11-drf-基于自定义表编写认证类、django-jwt源码分析、权限介绍、simpleui的使用

已于 2024-03-24 19:28:47 修改
阅读量352 收藏 1
点赞数
分类专栏: DRF 文章标签: django python 后端 restframework jwt simpleui
于 2023-09-12 20:13:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145338/article/details/132839688
版权

扩写auth的user表

1 基于自定义表编写认证类
1.1 认证类
1.2 登录接口
1.3 路由
1.4 视图类

2 django-jwt源码分析
2.1 签发
2.2 认证

3 权限介绍

4 simpleui的使用
4.1 安装simpleui
4.2 修改django后台模块默认的模板
4.3 字符集及时区设置

扩写auth的user表范

# 1 基于自定义的用户表,签发token
	-1 前端(postman,web,app,小程序)---》发送http请求,携带用户的用户名密码---》到后端
    -2 后端request.data 取出前端传入的数据--》字典---》取出用户名,密码
    -3 拿着用户名密码去数据库查询,有没有这个人
    -4 如果有,说明 登录成功
    -5 签发token:1 通过当前用户得到payload(自己生成荷载)  2 通过荷载得到token
    -6 返回给前端{code,msg,token,username,icon...}
    -7 如果查不到,就返回用户名密码错误
    
    
# 2 基于auth的user表,签发token,多方式登录
	-1 扩写auth的user表
    	-自己写一个表,继承AbstractUser:username,password,is_superuser
        	-password:加密的---》如何加密的
            -同样的明文---》加密得到的密文是不一样的
            -AuthUser.objects.create_user(username=xx,password=123)
            -AuthUser.objects.create_superuser(username=xx,password=123)
            -pbkdf2_sha256$260000$e3ZRrKYrR0kSEMNAKPOJl4$2dzB06dDZEe4ZSTy7DtWGqvCwY
            加密方式        有效时间  盐                     加密后的结果
            
            -自定义密码加密---》同样的密码,加密结果不一样
        -项目一开始,就要处理完,再迁移,如果先迁移,就会出问题
        -配置文件中配置
        
    -2 多方式登录
    	-前端接收 用户名,手机号,邮箱的这个字段是同一个
        	{username:用户名/手机号/邮箱,password:密码}
        -正则匹配---》如果是手机号,就查 手机号+密码,如果是邮箱 邮箱+密码
        -check_password
        -签发token
        ------所有逻辑都写在视图类中了-----
        
        
        -逻辑写到序列化类中
        	-如果继承了ModelSerializer,必须重写username
            -重写了全局钩子:在全局钩子中完成校验,如果校验不过,抛异常
        	-写了获取用户方法
            -写了签发token方法
            -把token和用户名放到了self.context中了

1 基于自定义表编写认证类

### 补充翻译函数,只要做了国际化,就会显示当前国家的语言
from django.utils.translation import gettext_lazy as _
msg = _('Signature has expired.') # _是个函数的别名,这个函数是翻译函数,只要做了国际化,它就是中文

1.1 认证类

from rest_framework_jwt.authentication import JSONWebTokenAuthentication

from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
import jwt
from rest_framework_jwt.settings import api_settings
from .models import User

jwt_decode_handler = api_settings.JWT_DECODE_HANDLER
from django.utils.translation import ugettext as _

class JWTLoginAuthentication(BaseAuthentication):
    def authenticate(self, request):
        # 1 取出用户传入的token----》带在哪里?后端规定的---》规定放在请求头 token=asfas.asfdas.asdfa
        token = request.META.get('HTTP_TOKEN')
        # 2 验证token-->django-jwt 提供了一个校验的方法---》 jwt_decode_handler 通过传入token传,校验,校验通过返回payload,校验失败抛异常
        try:
            payload = jwt_decode_handler(token)
            # 通过payload 得到当前用户
            # 认证类,配好后,只要有认证的,都会走这里---》每次走这里都会查询一次数据库
            # 做个优化?
            # 1 自己根据payload数据,创建一个用户,有的参数没传,会使用默认值,跟我真实用户还是有区别的
            # user=User(id=payload.get('user_id'),username=payload.get('username'))
            # 2 直接返回用户id,后续 的request.user 都是用户id,如果真正要用的时候,再查
            user = User.objects.get(pk=payload.get('user_id'))
        except jwt.ExpiredSignature as e:
            # msg = _('Signature has expired.') # _是个函数的别名,这个函数是翻译函数,只要做了国际化,它就是中文
            msg = '签名过期'
            raise AuthenticationFailed(msg)
        except jwt.DecodeError:
            msg = 'token错误'
            raise AuthenticationFailed(msg)
        except jwt.InvalidTokenError:
            raise AuthenticationFailed('不合法的token')
        except Exception:
            raise AuthenticationFailed('未知错误,请联系系统管理员')

        return (user, token)  # 后续的request.user 都是用户id,如果真正要用的时候,再查

    
    
 '''
 每次访问需要登录的接口,都会去查数据库
 所以咱们可以做优化
 	1 自己生成一个user对象
 	2 直接返回user_id,以后用的时候,再查数据库
 
 '''

1.2 登录接口

jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
from rest_framework.viewsets import ViewSet
from rest_framework.decorators import action
# ### ### ### ### ##1 自己定义的用户表,签发token# ### ### ### ### ### ##
class UserView(ViewSet):
    @action(methods=['POST'],detail=False)
    def login(self, request):
        username = request.data.get('username')
        password = request.data.get('password')
        user = User.objects.filter(username=username, password=password).first()
        if user:
            # 签发token
            # 1 通过user生成payload---》jwt 提供一个方法(username),传入user,返回payload
            payload = jwt_payload_handler(user)
            # payload={'username':'asdfasdf','exp':1694401763}
            # 2 生成token---》jwt提供了方法,把payload放入--》token
            token = jwt_encode_handler(payload)
            return Response({'code': 101, 'msg': '登录成功', 'token': token, 'username': user.username})
        else:
            return Response({'code': 101, 'msg': '用户名或密码错误'})

1.3 路由

router.register('user', UserView, 'user') # 127.0.0.1:8000/user/login  的post请求
router.register('books', BooView, 'books') # 127.0.0.1:8000/user/login  的post请求

1.4 视图类

from rest_framework.viewsets import GenericViewSet

# 登录后才能访问
from .auth import JWTLoginAuthentication
class BooView(GenericViewSet):
    authentication_classes = [JWTLoginAuthentication]
    def list(self, request):
        return Response("你看到我了")

2 django-jwt源码分析

2.1 签发

# 1 入口是:obtain_jwt_token---》from rest_framework_jwt.views import obtain_jwt_token
# 2 obtain_jwt_token本质是:ObtainJSONWebToken.as_view()
# 3 看ObtainJSONWebToken视图类
	-前端post请求,提交了用户名密码,就能签发token
    -去ObtainJSONWebToken中找---》post
    
# 4 发现没有
    class ObtainJSONWebToken(JSONWebTokenAPIView):
        serializer_class = JSONWebTokenSerializer  #就是它
        
# 5 去父类中找JSONWebTokenAPIView
	
class JSONWebTokenAPIView(APIView):
    def post(self, request, *args, **kwargs):
        #serializer = self.get_serializer(data=request.data) # 配置的序列化类
        serializer =JSONWebTokenSerializer(data=request.data)
        if serializer.is_valid():  # 字段自己,局部,全局
            user = serializer.object.get('user')
            token = serializer.object.get('token')
            # 定制返回格式--》如果咱们写了,走自己的
            response_data = jwt_response_payload_handler(token, user, request)
            response = Response(response_data)
            return response
        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)
    
    
 # 6 校验用户名密码和生成token,写在了序列化类的--》全局钩子validate中--》JSONWebTokenSerializer

class JSONWebTokenSerializer(Serializer):
    def validate(self, attrs):
        credentials = {
            'username': attrs.get("username"),
            'password': attrs.get('password')
        }
        if all(credentials.values()): # credentials字典的value必须不能为空
            # authenticate django的auth,通过用户名和明文密码校验用户是否存的函数:authenticate
            # User.objects.filter(username='lqz',password='123').first()
            # user = authenticate(username='lqz',password='123')
            user = authenticate(**credentials)
            if user: # 登录成功,前token
                if not user.is_active: # 判断用户是否锁定
                    msg = _('User account is disabled.')
                    raise serializers.ValidationError(msg)

                payload = jwt_payload_handler(user)

                return {
                    'token': jwt_encode_handler(payload),
                    'user': user
                }
            else:
                msg = _('Unable to log in with provided credentials.')
                raise serializers.ValidationError(msg)
        else:
            msg = _('Must include "{username_field}" and "password".')
            msg = msg.format(username_field=self.username_field)
            raise serializers.ValidationError(msg)
            
            
            
 # 总结
	1 前端携带用户名密码到后端---》执行后端你的post方法---》后端生成一个序列化类的对象---》执行校验---》走了全局钩子--》全局钩子中通过用户名密码获取用户(如果获取不到抛异常)---》获取到后签发token---》签发完返回----》在视图类中---》取出来,返回给前端

2.2 认证

# 1 从哪开始看---》认证类JSONWebTokenAuthentication
# 2 JSONWebTokenAuthentication 的 
class JSONWebTokenAuthentication(BaseJSONWebTokenAuthentication):
    def get_jwt_value(self, request):
        auth = get_authorization_header(request).split()
        auth_header_prefix = api_settings.JWT_AUTH_HEADER_PREFIX.lower()

        if not auth:
            if api_settings.JWT_AUTH_COOKIE:
                return request.COOKIES.get(api_settings.JWT_AUTH_COOKIE)
            return None

        if smart_text(auth[0].lower()) != auth_header_prefix:
            return None

        if len(auth) == 1:
            msg = _('Invalid Authorization header. No credentials provided.')
            raise exceptions.AuthenticationFailed(msg)
        elif len(auth) > 2:
            msg = _('Invalid Authorization header. Credentials string '
                    'should not contain spaces.')
            raise exceptions.AuthenticationFailed(msg)

        return auth[1]
    
    
# 2 父类中BaseJSONWebTokenAuthentication的authenticate
    def authenticate(self, request):
        # 拿出前端传入的token,可能前端没传,就是None
        jwt_value = self.get_jwt_value(request)
        if jwt_value is None: # None就不管了,认证类继续往后走,相当于没有认证,于是咱们才需要权限类
            return None

        try:
            payload = jwt_decode_handler(jwt_value)
        except jwt.ExpiredSignature:
            msg = _('Signature has expired.')
            raise exceptions.AuthenticationFailed(msg)
        except jwt.DecodeError:
            msg = _('Error decoding signature.')
            raise exceptions.AuthenticationFailed(msg)
        except jwt.InvalidTokenError:
            raise exceptions.AuthenticationFailed()

        user = self.authenticate_credentials(payload)

        return (user, jwt_value)
    
    
    
 # 总结:逻辑,跟咱们自定义的一模一样
	-获取token复杂一点,有个前端

3 权限介绍

# 所有项目都会有权限控制
# https://www.cnblogs.com/liuqingzheng/articles/16972464.html


#ACL(Access Control List,访问控制列表)---》针对互联网用户,多半是这个
	将用户与权限对接(多对多)
       张三   [发视频,点赞,评论]
       李四   [看视频]
    
    
    
# RBAC(Role-Based Access Control,基于角色的访问控制)--》公司内部项目
	将用户与角色对接,然后角色与对象的权限对接。
    django的admin+auth就是使用了这套认证机制
    
# ABAC(Attribute-Based Access Control,基于属性的访问控制)
    ABAC(Attribute-Based Access Control,基于属性的访问控制),又称为PBAC(Policy-Based Access Control,基于策略的访问控制),CBAC(Claims-Based Access Control,基于声明的访问控制)。

    传统的ACL、RBAC的架构是{subject,action,object},
    而ABAC的架构是{subject,action,object,contextual}且为他们添加了parameter(参数)。

    subject属性:比如用户的年龄、部门、角色、威望、积分等主题属性。

    action属性:比如查看、读取、编辑、删除等行为属性。

    object属性:比如银行账户、文章、评论等对象或资源属性。

    contextual属性:比如时段、IP位置、天气等环境属性
    
    
    
# python写公司内部项目比较多,使用rbac控制居多
	RBAC  是基于角色的访问控制(Role-Based Access Control )在 RBAC  中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
    
    
    
# rbac如何设计
	-用户表---》一堆用户:张三,李四
    -角色表(group组)---》用户的角色:后勤部,开发部,总裁办。。。
    -权限表-----》放了一堆权限:发电脑,提交代码,删除代码,发工资
    -用户和角色多对多:一个用户属于多个角色,一个角色属于多个用户
    -角色 和权限多对多:一个角色有多个权限,一个权限属于多个角色
    --------rabc----通过5张表可以实现
    -django为了更细粒度划分---》多了一张表,用户和权限多对多
    

    
#演示django的rbac权限控制

4 simpleui的使用

4.1安装simpleui

# 指定清华源安装simpleui
pip install django-simpleui -i https://pypi.tuna.tsinghua.edu.cn/simple

# 公司内部,做公司内的项目需要使用这套权限控制
## 方案一:使用django-admin写
# 有的公司,不怎么写前端,直接使用django的admin,快速写出一套具有权限管理的系统
# django admin的界面不好看:第三方美化--》simpleui

## 方案二:自己写,前端使用vue,后端使用django,做公司内部的项目
	-第三方开源的权限控制 项目
    	-python界:django-vue-admin   7期学长写的
        -java界:若依
        -go界:gin-vue-admin

        
#  django admin的美化: simpleui

4.2 修改django后台模块默认的模板

# 修改project的setting文件,在INSTALLED_APPS 首行引入simple应用
  INSTALLED_APPS = [
      'simpleui',
  ]

4.3 字符集及时区设置

# 修改project的setting文件
LANGUAGE_CODE = 'zh-hans'
TIME_ZONE = 'Asia/Shanghai'
USE_TZ = False # 这里务必调整为False,否则时区设置无效
林光虚霁晓
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
30--Django-后端开发-drf之RBAC分析、simple-ui的使用JWT签发认证源码分析
摘 月
02-15 564
1.自定义User实现jwt的token签发views.py。
自定义user签发token、自定义认证simpleui模块使用
m0_56069948的博客
04-09 1787
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 今日内容概要 自定义User,签发token 自定义认证 simpleui使用 多方式登陆接口(后面也写 内容详细 1、自定义User,签发token # 如果项目中的User使用auth的user使用快速签发token即可 # 如果自定义User,签发t
Drf从入门到精通十(基于JWT自定义认证、排序与过滤源码分析、RBAC介绍使用SimpleUI介绍使用
主要发布一些日常学习代码及理解
10-13 730
详细介绍Drf从入门到精通十(基于JWT自定义认证、排序与过滤源码分析、RBAC介绍使用SimpleUI介绍使用
Django-rest-framework框架之RBAC-基于角色的访问控制,Casbin权限控制,后台管理simplui的介绍使用
DiligentGG的博客
10-13 701
* 排序和过滤源码分析 * 基于jwt认证 * RBAC的介绍使用 * Casbin权限控制 * 后台管理simplui的介绍使用
drf 集成监控大屏 restframework-jwt 等登录接口 源码分析
Tao.的博客
10-17 410
集成监控大屏 restframework-jwt 等登录接口 源码分析
DRF学习之jwt介绍使用simpleui的简单使用
Xiao20000101的博客
04-23 1139
摘要算法(Hash Algorithm)是一种将任意长度的数据转换为固定长度摘要(哈希值)的算法。这个哈希值通常是一个固定长度的字节序列,通常用于唯一标识输入数据。固定长度输出:无论输入数据的长度如何,摘要算法都会生成一个固定长度的哈希值。唯一性:对于不同的输入数据,摘要算法应该生成不同的哈希值。这意味着即使输入数据仅有微小的变化,生成的哈希值也会完全不同。不可逆性:摘要算法是单向的,即从哈希值无法还原出原始数据。这意味着无法通过哈希值来获取原始数据的内容。一致性:相同的输入数据应该始终生成相同的哈希值。
drf之day11: 排序源码分析,基于jwt认证,RBAC的介绍,ACL、RBAC、ABAC(PBAC,CBAC)权限控制的介绍,casbin的入门使用,后台管理simplui的介绍使用
Yydsaoligei的博客
10-13 531
排序源码分析,基于jwt认证,RBAC的介绍,ACL、RBAC、ABAC(PBAC,CBAC)权限控制的介绍,casbin的入门使用,后台管理simplui的介绍使用
2021-09-10 jwt的内置签发方式修改返回格式 jwt签发的源码分析 drf_jwt认证的token源码 自定义user实现jwt的token签发 RBAC介绍 simple-ui的使用
m0_56274379的博客
09-10 266
上节回顾 1 过滤的源码分析 -视图中配置属性:filter_backends = ['过滤'] -必须继承他俩ListModelMixin+GenericAPIView -ListModelMixin的list方法中执行了self.filter_queryset,视图 -GenericAPIView找filter_queryset方法 for backend in list(self.filter_backends): queryset = back
DRF访问控制(RBAC)、JWT认证
al6nlee的博客
11-05 637
目录RBAC什么是RBACDjango的内置RBAC(六)关系实操登录admin操作admin二次开发base64编码与解码JWT认证为什么使用JWT 认证?Session机制JWT机制JWT的构成headerpayloadsignature本质原理JWT认证算法:签发与校验签发:根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token校验:根据客户端带token的请求 反解出 ...
DRF跨域后端解决之django-cors-headers的使用
09-19
主要介绍DRF跨域后端解决之django-cors-headers的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django-drf-filepond:一个为 Filepond 文件上传库提供服务器实现的 Django 应用
05-30
django-drf-filepond:Django + Django REST 框架的文件池服务器实现 django-drf-filepond是一个 Django 应用程序,它为 Django/Django REST Framework 项目提供服务器端实现。 该应用程序可以轻松添加到您的 ...
django-elasticsearch-dsl-drf:将Elasticsearch DSL与Django REST框架集成
02-05
django-elasticsearch-dsl-drf:将Elasticsearch DSL与Django REST框架集成
drf-SimpleJWT-Vue:模板 Django + DRF + SimpleJWT + Vue.js 项目
08-04
示例存储库React: Vue: 安卓: iOS: 介绍此模板存储库专用于生成已设置 SimpleJWTDjango + DRF 服务器。 这样做的目的是轻松创建展示 SimpleJWT 的清晰用法的存储库。 如果您不使用像 React 这样的前端框架或...
Django-Boilerplate-DRF:与python一起使用DRF并免费使用的模板
02-07
breve_drf_template免费使用分叉并发送您的拉取请求请发送您的拉取请求并开始请,如果模板中缺少某些内容,请作为问题告知
使用Django构建高效的Web应用
2301_79507619的博客
05-14 247
**查询优化**:利用Django的ORM优化查询,例如使用`select_related`和`prefetch_related`来减少数据库的查询次数。- **使用合适的数据库**:根据应用的需求选择合适的数据库(如PostgreSQL、MySQL等)。- **使用Celery**:对于耗时的任务,如发送电子邮件、处理大量数据等,可以使用Celery进行异步处理,避免阻塞主线程。- **模块化设计**:将应用拆分为多个小模块,每个模块负责处理特定的功能,这有助于代码的复用和维护。
Django-simpleui的基本使用
最新发布
m0_58310590的博客
05-17 519
自定义主题之前,请先把simpleui的静态资源克隆到根目录。然后找到theme theme.js 就是用于配置主题列按该文件中的格式配置即可},},.....在增加你的样式之前,请先了解less如何使用。这是admin.lte.less的例子important;important;important;他将会编译为admin.lte.css 需要安装lesssimpleui仅为系统默认模块提供了图标,如果要为其他模块指定图标,可以自定义配置。图标说明。
Django性能之道:缓存应用与优化实战
https://blog.amd794.com
05-11 826
Django提供了多种缓存后端,包括内存缓存、文件系统缓存、数据库缓存等,以及一个灵活的缓存API,使得在视图、模板甚至数据库查询中应用缓存变得简单。Django的QuerySet具有缓存机制,这意味着在首次执行QuerySet时,Django会将结果缓存起来,以便在后续的相同查询中直接使用缓存结果,而不是再次执行数据库查询。同时,监控缓存的使用情况,确保缓存命中率和响应时间,以维持良好的用户体验。在本文中,我们介绍了缓存配置的最佳实践,缓存在生产环境中的管理,以及高可用性和安全性的考虑。
Elevate Your Django Project Deployment with the Optimal Python Image Selection
LuiChun
05-13 738
In the realm of scientific exploration, we often face the dilemma of choice. When deploying Django projects in the cloud, the selection of an appropriate Python image is such a challenge. After in-depth research and numerous trials, we have found that the
Django-drf是什么
06-02
Django Rest Framework (DRF)是一个用于构建Web API的强大且灵活的工具包,它是Django的一个第三方应用程序。DRF基于Django的核心组件,提供了一系列用于创建、序列化和验证RESTful API的工具和方法,包括基于的视图、序列化器、认证权限、限流、版本控制等等。使用DRF,可以快速、轻松地构建RESTful API,并提供了完善的文档和测试工具,方便开发者进行API测试和文档编写。因此,DRF已成为Django社区中最受欢迎的Web API开发工具之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值