JWT认证机制
-
应用场景
前后端分离开发该如何记录用户的登录状态
-
JWT token认证机制
JSON Web Token(JWT)是目前前后端分离开发中用户身份认证最流行的一种解决方案。在用户登录后,我们想记录用户的登录状态,这里不再使用Session认证机制,而使用Json Web Token认证机制。JWT token认证机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
流程上是这样的:- 用户使用用户名和密码来请求服务器进行登录
- 服务器验证用户的登录信息
- 服务器通过验证,生成一个token并返回给用户
- 客户端存储token,并在每次验证请求携带上这个token值
- 服务端验证token值,并返回数据
-
JWT token数据格式
WT token是一个字符串,由3部分组成,用
.
隔开。如下:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRyd
1)头部(header)
jwt的头部承载两部分信息:
- 声明类型,这里是jwt
- 声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON:
{ 'typ': 'JWT', 'alg': 'HS256' }
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
2)载荷(payload)
载荷就是存放有效数据的地方。这些有效数据主要保存存储的数据和token的有效时间。
定义一个payload:
{ "username": "smart", "mobile": "13155667788", "email": "smart@163.com", "exp": "<token有效时间>" }
然后将其进行base64加密,得到JWT的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
3)签名(signature)
JWT的第三部分是一个签名信息,用来防止JWT token被伪造。
1. 签名生成过程? 答:服务器在生成jwt token时,会将header和payload字符串进行拼接,用.隔开,然后使用一个只有服务器知道的密钥对拼接后的内容进行加密,加密之后生成的字符串就是signature内容。 2. 签名验证过程? 答:当客户端将jwt token传递给服务器之后,服务器首先需要进行签名验证: 1)将客户端传递的jwt token中的header和payload字符串进行拼接,用.隔开 2)使用服务器自己的密钥对拼接之后的字符串进行加密 3)将加密之后的内容和将客户端传递的jwt token中signature进行对比,如果不一致,就说明 jwt token是被伪造的
-
使用注意点
- 不要在jwt的payload部分存放敏感信息,该部分是客户端可解密的部分
- 保护好服务器端的签名加密secret密钥
- 如果可以,请使用https协议
-
JWT扩展使用
需求:
1)服务器在验证完用户的身份后(检验用户名和密码),需要生成jwt token并返回给客户端。
2)在客户端将jwt token传递给服务器时,服务器需要对jwt token数据进行校验。
关于jwt token的生成和校验,都可以使用DRF JWT扩展来完成。
-
安装
pip install djangorestframework-jwt
-
配置
REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( # 引入JWT认证机制,当客户端将jwt token传递给服务器之后 # 此认证机制会自动校验jwt token的有效性,无效会直接返回401(未认证错误) 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } # JWT扩展配置 JWT_AUTH = { # 设置生成jwt token的有效时间 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), }
-
手动生成jwt token
JWT扩展的说明文档中提供了手动生成jwt token的方法。
from rest_framework_jwt.settings import api_settings jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER payload = jwt_payload_handler(user) token
-