刨析Django----前后端分离的项目及token

已于 2022-03-23 20:00:48 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 后端django 文章标签: django python jwt
于 2021-12-17 11:02:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45228198/article/details/121991718
版权

目录

前后端分离

前端:客户端,负责页面渲染。
后端:服务端,处理请求,返回数据
API:前后端交互的接口,如url地址
判断前后端分离:谁生成页面?

优势:

  1. 前端主要负责页面效果、兼容性等,后端负责服务的稳定、并发等,各司其职。
  2. 前端利用客户端处理数据,降低服务器的压力。
  3. 服务端的错误不会直接展示给用户。
  4. 灵活搭配各种前端,如android/ios
  5. 并行开发,提高效率

分离的问题

  1. 如何解决http无状态?
    token---->JWT+localStorage
  2. 如何解决跨域?
    CORS—django-cors-headers
  3. 如何解决csrf?
    使用token,不会有csrf问题
  4. 会影响搜索引擎的效果。
  5. 数据校验,前后端都做
  6. 动静分离,将css/js/image等与服务器分离开,单独存储。

会话保持token

JWT, Json Web Token
header = {‘typ’:‘JWT’, ‘alg’:‘HS256’}
payload = {‘uid’:user.id, ‘exp’: }
过期时间是与utc时间对比的
exp: time.time() + 300
或者
exp: datetime.utcnow() + timedelta(seconds=300)

  1. 前置知识-base64转码-非加密
import base64
s = 'test string'

#编码
s_encode = base64.b64encode(s.encode())  #结果为字节串
s_= base64.b64decode(s_encode)  # 结果也为字节串
#长度为4的倍数

#类似的更安全方式
base64.urlsafe_b64encode()
base64.urlsafe_b64decode()

from hashlib import sha256
s = sha256()    #完整性校验, 定长,不可逆
s.update(s.encode())
s.hexdigest()

import hmac
#key 用作身份验证
# 完整性校验
h = hmac.new(key, s.encode(), digestmod='SHA256') #参数为字节串
h.hexdigest()  #字符串
  1. jwt
    header + payload + signature
    header
{"typ":"JWT", 'alg':"HS256"}
#typ token的类型
#alg  使用的算法
#需要base64编码-->得到p1
p1 = base64.urlsafe_b64encode(json.dumps({},separators=(",", ":"), sort_keys=True).encode()).replace("=", "")

        payload

#公有声明  
#exp  token的过期时间   time.time() + xxs
# 或者datetime.utcnow() + timedelta(seconds=300)
#iss token签发者  不常用
#iat  token创建时间
#aud  签发群体
{
	"exp": datetime.now() + timedelta(seconds=200)
	"username":user.username, 
	'uid':user.id
}
#base64编码--->得到p2  去掉=占位符

        signature

使用alg中指定的算法,这里是HS256
h = hmac.new(key, p1 + b"." + p2, digestmod='SHA256') #参数字节串SHA256
sign = h.digest()  #获取二进制
p3 = base64.urlsafe_b64encode(sign)
#去掉=

最终:
p1.decode() + “.” + p2.decode() + “.” + p3.decode()
即:base64(header) + b"." + base64(payload) + b"." + base64(sign)
3. 校验jwt
token分割,p1, p2, p3 = token.split(".");
每一部分补占位符‘=’,根据长度为4的倍数;

left = p%4
p += "="*(4-left)

base64解码出header,拿到alg算法;
根据p1.p2部分重新计算签名部分sign_;
对比两个签名是否一致;
一致,则获取payload内容,验证是否过期。
time.time() > exp

使用pyjwt生成

pip install pyjwt

import jwt
payload = {"name":"laufing", "exp":time.time() + 300}
r = jwt.encode(payload=payload, key="123", algorithm='HS256') #得到编码字符串

#校验
#1. 无token 则肯定未登录

#2. 有token则解码
dr = jwt.decode(r, key="123", algorithms='HS256') #{ }
#解码时,自动校验过期,若过期则异常,注意异常捕获
#解码虚假的token时,也会报错

#3. 正常解码,则校验通过,可以继续操作

前端请求

前端请求后端时,带着token

优化注册项目

使用JWT进行会话保持,优化前后端分离的Django与Vue注册项目。

laufing
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django+JWT实现Token认证
weixin_34174422的博客
01-22 1928
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
django前后端分离的csrf_token加入
weixin_44854778的博客
03-13 232
1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。 from django.middleware.csrf import get_token ,rotate_token def server(request): # 两者选一 get_token(request) # rotate_token(request) // 此方法每次设置新的cookies return render(req
gfast:基于全新Go Frame 2.3+Vue3+Element Plus构建的全栈前后端分离管理系统
最新发布
chenchuang0128的博客
05-26 589
基于全新Go Frame 2.3+Vue3+Element Plus开发的全栈前后端分离的管理系统前端采用vue-next-admin 、Vue、Element UI。
71. Django 前后端分离csrf token获取方式
DevOps海洋的渔夫@专栏
11-11 3332
需求一般Django开发为了保障避免 csrf 的攻击,如果使用Django的模板渲染页面,那么则可以在请求中渲染设置一个csrftoken的cookie数据,但是如果需要前后端分离,...
Django 集成JWT 基于Token凭证方式,实现前后端分离
zhouzhiwengang的专栏
08-11 1570
功能简介 业务需求:今天想尝试为Django 添加安全验证框架,但是看了相关Django 涉及Authentication模块的配置,过于繁琐且不适合当前前后端分离趋势发展,所以放弃Django自带安全模块,使用Django 集成Jwt 基于Token 凭证方式,实现前后端功能分离。 业务思路大致步骤描述: 1、用户通过登入url,输入合法用户名和密码获取登入凭证token 2、后台业务逻辑方法通过装饰器函数(token_required()),校验请求接口携带的Token 是否合法、是否失效等。
Django前后端分离1——jwt
weixin_43667990的博客
09-10 312
一.前戏 1.base64 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlh...
高效易用Django流程引擎源码 - django-lb-workflow
03-25
项目概述:django-lb-workflow 是一个基于Python的高效易用Django流程引擎源码,旨在轻松集成至现有系统。该项目主要由68个Python文件、30个HTML文件以及其他相关文件构成,共计136个文件。其中还包括了HTML模板、...
基于PythonDjango-demo项目设计源码
04-11
本源码提供了一个基于PythonDjango-demo项目设计。项目包含28个文件,其中包括16个Python源文件、5个XML文件、3个HTML文件、2个Gitignore文件、1个IML文件和1个LICENSE文件。这个项目是一个基于PythonDjango项目...
django-db-connection-pool:Django 的持久数据库连接后端
05-30
django-db-connection-pool Django 的 MySQL & Oracle & PostgreSQL 连接池后端,基于 SQLAlchemy。快速开始使用pip安装所有引擎: $ pip install django-db-connection-pool[all] 或选择特定引擎: $ pip install ...
django-login-example:模拟前后端分离架构
05-16
使用2个django项目,来模拟前后端分离架构。 demo_login 前端登录页面,采用bootstrap开发。使用ajax发送请求给api demo_api 后端api接口,采用rest framework实现,版本为3.11.0。 使用cors组件解决跨域问题 1.0 ...
django基于存储在前端的token用户认证解析
09-18
主要介绍了django基于存储在前端的token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Vue+Django前后端分离常用操作
weixin_44675051的博客
04-08 150
pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple pymysql bs4 simpleui djangorestframework pyjwt django-cors-headers pycryptodome(win) pycrypto(lunx) requests Pillow hashib datetime random xm...
Django + Vue 前后端分离
unique 的博客
12-08 1376
总体思路:。。。。下面是其中遇到的问题一、跨域问题:添加中间件 django-cors-headers这里写链接内容二、csrf 验证三、跨域后 session 失效
Django+Vue+ElementUI管理后台源码
一米阳光的博客
03-15 875
一款 Python 语言基于Django、Vue2.x、ElementUI、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
Django-Vue-Admin基于Django+Vue前后端分离权限管理框架
一米阳光的博客
10-23 568
一款 Python 语言基于Django、Vue、ElementUI、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
vue3 前后端分离的后台管理系统解决方案来了
zihan0321的博客
03-09 401
使用 Vue3、ElementPlus、vite、CompositionApi、Scss、Pinia,Axios 最新版搭建。
Django实现API Token认证机制 --- Django+restframework+JWT
狼性书生
05-27 4803
Django 实现 API Token认证机制 项目地址:https://github.com/ylpxzx/django_jwt_example Session鉴权与Token鉴权的区别 传统session认证 HTTP协议是无状态的,而session的主要目的就是给无状态的HTTP协议添加状态保持,通常在浏览器作为客户端的情况下比较通用,需要在服务端去保留用户的认证信息或者会话信息。 流程: 注册账号 登录页面输入账号密码提交表单后,发送请求给服务器 服务器对账号密码进行验证鉴权,验证鉴权通过后,
Django前后端分离实践之DRF--09
09-18
### 回答1: 在前面的文章中,我们已经介绍了如何使用DRF编写RESTful API和如何进行身份验证。在本文中,我们将继续探讨如何使用DRF实现前后端分离。具体来说,我们将使用Vue.js作为前端框架,并使用axios实现与后端API的通信。 1. 安装Vue.js和axios 首先,我们需要安装Vue.js和axios。我们可以使用npm来进行安装: ``` npm install vue npm install axios ``` 2. 创建Vue.js应用程序 我们可以使用Vue CLI来创建Vue.js应用程序。在命令行中输入以下命令: ``` npm install -g vue-cli vue init webpack myapp ``` 其中,myapp是应用程序的名称。在创建应用程序时,我们需要回答一些问题,例如选择使用哪种模板、是否安装vue-router等。我们可以根据自己的需要进行选择。 3. 编写Vue.js组件 接下来,我们需要编写Vue.js组件来与后端API进行通信。在本例中,我们将创建一个名为“TaskList”的组件,用于显示任务列表并提供添加任务的功能。 在src/components目录下创建TaskList.vue文件,并编写以下代码: ```html <template> <div> <h2>Tasks</h2> <ul> <li v-for="task in tasks" :key="task.id"> {{ task.title }} </li> </ul> <input type="text" v-model="title"> <button @click="addTask">Add Task</button> </div> </template> <script> import axios from 'axios'; export default { data() { return { tasks: [], title: '' }; }, created() { this.getTasks(); }, methods: { getTasks() { axios.get('http://localhost:8000/api/tasks/') .then(response => { this.tasks = response.data; }); }, addTask() { axios.post('http://localhost:8000/api/tasks/', { title: this.title }) .then(response => { this.tasks.push(response.data); this.title = ''; }); } } }; </script> ``` 在这个组件中,我们首先导入axios库,然后定义了一个名为“TaskList”的组件。在data函数中,我们定义了两个变量:tasks用于存储任务列表,title用于存储新任务的标题。在created函数中,我们调用getTasks函数来获取任务列表。在methods对象中,我们定义了两个方法:getTasks用于获取任务列表,addTask用于添加新任务。在getTasks函数中,我们使用axios库进行HTTP GET请求,并在响应中将tasks变量更新为获取的数据。在addTask函数中,我们使用axios库进行HTTP POST请求,并在响应中将新任务添加到tasks变量中。 4. 引入组件 最后,我们需要将TaskList组件引入Vue.js应用程序。在App.vue文件中,我们可以编写以下代码: ```html <template> <div id="app"> <TaskList /> </div> </template> <script> import TaskList from './components/TaskList.vue'; export default { name: 'App', components: { TaskList } }; </script> ``` 在这个文件中,我们首先导入TaskList组件,然后在components对象中注册它。最后,在模板中调用它。 5. 运行应用程序 现在,我们可以使用以下命令启动Vue.js应用程序: ``` npm run dev ``` 在浏览器中访问http://localhost:8080,您将看到一个任务列表和一个添加任务的表单。当您添加新任务时,它将被添加到列表中并保存到后端API中。 总结 在本文中,我们介绍了如何使用Vue.js和axios实现与DRF后端API的通信,并创建了一个名为“TaskList”的组件来显示任务列表和添加新任务。这是一个简单的示例,但您可以使用类似的方法来创建更复杂的应用程序。 ### 回答2: Django前后端分离实践之DRF--09主要是关于Django Rest Framework(DRF)在前后端分离开发中的实践。DRF是基于Django的一款强大的Web API框架,它提供了一系列的功能和工具,使得开发者能够轻松地构建和管理API。 在这个实践中,首先我们需要将前端和后端进行分离。前端可以使用任何JavaScript框架,如Vue.js或React来构建用户界面,并通过HTTP请求与后端进行通信。而后端则是使用Django和DRF来构建API。 DRF提供了一些类和方法,能够帮助我们更方便地开发API。例如,通过使用DRF的序列化器,我们可以轻松地将数据库模型转化为JSON格式。此外,DRF还提供了视图和路由器等组件,使得开发者能够更快速地构建API视图和URL路由。 在实践过程中,我们还可以使用DRF的认证和权限系统来保护API的安全性。DRF支持各种认证方式,如基于Token的认证和基于Session的认证。同时,我们可以基于DRF的权限系统来限制用户对API的访问权限,确保只有经过授权的用户才能进行操作。 此外,DRF还提供了一些其他的功能,如过滤器、分页和搜索等,使得我们能够更精细地控制API的行为和展示方式。 总之,Django前后端分离实践之DRF--09主要介绍了如何使用DRF来构建前后端分离的应用。通过DRF提供的强大功能和工具,我们可以更便捷地开发高效、安全的API,并提供给前端进行交互和展示。 ### 回答3: DRF即Django Rest Framework是一种用于构建Web API的强大工具,它使得前后端分离开发成为可能。在实践中,Django的后端提供数据的存储和处理功能,而前端使用DRF来访问API并展示数据。 首先,我们需要在Django中安装和配置DRF。可以通过在settings.py中添加'django_rest_framework'到INSTALLED_APPS列表中来安装DRF。然后,在urls.py中配置API的路由。 在Django中,我们可以使用数据库模型来定义数据模型,在使用DRF时,我们需要创建一个序列化器类来定义返回给前端的数据结构。序列化器由字段组成,可以定义字段的类型、验证规则等。我们可以使用DRF提供的ModelSerializer来快速创建序列化器类,它会自动根据模型的字段来生成对应的序列化器字段。 在视图中,我们可以使用基于类的视图来处理API请求。DRF提供了一系列的视图类,如APIView、ViewSet等,可以根据实际需求选择使用。视图类中的方法对应不同的HTTP操作,如GET、POST、PUT、DELETE等。 DRF还提供了身份验证、权限控制、过滤、排序等功能,可以根据项目的需求进行配置。 使用DRF的前后端分离实践中,前端可以通过发送GET、POST、PUT等请求来获取和操作数据。后端则负责处理请求并返回响应。前端可以通过AJAX、fetch等方法来发送请求并获取数据,然后使用HTML、CSS和JavaScript来展示数据。 在前后端分离开发中,前端和后端可以并行开发,各自独立测试,并且可以轻松地修改API而不会影响到前端界面。这种开发模式使得团队协作更加高效,同时也方便进行项目的维护和扩展。 总而言之,Django前后端分离实践之DRF可以极大地提升开发效率和团队协作能力。通过合理配置和使用DRF提供的功能,可以实现强大的API开发,使得前后端分离成为一种高效和可行的开发方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

laufing

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值