刨析Django----前后端分离的项目及token

已于 2022-03-23 20:00:48 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 后端django 文章标签: django python jwt
于 2021-12-17 11:02:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45228198/article/details/121991718
版权

目录

前后端分离

前端:客户端,负责页面渲染。
后端:服务端,处理请求,返回数据
API:前后端交互的接口,如url地址
判断前后端分离:谁生成页面?

优势:

  1. 前端主要负责页面效果、兼容性等,后端负责服务的稳定、并发等,各司其职。
  2. 前端利用客户端处理数据,降低服务器的压力。
  3. 服务端的错误不会直接展示给用户。
  4. 灵活搭配各种前端,如android/ios
  5. 并行开发,提高效率

分离的问题

  1. 如何解决http无状态?
    token---->JWT+localStorage
  2. 如何解决跨域?
    CORS—django-cors-headers
  3. 如何解决csrf?
    使用token,不会有csrf问题
  4. 会影响搜索引擎的效果。
  5. 数据校验,前后端都做
  6. 动静分离,将css/js/image等与服务器分离开,单独存储。

会话保持token

JWT, Json Web Token
header = {‘typ’:‘JWT’, ‘alg’:‘HS256’}
payload = {‘uid’:user.id, ‘exp’: }
过期时间是与utc时间对比的
exp: time.time() + 300
或者
exp: datetime.utcnow() + timedelta(seconds=300)

  1. 前置知识-base64转码-非加密
import base64
s = 'test string'

#编码
s_encode = base64.b64encode(s.encode())  #结果为字节串
s_= base64.b64decode(s_encode)  # 结果也为字节串
#长度为4的倍数

#类似的更安全方式
base64.urlsafe_b64encode()
base64.urlsafe_b64decode()

from hashlib import sha256
s = sha256()    #完整性校验, 定长,不可逆
s.update(s.encode())
s.hexdigest()

import hmac
#key 用作身份验证
# 完整性校验
h = hmac.new(key, s.encode(), digestmod='SHA256') #参数为字节串
h.hexdigest()  #字符串
  1. jwt
    header + payload + signature
    header
{"typ":"JWT", 'alg':"HS256"}
#typ token的类型
#alg  使用的算法
#需要base64编码-->得到p1
p1 = base64.urlsafe_b64encode(json.dumps({},separators=(",", ":"), sort_keys=True).encode()).replace("=", "")

        payload

#公有声明  
#exp  token的过期时间   time.time() + xxs
# 或者datetime.utcnow() + timedelta(seconds=300)
#iss token签发者  不常用
#iat  token创建时间
#aud  签发群体
{
	"exp": datetime.now() + timedelta(seconds=200)
	"username":user.username, 
	'uid':user.id
}
#base64编码--->得到p2  去掉=占位符

        signature

使用alg中指定的算法,这里是HS256
h = hmac.new(key, p1 + b"." + p2, digestmod='SHA256') #参数字节串SHA256
sign = h.digest()  #获取二进制
p3 = base64.urlsafe_b64encode(sign)
#去掉=

最终:
p1.decode() + “.” + p2.decode() + “.” + p3.decode()
即:base64(header) + b"." + base64(payload) + b"." + base64(sign)
3. 校验jwt
token分割,p1, p2, p3 = token.split(".");
每一部分补占位符‘=’,根据长度为4的倍数;

left = p%4
p += "="*(4-left)

base64解码出header,拿到alg算法;
根据p1.p2部分重新计算签名部分sign_;
对比两个签名是否一致;
一致,则获取payload内容,验证是否过期。
time.time() > exp

使用pyjwt生成

pip install pyjwt

import jwt
payload = {"name":"laufing", "exp":time.time() + 300}
r = jwt.encode(payload=payload, key="123", algorithm='HS256') #得到编码字符串

#校验
#1. 无token 则肯定未登录

#2. 有token则解码
dr = jwt.decode(r, key="123", algorithms='HS256') #{ }
#解码时,自动校验过期,若过期则异常,注意异常捕获
#解码虚假的token时,也会报错

#3. 正常解码,则校验通过,可以继续操作

前端请求

前端请求后端时,带着token

优化注册项目

使用JWT进行会话保持,优化前后端分离的Django与Vue注册项目。

laufing
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django+JWT实现Token认证
weixin_34174422的博客
01-22 1953
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
django前后端分离的csrf_token加入
weixin_44854778的博客
03-13 239
1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。 from django.middleware.csrf import get_token ,rotate_token def server(request): # 两者选一 get_token(request) # rotate_token(request) // 此方法每次设置新的cookies return render(req
gfast:基于全新Go Frame 2.3+Vue3+Element Plus构建的全栈前后端分离管理系统
最新发布
chenchuang0128的博客
05-26 640
基于全新Go Frame 2.3+Vue3+Element Plus开发的全栈前后端分离的管理系统前端采用vue-next-admin 、Vue、Element UI。
71. Django 前后端分离csrf token获取方式
DevOps海洋的渔夫@专栏
11-11 3382
需求一般Django开发为了保障避免 csrf 的攻击,如果使用Django的模板渲染页面,那么则可以在请求中渲染设置一个csrftoken的cookie数据,但是如果需要前后端分离,...
Django 集成JWT 基于Token凭证方式,实现前后端分离
zhouzhiwengang的专栏
08-11 1615
功能简介 业务需求:今天想尝试为Django 添加安全验证框架,但是看了相关Django 涉及Authentication模块的配置,过于繁琐且不适合当前前后端分离趋势发展,所以放弃Django自带安全模块,使用Django 集成Jwt 基于Token 凭证方式,实现前后端功能分离。 业务思路大致步骤描述: 1、用户通过登入url,输入合法用户名和密码获取登入凭证token 2、后台业务逻辑方法通过装饰器函数(token_required()),校验请求接口携带的Token 是否合法、是否失效等。
Django前后端分离1——jwt
weixin_43667990的博客
09-10 319
一.前戏 1.base64 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlh...
高效易用Django流程引擎源码 - django-lb-workflow
03-25
项目概述:django-lb-workflow 是一个基于Python的高效易用Django流程引擎源码,旨在轻松集成至现有系统。该项目主要由68个Python文件、30个HTML文件以及其他相关文件构成,共计136个文件。其中还包括了HTML模板、...
基于PythonDjango-demo项目设计源码
04-11
本源码提供了一个基于PythonDjango-demo项目设计。项目包含28个文件,其中包括16个Python源文件、5个XML文件、3个HTML文件、2个Gitignore文件、1个IML文件和1个LICENSE文件。这个项目是一个基于PythonDjango项目...
django-treebeard:Django的高效树实现
02-05
django-treebeard django-treebeard是一个库,可为Django Web Framework 2.2及更高版本实现有效的树实现。 它由GustavoPicón编写,并根据Apache License 2.0获得许可。状态产品特点django-treebeard是: 灵活:包括...
django-db-connection-pool:Django 的持久数据库连接后端
05-30
django-db-connection-pool Django 的 MySQL & Oracle & PostgreSQL 连接池后端,基于 SQLAlchemy。快速开始使用pip安装所有引擎: $ pip install django-db-connection-pool[all] 或选择特定引擎: $ pip install ...
django基于存储在前端的token用户认证解析
09-18
主要介绍了django基于存储在前端的token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Vue+Django前后端分离常用操作
weixin_44675051的博客
04-08 152
pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple pymysql bs4 simpleui djangorestframework pyjwt django-cors-headers pycryptodome(win) pycrypto(lunx) requests Pillow hashib datetime random xm...
Django + Vue 前后端分离
unique 的博客
12-08 1384
总体思路:。。。。下面是其中遇到的问题一、跨域问题:添加中间件 django-cors-headers这里写链接内容二、csrf 验证三、跨域后 session 失效
Django+Vue+ElementUI管理后台源码
一米阳光的博客
03-15 958
一款 Python 语言基于Django、Vue2.x、ElementUI、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
Django-Vue-Admin基于Django+Vue前后端分离权限管理框架
一米阳光的博客
10-23 679
一款 Python 语言基于Django、Vue、ElementUI、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
vue3 前后端分离的后台管理系统解决方案来了
zihan0321的博客
03-09 443
使用 Vue3、ElementPlus、vite、CompositionApi、Scss、Pinia,Axios 最新版搭建。
Django实现API Token认证机制 --- Django+restframework+JWT
狼性书生
05-27 4964
Django 实现 API Token认证机制 项目地址:https://github.com/ylpxzx/django_jwt_example Session鉴权与Token鉴权的区别 传统session认证 HTTP协议是无状态的,而session的主要目的就是给无状态的HTTP协议添加状态保持,通常在浏览器作为客户端的情况下比较通用,需要在服务端去保留用户的认证信息或者会话信息。 流程: 注册账号 登录页面输入账号密码提交表单后,发送请求给服务器 服务器对账号密码进行验证鉴权,验证鉴权通过后,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

laufing

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值