前后端分离
前端:客户端,负责页面渲染。
后端:服务端,处理请求,返回数据
API:前后端交互的接口,如url地址
判断前后端分离:谁生成页面?
优势:
- 前端主要负责页面效果、兼容性等,后端负责服务的稳定、并发等,各司其职。
- 前端利用客户端处理数据,降低服务器的压力。
- 服务端的错误不会直接展示给用户。
- 灵活搭配各种前端,如android/ios
- 并行开发,提高效率
分离的问题
- 如何解决http无状态?
token---->JWT+localStorage - 如何解决跨域?
CORS—django-cors-headers - 如何解决csrf?
使用token,不会有csrf问题 - 会影响搜索引擎的效果。
- 数据校验,前后端都做
- 动静分离,将css/js/image等与服务器分离开,单独存储。
会话保持token
JWT, Json Web Token
header = {‘typ’:‘JWT’, ‘alg’:‘HS256’}
payload = {‘uid’:user.id, ‘exp’: }
过期时间是与utc时间对比的
exp: time.time() + 300
或者
exp: datetime.utcnow() + timedelta(seconds=300)
- 前置知识-base64转码-非加密
import base64
s = 'test string'
#编码
s_encode = base64.b64encode(s.encode()) #结果为字节串
s_= base64.b64decode(s_encode) # 结果也为字节串
#长度为4的倍数
#类似的更安全方式
base64.urlsafe_b64encode()
base64.urlsafe_b64decode()
from hashlib import sha256
s = sha256() #完整性校验, 定长,不可逆
s.update(s.encode())
s.hexdigest()
import hmac
#key 用作身份验证
# 完整性校验
h = hmac.new(key, s.encode(), digestmod='SHA256') #参数为字节串
h.hexdigest() #字符串
- jwt
header + payload + signature
header
{"typ":"JWT", 'alg':"HS256"}
#typ token的类型
#alg 使用的算法
#需要base64编码-->得到p1
p1 = base64.urlsafe_b64encode(json.dumps({},separators=(",", ":"), sort_keys=True).encode()).replace("=", "")
payload
#公有声明
#exp token的过期时间 time.time() + xxs
# 或者datetime.utcnow() + timedelta(seconds=300)
#iss token签发者 不常用
#iat token创建时间
#aud 签发群体
{
"exp": datetime.now() + timedelta(seconds=200)
"username":user.username,
'uid':user.id
}
#base64编码--->得到p2 去掉=占位符
signature
使用alg中指定的算法,这里是HS256
h = hmac.new(key, p1 + b"." + p2, digestmod='SHA256') #参数字节串SHA256
sign = h.digest() #获取二进制
p3 = base64.urlsafe_b64encode(sign)
#去掉=
最终:
p1.decode() + “.” + p2.decode() + “.” + p3.decode()
即:base64(header) + b"." + base64(payload) + b"." + base64(sign)
3. 校验jwt
token分割,p1, p2, p3 = token.split(".");
每一部分补占位符‘=’,根据长度为4的倍数;
left = p%4
p += "="*(4-left)
base64解码出header,拿到alg算法;
根据p1.p2部分重新计算签名部分sign_;
对比两个签名是否一致;
一致,则获取payload内容,验证是否过期。
time.time() > exp
使用pyjwt生成
pip install pyjwt
import jwt
payload = {"name":"laufing", "exp":time.time() + 300}
r = jwt.encode(payload=payload, key="123", algorithm='HS256') #得到编码字符串
#校验
#1. 无token 则肯定未登录
#2. 有token则解码
dr = jwt.decode(r, key="123", algorithms='HS256') #{ }
#解码时,自动校验过期,若过期则异常,注意异常捕获
#解码虚假的token时,也会报错
#3. 正常解码,则校验通过,可以继续操作
前端请求
前端请求后端时,带着token
优化注册项目
使用JWT进行会话保持,优化前后端分离的Django与Vue注册项目。