10-drf-jwt自定义表签发、jwt 多方式登录(auth的user表)

已于 2024-03-24 19:30:22 修改
阅读量247 收藏
点赞数
分类专栏: DRF 文章标签: sqlite 数据库 django python restframework jwt auth_user
于 2023-09-11 19:15:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145338/article/details/132815228
版权

1 jwt自定义表签发
1.1 models.py
1.2 视图
1.3 路由

2 jwt 多方式登录(auth的user表)
2.1 总结流程
2.2 序列化类
2.3 视图类
2.4 路由

补充base64

# 1 接口文档
	编写规范:
    	-1 描述
        -2 请求地址
        -3 请求方式
        -4 请求参数
        	-headers
            -请求体
            -请求参数
        -5 请求编码格式
        -6 返回格式
        	-示例
            -返回数据字段含义
            
        -其他:
        	-错误状态码
            -...
            
     -接口文档编写位置
    	-写在文件中:word,md,跟前端共享
        -公司有接口文档平台
        	-yapi
            -自研
        -第三方接口文档:coreapi,drf-yasg
        -自动生成---》访问项目地址 的 /doc 路径就能看到接口文档
        
        
 # 2 jwt
	-json  web token的缩写,web方向前后端认证的方式,传统的认证方案使用session,使用jwt后,服务端不需要再存数据了,数据都放在客户端
    -本质原理
    	-jwt 分三段:
        	-头:公司信息,加密方式,声明这是jwt
            -荷载:数据,用户信息,用户id,名字,邮箱,过期时间
            -签名:前面量部分通过某个加密方式加密得到一个签名,base64编码后拼接到最后
    -开发中:
    	签发:登录,登录成功后,按照上面方式生成token串
        认证:客户端携带token到后端,使用原来的加密方式把第一段和第二段再做加密,加密后跟传入的第三代比较,如果一样,说明传入的token可靠,如果不一样,说明数据被篡改,伪造的,不能信任,程序不能继续往后走了
        
----------------------------------------------------------------------------------        
# 3 base64
	-加密算法
    	-1 编码和解码,不加密:base64,url编码和解码
        -2 摘要算法:md5,sha1   不能解开
        -3 对称加密:des,AES     能加密,能解密;加密和解密使用同样的秘钥
        -4 非对称加密 :RSA  能加密,能解密,加密秘钥和解密秘钥是不同的:公钥和私钥
    -编码和解码使用内置模块
----------------------------------------------------------------------------------    
    
    
# 4 django使用jwt
	-django-rest-framework-jwt:有点老
    -djangorestframework-simplejwt:新的
    
    
# 5 快速使用
	-签发:path('login/', obtain_jwt_token),
    -认证(局部使用,全局使用,局部禁用):
    	authentication_classes = [JSONWebTokenAuthentication,]
    	permission_classes = [IsAuthenticated]

1 jwt自定义表签发

1.1 models.py

from django.db import models

from django.contrib.auth.models import AbstractUser


# 继承AbstractUser 直接使用自动签发token

# 纯自己写的用户表,需要自己签发
class User(models.Model):
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=32)
    email = models.EmailField(max_length=32)
    gender = models.IntegerField(choices=((1, '男'), (2, '女'), (0, '未知')))

1.2 视图

from django.shortcuts import render

from rest_framework.views import APIView
from .models import User
from rest_framework.response import Response

from rest_framework_jwt.settings import api_settings  # drf的配置文件

# from rest_framework_jwt.utils import jwt_payload_handler
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
# rest_framework_jwt.utils.jwt_encode_handler
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER


class UserView(APIView):
    def post(self, request):
        username = request.data.get('username')
        password = request.data.get('password')
        user = User.objects.filter(username=username, password=password).first()
        if user:
            # 签发token
            # 1 通过user生成payload---》jwt 提供一个方法(username),传入user,返回payload
            # payload = jwt_payload_handler(user)
            payload={'username':'asdfasdf','exp':1694401763}
            # 2 生成token---》jwt提供了方法,把payload放入--》token
            token = jwt_encode_handler(payload)
            return Response({'code': 101, 'msg': '登录成功', 'token': token, 'username': user.username})
        else:
            return Response({'code': 101, 'msg': '用户名或密码错误'})

1.3 路由

path('login/', UserView.as_view()),

2 jwt 多方式登录(auth的user表)

#1 用户名+密码   邮箱+密码  手机号+密码  都可以登录
	username+password
    email+password
    phone+password
    
    无论是username,email,phone都以 username形式提交到后端
    于是:从username字段中取出来的,可能是用户名,可能是邮箱,可能是密码---》都能登录成功
#2  auth的user签发
#3  签发,校验用户 逻辑-----》放在序列化类中


# 5 存在一个问题---》已经迁移过表了---》已经存在auth的user表了,如果再去继承AbstractUser,再写用户表,就会出错
	-解决方案:以后尽量不要这么做
    	-以后要扩写auth的user表,一开始就要扩写,不要等迁移完之后再扩写
    -删库
    -删迁移文件(不要删__init__.py和migrations文件夹)
    	-项目app的迁移文件
        -django内置app的admin和auth的迁移文件
    
    -重新迁移--两条命令
    -扩写auth的user表,需要在配置文件配置 ###重要
    
    
# 6 创建超级用户--->创建到扩写的表  auth的user--》AuthUser
	python  manage.py createsuperuser

在这里插入图片描述

2.1 总结流程

# 序列化,反序列化,数据校验---》只用来做数据校验
# 前端传过来的字段,都要,而且要校验 :username  password
# 只要视图类中执行 ser.is_valid():
	会走字段自己的规则---》username过不了---》因为有unique---》所有需要重写
    会走局部钩子---》这里没写
    会走全局钩子---》全局钩子里校验
    	-分成了两个方法:好处是以后修改方法
        -_get_user :多方式的 ,以后改成单方式登录,只要该这个方法即可 
        -_get_token:用的第三方签发,后期改成自己的签发,只需要改它即可
        
  	-把生成的token和用户名放到了,序列化类中,单是怕污染数据,放到了序列化类的对象的context中
    
# 视图类中取出token和username
	 token = ser.context.get('token')
     username = ser.context.get('username')

2.2 序列化类

from .models import AuthUser
from rest_framework import serializers
import re
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.settings import api_settings  # drf的配置文件

# from rest_framework_jwt.utils import jwt_payload_handler
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
# rest_framework_jwt.utils.jwt_encode_handler
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER


# 序列化类干什么? 只用来反序列化的校验
class LoginSerializer(serializers.ModelSerializer):
    # username 是表中的字段---》自动映射过来的-->A user with that username already exists
    # username有字段自己的规则---》唯一 unique---》去数据库查询发现有lqz,之间字段自己规则报错了,不会走到全局钩子
    username=serializers.CharField() # 需要重写字段,不重写,字段自己规则过不了
    class Meta:
        model = AuthUser  # 千万不要加逗号,程序运行不会报错,使用这个地方的时候,就报错了
        fields = ['username', 'password']


    # 在类内部  用 __ 开头表示隐藏
    # 我们约定俗称,以 _ 开头的,表示只在类内部使用,不给外部用,但是万一外部要用,之间用既可以了
    def _get_user(self, attrs):
        # 用户名从哪拿? attrs是前端传入,校验过后的数据  {"username": "lqz","password": "lqz12345" }
        username = attrs.get('username')
        password = attrs.get('password')
        if re.match(r'^1[3-9][0-9]{9}$', username):  # 说明,用户提交的是手机号+密码
            user = AuthUser.objects.filter(phone=username).first()
        elif re.match(r'^.+@.+$', username):  # (这个邮箱正则,不太准确) 如果是邮箱,说明用户提交的是  邮箱+密码
            user = AuthUser.objects.filter(email=username).first()
        else:
            user = AuthUser.objects.filter(username=username).first()

        if user and user.check_password(password):
            return user
        else:
            # 在全局钩子中,只要校验不通过,就抛异常
            # 不是return
            raise ValidationError('用户名或密码错误')

    def _get_token(self, user):
        payload = jwt_payload_handler(user)
        token = jwt_encode_handler(payload)

        return token

    def validate(self, attrs):
        # 1 校验用户

        user = self._get_user(attrs)  # 如果返回user,说明,用户名密码对了,如果没走到这里,说明抛异常,抛异常说明用户名密码错误

        # 2签发token
        token = self._get_token(user)

        # 3 放在这里面  self 是序列化类的对象  ,context 是空字典,它是  视图类和序列化类之间沟通的桥梁
        self.context['token'] = token
        self.context['username'] = user.username

        # 4 返回校验过后的数据
        return attrs

2.3 视图类

## 2.基于auth的user表签发token,做多种方式登录
'''
    用户名+密码   邮箱+密码  手机号+密码  都可以登录
	username+password
    email+password
    phone+password
    
    无论是username,email,phone都以 username形式提交到后端
    于是:从username字段中取出来的,可能是用户名,可能是邮箱,可能是密码---》都能登录成功
'''
from rest_framework.viewsets import ViewSet, GenericViewSet
from rest_framework.decorators import action
import re

from .serializer import LoginSerializer
from .models import AuthUser


class UserView(GenericViewSet):
    # 不需要做序列化或者反序列化,则可以不用写queryset
    # queryset =
    serializer_class = LoginSerializer

    @action(methods=['POST'], detail=False)
    def login(self, request, *args, **kwargs):
        username = request.data.get('username')
        password = request.data.get('password')

        # 正则匹配,如果是手机号,要查手机号+密码;如果是邮箱,要查邮箱+密码;如果是其他,则查用户+密码
        if re.match(r'^1[3-9][0-9]{9}$', username):
            user = AuthUser.objects.filter(phone=username).first()
        elif re.match(r'^.+@.+$', username):
            user = AuthUser.objects.filter(email=username).first()
        else:
            user = AuthUser.objects.filter(username=username).first()

        if user and user.check_password(password):
            # 签发
            payload = jwt_payload_handler(user)
            token = jwt_encode_handler(payload)
            return Response({'code': 100, 'msg': '登录成功', 'token': token, 'username': username})

        return Response({'code': 101, 'msg': '用户名或密码错误'})

-------------------优化版----------------------------------------------------
from rest_framework_jwt.views import obtain_jwt_token
## 复杂方式---》校验逻辑--》放在序列化类中
class UserView(GenericViewSet):
    # queryset = 可以不写
    serializer_class = LoginSerializer

    @action(methods=['POST'], detail=False)
    def login(self, request, *args, **kwargs):
        # 拿到前端传入的用户名和密码,得到一个序列化类对象
        ser = self.get_serializer(data=request.data)

        if ser.is_valid():  # 字段自己(校验不过,因为username在数据库中有你传入的这个名字了),局部钩子,全局钩子---》需要在序列化类中写
            # 校验完,并且签发完token了
            # token从 序列化类的对象 取出来
            # username从   序列化类的对象 取出来
            # 现在不明白如何取出来的,假设取出来是对的---》因为在全局钩子中放入到了context中
            token = ser.context.get('token')
            username = ser.context.get('username')

            return Response({'code': 100, 'msg': '登录成功', 'token': token, 'username': username})
        else:
            return Response({'code': 101, 'msg':'用户名密码错误'})

2.4 路由

from django.contrib import admin
from django.urls import path
from app01.views import UserView
from rest_framework.routers import SimpleRouter

router = SimpleRouter()
router.register('user', UserView, 'user') # 127.0.0.1:8000/user/login  的post请求
urlpatterns = [
    path('admin/', admin.site.urls),
    # path('login/', UserView.as_view()),
]
urlpatterns += router.urls
林光虚霁晓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
30--Django-后端开发-drf之RBAC分析、simple-ui的使用、JWT签发认证的源码分析
摘 月
02-15 620
1.自定义User实现jwt的token签发views.py。
2021-09-10 jwt的内置签发方式修改返回格式 jwt签发的源码分析 drf_jwt认证的token源码 自定义user实现jwt的token签发 RBAC介绍 simple-ui的使用
m0_56274379的博客
09-10 318
上节回顾 1 过滤的源码分析 -视图类中配置类属性:filter_backends = ['过滤类'] -必须继承他俩ListModelMixin+GenericAPIView -ListModelMixin的list方法中执行了self.filter_queryset,视图类 -GenericAPIView找filter_queryset方法 for backend in list(self.filter_backends): queryset = back
JWT-auth的原理以及laravel中tymon/jwt-auth的安装使用
热门推荐
caozhennan824的博客
06-20 1万+
引言 最近后端准备用laravel来编写一个微信小程序的后端,那么首先涉及到的就是用户登录授权访问后端api的逻辑实现,之前还自己封装点token验证的类来处理登录状态,但是一接触laravel,就知道了tymon/jwt-auth的鼎鼎大名。那就必须来探究和学习一下了。 一.JWT auth知识及原理 想在laravel中使用tymon/jwt-auth之前,有些概念我们必须要学习。下面我将用自己的语言来描述一下。 1.什么是所谓的token? 我们都知道http协议是无状态的协议,unstate,这
Django jwt 自定义用户实现
叱咤少帅的博客
06-02 1043
jwt 自定义用户
spring boot JWT token 验证及传递用户信息
weixin_45501950的博客
05-12 1321
第一步 集成jwt 添加jwt 依赖 在这里插入代码片 定义TokenUser import lombok.Data; /** * @author fengrz */ @Data public class TokenUser { String userId; String userName; } 定义接口 import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.a
jwt获取token_Laravel 安装 jwt 及基本使用
firstcode666的博客
03-09 1541
什么是jwt? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 jwt简介链接 JWT.IO - JSON Web Tokens Introduction 我们在做api请求的时候,通常要使用token,来验证是否这个请求能不能访问。 一旦用户登录,后续每个请求都将包含JWT
前后端分离使用drf jwt的token认证授权
OnTheway
04-07 690
鄙人太浮躁,简单搜索两下后没有成功的完成我的认证,因此静心开始慢慢搞一遍 试验环境 后端 djangorestframework==3.12.4 djangorestframework-jwt==1.11.0 Django==3.1.7 drf-yasg==1.20.0 (调试使用) 跨域 开发过程中配置全部允许 认证流程 实现过程 对应包的安装过程省略....... 配置 setting.py中添加jwt鉴权类 REST_FRAMEWORK = { 'DEFAUL
DRF从入门到精通七(频率源码分析、接口文档、JWT介绍、构成原理、Base64编码与解码、jwt的开发重点)
Mchen的博客
01-02 521
从最开始的DRF知识介绍到现在,我们也知道频率组件是在APIView类源码中的dispatch方法里面执行了三大认证,这三大认证也是在视图类方法之前就执行了。,本质都是差不多,都是重写一些方法,而。频率类,所以这里我就直接看。中的频率源码知道,继承。,它的源码中就是继承了。
drf-JWT认证:JWT认证、安装和简单使用、自动签发、手动签发、多方式登录
大大的博客
07-11 751
目录一、 JWT认证 一、 JWT认证
2021-07-09 drf请求全局和局部配置 基于jwt的认证类 基于自定义User签发token 多方式登录
m0_56274379的博客
07-09 267
目录1 drf请求全局和局部配置(2星)2 基于jwt的认证类3 基于自定义User签发token(5星)3.1 路由3.3 认证类4 多方式登录(5星)4.1 视图类4.2 序列化类 1 drf请求全局和局部配置(2星) 1 请求支持三种编码格式,urlencoded,json,formdata 2 如果不配置,默认支持三种 'DEFAULT_PARSER_CLASSES': [ 'rest_framework.parsers.JSONParser', # 解析applicat
基于jwt的多方式登录,自定义user,签发token,认证类,book单增删查改,群增删查改
yikenaoguazi的博客
11-16 615
day90一.上节回顾二.今日内容1.基于jwt的多方式登录路由models.pysettings.py视图序列化类utils.py2.自定义user,签发token,认证类模型路由视图auth.py3.book,publish,author关系及抽象建立4.book单增群增5.book单查群查6.book单改群改7.book的单删群删8.序列化类9.路由扩展作业 一.上节回顾 1 jwt:重点(跟语言,框架无关) -json web token -cookie:客户端浏览器上的键值对,
7-1 drf的token登录和原理
huanglianggu的专栏
04-28 1583
7-1 drf的token登录和原理 看到这个登录页了 是因为配置了 url(r'^api-auth/', include('rest_framework.urls', namespace='rest_framework')), 可以看到: 接下来: 进入: D:\Envs\MxShop\Lib\site-packages\d...
【15.0】DRF之权限控制
Chimengmeng的博客
08-01 196
【一】ACL的权限控制 ACL(访问控制列)是一种用于权限控制的技术,可以限制用户对系统资源的访问和操作。 在针对互联网用户的产品中,ACL被广泛应用于管理用户对特定功能或数据的权限。 ACL(访问控制列)的权限控制:(针对互联网用户的产品) 用户 id name password 1 zhangsan 123 权限 id user_id ...
drf-yasg 模块细节性说明(自定义请求体,自定义响应体,自定义响应Content-Type, 自定义文档接口标题)
紫一的博客
11-17 3724
1.模块安装 pip install drf-yasg 2.模块配置 settings.py中写入以下配置: SWAGGER_SETTINGS = { 'PERSIST_AUTH': True, 'REFETCH_SCHEMA_WITH_AUTH': True, 'REFETCH_SCHEMA_ON_LOGOUT': True, 'SECURITY_DEFINITIONS': { 'JWT': { 'type': 'apiKey
Django DRF - 【Token】认证基本使用
Mr_WoLong
06-28 2301
`Django Rest Framework Token`是Django Rest Framework中的一个扩展,用于实现用户认证和授权。它为每个用户生成一个唯一的Token,并将其存储在数据库中。在用户进行API请求时,用户需要在请求的HTTP Header中包含Token,这样服务器就可以验证用户的身份。
使用jwt-auth的报错解决 Argument 1 passed to Tymon\\JWTAuth\\JWT::fromUser()
Websites
03-25 8374
使用jwt-auth登录认证的时候报错误: 1.Class Tymon\JWTAuth\Providers\JWT\Namshi does not exist php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider" --force 2.Argument 1 passed to ...
jwt-auth错误小结
weixin_33704591的博客
06-17 665
我用的是:"tymon/jwt-auth": "1.0.0-rc.1" 根据官方网站http://jwt-auth.readthedocs.io安装,并且vender:publish完配置文件后,需要按照官网的Update your User model章节配置一下auth所需要的一些类。我第一次用jwt-auth,没有进行按照Update your User model章节进行操作,并且所用的...
Laravel 5.2 使用 JWT 完成多用户认证
wangjinbao5566的博客
12-07 5501
Json Web Token# JWTJson Web Token.JWT能有效地进行身份验证并连接前后端。 降地耦合性,取代session,进一步实现前后端分离减少服务器的压力可以很简单的实现单点登录 我在实现这个功能的时候查到了这个扩展“tymon/jwt-auth”,最新稳定版是0.5.9。OK照着wiki撸起来,第一步我们先实现API 安装扩展# composer r
Laravel 使用 JWT 完成多用户认证
科比龙篮的博客
08-29 1万+
JWT ------ json web Token 作用: 1.降低耦合性,适用于前后端分离,分布式架构,取代传统的session 2.较少服务器和数据库的压力 JWT的结构 JWT包含了使用.分隔的三部分: Header 头部 Payload 负载 Signature 签名 结构为 Header.Payload.Signature Header 在header中通常包含了两部分:t...
drfJWT_AUTH参数详解
最新发布
05-20
Django Rest FrameworkDRF)中,JWT_AUTH是用于JSON Web Token(JWT)身份验证的配置参数。JWT是一种开放标准(RFC 7519),用于在不同的应用程序之间安全地传输信息。JWT由三部分组成:头部、负载和签名。 JWT_AUTH参数的详解如下: 1. JWT_AUTH['JWT_ENCODE_HANDLER']:指定用于编码JWT的函数。 2. JWT_AUTH['JWT_DECODE_HANDLER']:指定用于解码JWT的函数。 3. JWT_AUTH['JWT_PAYLOAD_HANDLER']:指定用于生成负载的函数。 4. JWT_AUTH['JWT_VERIFY']:指定是否验证签名。默认为True。 5. JWT_AUTH['JWT_VERIFY_EXPIRATION']:指定是否验证过期时间。默认为True。 6. JWT_AUTH['JWT_LEEWAY']:指定允许的时钟偏差(秒)。默认为0。 7. JWT_AUTH['JWT_AUDIENCE']:指定JWT接收者的预期值。 8. JWT_AUTH['JWT_ISSUER']:指定JWT签发者的预期值。 9. JWT_AUTH['JWT_ALLOW_REFRESH']:指定是否允许刷新令牌。默认为False。 10. JWT_AUTH['JWT_REFRESH_EXPIRATION_DELTA']:指定刷新令牌的过期时间。 如果您想了解更多关于DRFJWT身份验证的内容,建议您阅读DRF官方文档或者JWT官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值