出错')
raise AuthenticationFailed(msg)
except jwt.InvalidTokenError:
raise AuthenticationFailed('非法用户')
except Exception as e:
raise AuthenticationFailed(str(e))
'''
payload = {
'user_id': user.pk,
'username': username,
'exp': datetime.utcnow() + api_settings.JWT_EXPIRATION_DELTA
}
'''
user = self.authenticate_credentials(payload)
#第二种方法:需要查库
# user=models.E_User.objects.filter(pk=payload.get('user_id')).first()
#第三种方法:不需要查库
# user=models.E_User(pk=payload.get('user_id'),username=payload.get('username'))
return (user, jwt_value)
3、jwt配置过期时间
import datetime
JWT_AUTH={
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), # 过期时间为7天,手动配置
}
4、手动签发token(多方式登录)
(1)序列化多方登录
#序列化app_ser.py
from rest_framework import serializers
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.utils import jwt_payload_handler,jwt_encode_handler
from app import models
import re
class Loginser(serializers.ModelSerializer):
username = serializers.CharField() # 重新覆盖username字段,数据中它是unique,post,认为你保存数据,自己有校验没过
class Meta:
model = models.E_User
fields = ['username', 'password']
def validate(self, attrs):
username = attrs.get('username')
password = attrs.get('password')
if re.match('^1[3-9][0-9]{9}$',username):
userobj=models.E_User.objects.filter(mobile=username).first()
elif re.match('^.*@.*$',username):
userobj=models.E_User.objects.filter(email=username).first()
else:
userobj=models.E_User.objects.filter(username=username).first()
if userobj:
if userobj.check_password(password):
payload=jwt_payload_handler(userobj)
token=jwt_encode_handler(payload)
attrs['token']=token
return attrs
else:
raise ValidationError('密码错误')
else:
raise ValidationError('用户不存在')
#views.py
class LoginView(ViewSet):
def login(self,request):
login_user=app_ser.Loginser(data=request.data)
login_user.is_valid(raise_exception=True)
token=login_user.data.get('token')
username=login_user.data.get('username')
return Response({
'statu': 100,
'msg':'登陆成功',
'token':token,
'username':username
})
(2)视图类写多方登录
#序列化类
class Loginser1(serializers.ModelSerializer):
username=serializers.CharField()
class Meta:
model=models.E_User
fields=['username','password']
#视图类
class Login2View(ViewSet):
def login(self,request):
username=request.data.get('username')
password=request.data.get('password')
if re.match('^1[3-9][0-9]{9}$', username):
userobj = models.E_User.objects.filter(mobile=username).first()
elif re.match('^.*@.*$', username):
userobj = models.E_User.objects.filter(email=username).first()
else:
userobj = models.E_User.objects.filter(username=username).first()
if userobj:
print(userobj)
if userobj.check_password:
payload=jwt_payload_handler(userobj)
print('payload',payload)
token=jwt_encode_handler(payload)
print('token',token)
loginser=app_ser.Loginser1(data=request.data)
loginser.is_valid(raise_exception=True)
#将token添加到validated_data中
loginser.validated_data['token']=token
#不让密码显示出来
loginser.validated_data.pop('password')
return Response(loginser.validated_data)
else:
return Response('密码错误')
else:
return Response('用户名不存在')