Django中jwt的使用

最新推荐文章于 2024-05-25 00:06:06 发布
最新推荐文章于 2024-05-25 00:06:06 发布
阅读量721 收藏 2
点赞数
分类专栏: Django之路 文章标签: python jwt django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44301439/article/details/113124918
版权

一、jwt介绍和应用

JSON Web Tokens,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。

二、jwt认证流程

在项目开发中,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户看数据,否则,返回一些错误信息。
传统token方式和jwt在认证方面有什么差异?

  • 传统token
    用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。

  • jwt方式
    用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。

三、jwt创建token

  • 原理
    jwt的生成token格式如下,即:由. 连接的三段字符串组成。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsInR5cGUiOiJqd3QifQ.eyJwaG9uZSI6IjE3ODU0MDE5MDkxIiwidHlwZSI6MCwiZXhwIjoxNjE0MTU0OTQxfQ.Le4nu1mICF8RHYfs5542B9v-95ba9mTDZ0kPwdjEDcw

生成规则如下:

  • 第一段HEADER部分,固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段
{
  "alg": "HS256",
  "typ": "JWT"
}
  • 第二段PAYLOAD部分,包含一些数据,对此json进行base64url加密,这就是token的第二段
{
  "phone": "18888888",
  "name": "John Doe",
  "iat": 123456789
  ...
}
  • 第三段SIGNATURE部分,把前两段的base密文通过.拼接起来,然后对其进行HS256加密,再然后对HS256密文进行base64url加密,最终得到token的第三段。
源码:
json_payload = json.dumps(
            payload, separators=(",", ":"), cls=json_encoder
        ).encode("utf-8")

return api_jws.encode(json_payload, key, algorithm, headers, json_encoder)

最后将三段字符串通过 .拼接起来就生成了jwt的token。

四、代码实现

基于Python的pyjwt模块创建jwt的token。

  • 安装

pip install pyjwt

  • 实现
import datetime

import jwt
from django.conf import settings


def create_token(payload, timeout=30):
    slat = settings.SECRET_KEY
    # slat = 'ssss'
    # 构造header
    headers = {
        'type': 'jwt',
        'alg': 'HS256'
    }
    # 构造payload
    payload = {
        'user_id': 1, # 自定义用户ID
        'username': 'xiaohao', # 自定义用户名
        'exp': datetime.datetime.now() + datetime.timedelta(minutes=5) # 超时时间
    }
    token = jwt.encode(payload=payload, key=slat, algorithm='HS256', headers=headers)
    return token


if __name__ == '__main__':
    print(create_token({"username": "123455"}))

五、 jwt校验token

一般在认证成功后,把jwt生成的token返回给用户,以后用户再次访问时候需要携带token,此时jwt需要对token进行超时合法性校验。

获取token之后,会按照以下步骤进行校验:

  • 将token分割成 header_segmentpayload_segmentcrypto_segment 三部分

  • 对第一部分header_segment进行base64url解密,得到header

  • 对第二部分payload_segment进行base64url解密,得到payload

  • 对第三部分crypto_segment进行base64url解密,得到signature
    对第三部分signature部分数据进行合法性校验

    • 拼接前两段密文,即:signing_input
    • 从第一段明文中获取加密算法,默认:HS256
    • 使用 算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较。
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
import jwt
from jwt import exceptions
from django.conf import settings


class JwtQueryParamsAuth(BaseAuthentication):
    def authenticate(self, request):
        token = request.query_params.get('token')
        salt = settings.SECRET_KEY
        payload = None
        message = None
        try:
            payload = jwt.decode(jwt=token, key=salt, algorithms=['HS256'])
            print(payload)
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({"success": False, "message": "token已失效"})
        except jwt.DecodeError:
            raise AuthenticationFailed({"success": False, "message": "token认证失败"})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({"success": False, "message": "非法token"})

        return payload, token

在settings视图中设置

REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ['extensions.auth.JwtQueryParamsAuth'] #你的验证路径
}

在登录视图中和其他不需要验证的视图中设置

class LoginToken(APIView):
    authentication_classes = []

    def post(self, request, *args, **kwargs):
   	..........

在视图中取出该登陆用户使用request.user。数据就是解密后返回的数据。该例子中也就是payload和token。

爱吃辣椒的锅包肉
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django项目使用JWT(djangorestframework-jwt)
2301_76931745的博客
08-01 737
如果我们还需在返回值增加username和user_id。通过重写视图的返回值可以完成我们的需求。"""自定义jwt认证成功返回数据"""return {'token': token, # 返回jwt签发的token'id': user.id, # 返回用户ID'username': user.username # 返回用户的用户名注意需要修改配置文件# JWT配置# token有效期# 指明自定义返回数据在哪个函数
Django jwt使用
Sweetfuir的博客
10-28 231
1、在INSTALLED_APPS加入’rest_framework.authtoken’, INSTALLED_APPS = [ ‘’’ ‘rest_framework.authtoken’, # ‘’’ ] 2、配置jwt验证 REST_FRAMEWORK = { # 身份认证 ‘DEFAULT_AUTHENTICATION_CLASSES’: ( ‘rest_framework_jwt.authentication.JSONWebTokenAuthentication’, ‘rest_framew
django使用JWT
wolflxiaolu的博客
04-24 5993
1.pyJWT简述 因http协议本身为无状态,这样每次用户发出请求,我们并不能区分是哪个用户发出的请求,这样我们可以通过保存cookie以便于识别是哪个用户发来的请求,传统凡事基于session认证。但是这种认证本身很多缺陷,扩展性差,CSRF等问题。JWT(Json web token) 相比传统token,设计更为紧凑且安全。通过JWT可以实现用户认证等操作。 pyJWT下载 pip install pyJWT JWT构成: eyJ0eXAiOiJKV1QiLC
Django内置用户认证及JWT使用
最新发布
haiming0415的博客
05-25 1056
什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC 7519.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。起源说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 4280
django 使用jwt token的东西来进行认证
DJANGO后端开发简单员工管理系统实现登录功能JWT验证(零基础也可以看懂)
weixin_63603830的博客
05-08 960
基于DJANGO的登录功能JWT原理,步骤,实现方法
Django REST Framework完整教程-认证与权限-JWT使用
插件开发
10-18 3548
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 写入权限只允许给 article 的作者。
Djangotemplate 使用
xiaobing的专栏
09-05 2516
1.template 使用 template不仅可以用来导出HTML,他可以用来做任何的 基于文本的处理 1.在交互模式下使用template 使用django的template时,他需要查找一个变量的 设置,叫:DJANGO_SETTINGS_MODULE,这个指向的是 当前的工作项目的settings.py文件,所以,要想在 交互模式下使用template,最好先通过 django-
详解Django配置JWT认证方式
09-16
在本文,我们将深入探讨如何在Django框架配置JSON Web Token(JWT)认证。JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Django如何使用jwt获取用户信息
09-17
Django使用JWT获取用户信息主要是通过JWT库进行配置,设置认证类,创建登录视图来获取JWT,然后在前端通过拦截器在每次请求添加JWT作为认证信息。这种方式避免了传统Cookie和Session在分布式环境的问题,提高了...
Django项目使用JWT的实现代码
09-18
以下是如何在Django项目使用JWT的详细步骤: 1. **环境配置**: - 确保你的Django版本至少是2.2,Python版本是3.6,djangorestframework版本至少是3.1,djangorestframework-jwt版本为1.11,以及MySQL数据库版本...
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
DjangoJWT
weixin_42234345的博客
06-28 2098
DjangoJWT一、什么是JWT(Json Web Token)二、与session对比的优缺点2.1 优点2.2 缺点三、JWT的构成3.1 头部3.2 有效载荷(其实就是放内容的)3.3 签名3.4 样例四、django的应用4.1 后端安装与配置4.2 前端写法 一、什么是JWT(Json Web Token) 顾名思义,JWT就是Json Web Token,是在web应用基于json的一种身份验证机制。 本质上就是把用户的信息通过base64编码后,加上一个头和一个签名,然后当作身份令牌
django实现jwt身份认证
a961634066的博客
08-12 2746
文章使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt。............
Django-JWT使用
蟹老板的博客
01-29 943
JWT应用: 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资.
jwt是什么
月守护的博客
01-09 462
简介 JSON Web Tokens,是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是在前后端分离项目。 附加链接:为什么要有认证及其实现方式 1. jwt认证流程 在项目开发,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求...
JWT原理构成与使用(带案例简单易懂)
王涛涛的博客
09-25 1535
JWT原理构成与使用 项目架构 开发模式:前后端分离 前端框架:VUE 后端框架:Django REST framework 功能部分:管理员登录,数据统计,用户管理,商品管理,订单管理,权限管理 主要技术 : JWT用户认证 ,CORS跨域 跨域CORS 我们的前端和后端分别是两个不同的端口 位置 域名 前端服务 www.meiduo.site:8080 后端服务 www.m...
Django JWT验证
LoadingCreate的博客
05-27 944
JSON Web Token,简称JWT,是一种开放标准(RFC 7519),用于在网络上传输信息,特别是在身份验证和授权方面。JWT是一串编码后的JSON格式字符串,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。Django JWT验证是一种安全的身份验证方法,通过使用库,我们可以轻松地实现JWT的创建、验证和刷新。
Django使用jwt--超详细
pygodnet的博客
12-15 5710
一:什么是jwt? jwt被广泛用于各类鉴权,其jwt token如下所示: b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkaW1uIn0.MeQOdDiiI39mBpgbFNnBVNdJMDhUpRTxziPeFJKB2fA' jwt token   JWT生成的Token是一个用两个点(.)分割的长字符串   点分割成的三部分分别是Header头部,Payload负载,Signature签名:Header.Payload.Sig
django如何使用jwt
06-03
Django 使用 JWT 可以实现用户认证和授权功能。下面是 Django 使用 JWT 的步骤: 1. 安装 Django JWT 库:可以使用 pip 命令来安装 Django JWT 库,命令如下: ``` pip install djangorestframework-jwt ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值