DRF JWT 认证:理解 TokenObtainPairSerializer 和 TokenObtainPairView

已于 2023-05-12 14:09:27 修改
阅读量1.2k 收藏 6
点赞数 2
文章标签: django python 后端 restful
于 2023-05-12 14:06:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46253270/article/details/130627927
版权

摘要

在Web开发中,一种常用于处理用户身份验证的方法就是使用JWT(JSON WEB TOKEN。JWT就像是一种电子签证,它在网络世界中证明你是谁,并携带一些你的基本信息,服务器通过检查这个签证就能确认你的身份,而不需要你每次都出示你的身份证(用户名和密码)。

在 Django Rest Framework(DRF)中,rest_framework_simplejwt 是一个流行的库,用于处理 JWT 身份验证。这个库提供了一些有用的工具和类,如 TokenObtainPairSerializer 和 TokenObtainPairView,让我们更容易地实现 JWT 认证。

TokenObtainPairSerializer

TokenObtainPairSerializer 是用于处理 JWT 获取的序列化器。它负责验证用户提供的凭据(通常是用户名和密码),并在凭据有效时生成一对 JWT:一个访问令牌和一个刷新令牌。

访问令牌(Access Token)是一个短期的 JWT,用于身份验证和授权。当用户想要访问受保护的资源时,他们需要在请求的 Authorization 头中提供这个令牌。

刷新令牌(Refresh Token)是一个长期的 JWT,用于在访问令牌过期后获取新的访问令牌。这使得用户可以在不需要重新输入他们的凭据的情况下继续他们的会话。

TokenObtainPairSerializer 的validate方法是其核心功能,负责处理用户提供的凭证(如用户名和密码),并在这些凭证有效时返回一对JWT。

这个validate方法的工作流程大致如下:

1.它接收一个字典作为参数,这个字典通常是来自客户端请求的数据,包含了用户的用户名和密码。

2.validate 方法会使用这些数据来尝试验证用户的身份。具体来说,它会检查数据库是否存在一个与提供的用户名匹配的用户,并且该用户的密码是否与提供的密码相符。

3.如果用户的凭据是有效的,validate 方法将生成一对JWT:一个访问令牌和一个刷新令牌,并将它们作为字典的形式返回。

4.如果用户的凭据无效,validate 方法将抛出一个异常,该异常将被DRF捕获并转化为一个HTTP 400错误响应,告知客户端提供的凭据是无效的。

因此,TokenObtainPairSerializer 的 validate 方法是JWT身份验证流程的关键部分。如果你正在使用 rest_framework_simplejwt 来处理JWT,理解这个方法的工作原理是非常重要的。

TokenObtainPairView

TokenObtainPairView 是用于处理 JWT 获取的视图。它使用 TokenObtainPairSerializer 来验证用户的凭据并生成 JWT。

当用户发送一个包含他们的凭据的 POST 请求到这个视图时,它会创建一个新的 TokenObtainPairSerializer 实例,使用请求的数据初始化它,然后调用它的 is_valid 方法进行验证。

如果凭据是有效的,视图将返回一个包含 JWT 的响应。否则,它将返回一个包含错误信息的响应。

自定义 TokenObtainPairSerializer 和 TokenObtainPairView

在某些情况下,您可能希望自定义 TokenObtainPairSerializer 和 TokenObtainPairView 的行为。例如,您可能希望在 JWT 响应中包含额外的用户信息。

要自定义 TokenObtainPairSerializer,您可以创建一个新的序列化器类,继承 TokenObtainPairSerializer,然后重写 validate 方法。

类似地,要自定义 TokenObtainPairView,您可以创建一个新的视图类,继承 TokenObtainPairView,然后设置serializer_class 属性为您自定义的序列化器类。

例如,下面的代码展示了如何自定义 TokenObtainPairSerializer 和 TokenObtainPairView 以在 JWT 响应中包含用户名:

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
from rest_framework_simplejwt.views import TokenObtainPairView

class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
    def validate(self, attrs):
        data = super().validate(attrs)

        # 添加额外的返回信息
        data['username'] = self.user.username
        return data

class CustomTokenObtainPairView(TokenObtainPairView):
    serializer_class = CustomTokenObtainPairSerializer

在这里插入图片描述

在上述代码中,我们首先创建了一个新的序列化器 CustomTokenObtainPairSerializer,它继承自 TokenObtainPairSerializer,并重写了 validate 方法。在重写的 validate 方法中,我们首先调用了父类的 validate 方法来执行标准的验证和令牌生成,然后我们添加了一个额外的响应字段 username。

接下来,我们创建了一个新的视图 CustomTokenObtainPairView,它继承自 TokenObtainPairView,并将其 serializer_class 设置为我们自定义的序列化器 CustomTokenObtainPairSerializer。

在上面的例子中,我们只是在 JWT 的响应中添加了用户名。但是,我们还可以进一步自定义这个过程。例如,我们可以重写 TokenObtainPairView的post方法,以改变它处理 POST 请求的方式。下面的代码展示了如何做到这一点:

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
from rest_framework_simplejwt.views import TokenObtainPairView
from rest_framework.response import Response
from rest_framework import status

class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
    def validate(self, attrs):
        data = super().validate(attrs)
        data['username'] = self.user.username
        return data

class CustomTokenObtainPairView(TokenObtainPairView):
    serializer_class = CustomTokenObtainPairSerializer

    def post(self, request, *args, **kwargs):
            serializer = self.get_serializer(data=request.data)
            serializer.is_valid(raise_exception=True)

            response_data = {
                'message': f'{serializer.validated_data["username"]},这是顽童你知道的 !',
                'tokens': {
                    'refresh': serializer.validated_data['refresh'],
                    'access': serializer.validated_data['access'],
                }
            }

            return Response(response_data, status=status.HTTP_200_OK)

在这里插入图片描述

在这个例子中,我们重写了 post 方法,以便在返回的响应中包含一个欢迎消息。我们使用 serializer.validated_data 获取用户名和 JWT,并将这些信息添加到我们的自定义响应中。这样,每当用户成功登录时,他们将收到一个包含欢迎消息和他们的 JWT 的响应。

总结

TokenObtainPairSerializer 和 TokenObtainPairView 是 Django Rest Framework 中处理 JWT 认证的重要工具。理解它们的工作方式并知道如何自定义它们,可以帮助我们更好地构建和定制我们的 API。

希望这篇文章能帮助你理解这两个类,并能在你的项目中有效地使用它们。如果你有任何问题或者需要进一步的解释,欢迎在评论区提问。

红鼻子时代
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
05-基于JWT实现用户登录、根据token获取userId
NikoChina的博客
05-15 2124
验证过程:服务端验证 浏览器携带的用户名和密码,验证通过后生成用户凭证保存在服务端(session),浏览器再次访问时,服务端查询session,实现登录状态保持。缺点:随着用户的增多,服务端压力增大;若浏览器cookie被攻击者拦截,容易受到跨站请求伪造攻击;分布式系统下扩展性不强。
DRFJWT认证
weixin_47035302的博客
05-29 806
jwt原理,使用jwt认证和使用session认证的区别,三段式,jwt开发流程,drfjwt快速使用,drf—定制返回格式,def自定义用户表签发,drf-jwt自定义认证类,drf-jwt的签发源码分析,认证源码分析。
simple-jwt快速入门(包含自定制)
最新发布
AZURE060606的博客
04-21 864
由于simple-jwt会默认校验auth表中的数据,因此不需要再额外编写视图类,直接传入参数即可(参数要和数据库字段一致)此时相当于用DRF自带的验证视图,他会根据django自带的auth表为我们进行校验,并返回access和refresh。simple-jwt有默认的配置参数。在需要登录才能访问的视图类中加入。
drf jwt 获取登录用户
weixin_43297727的博客
05-11 926
auth = request.stream.META.get('HTTP_AUTHORIZATION') user_token = jwt_decode_handler(auth[7:]) u_id = user_token.get('user_id') try: user = User.objects.get(id = u_id) except Exception as e: print(e)
drf-jwt登录之后返回用户信息
weixin_44121790的博客
04-28 893
使用jwt登录以后返回token,但是如果要获取用户信息,则需要修改方法 在users应用中新建一个utils.py 文件,在user/utils.py 中,创建: def jwt_response_payload_handler(token, user=None, request=None): """ 自定义jwt认证成功返回数据 :token 返回的jwt :...
drf-jwt登录之后返回用户对象
u011840205的博客
02-26 1035
前言 在登录验证之后,本想返回一个user对象到前端,可是在drf发送response的时候user对象就消失了,查看源码和文档之后才了解,drf默认只会返回token 验证对象返回User class CustomBackend(ModelBackend): """ 自定义用户验证 """ def authenticate(self, username=None,...
7、DRF实战总结:JWT认证原理和使用,以及第三方库simplejwt 的详解源码
04-05
JSON Web TokenJWT)是一种用于认证和授权的开放标准,允许在客户端和服务器之间传递信息,以验证用户身份和授权访问特定资源。它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此...
DRF JWT认证(一).doc
07-10
DRF JWT认证(一).doc
drfJWT认证.doc
07-08
drfJWT认证.doc
drf-SimpleJWT-Vue:模板 Django + DRF + SimpleJWT + Vue.js 项目
08-04
DRF SimpleJWT + Vue.js 应用程序的模板库最初创建:2020 年 7 月 3 日TL;DR:SimpleJWTDjango 服务器存储库设置。 测试用户: test和 pw test 。示例存储库React: Vue: 安卓: iOS: 介绍此模板存储库专用于...
drf-auther:Django Rest Framework的身份验证和授权
02-08
DRF Auther Django Rest Framework的更好的身份验证和授权。
测试开发基础,教你做一个完整功能的Web平台之登录认证
deerxiaoluaa的博客
07-12 859
说到Web端的认证机制,作为测试人员,我们能想到的是cookie、session、token。那么Django中也为我们提供了一些jwt(Json Web Token)认证的方式。
Django REST Framework教程(7): 如何使用JWT认证(神文多图)
大江狗
11-07 7946
在前面的DRF系列文章中,我们介绍了DRF认证(authentication)的本质,以及自带的几种认证方案,包括TokenAuthentication方案。然而JSON Web To...
DRF使用simple JWT身份验证
奔跑的蜗牛的博客
01-12 4044
文章目录前言登录返回token和refresh注册返回token 前言 在Django的前后端分离项目中DRF(Django Restframe Work)框架无疑是首选,关于token验证一般使用的是JWT,但是JWT只支持到Django1.x的版本。 官方推荐Django2.x之后的版本使用simple JWT,官方文档。 登录返回token和refresh user 模型类: 我user模型类继承的是django.contrib.auth.models.AbstractUser,这样可以使用Djang
Django】基于JWTtoken认证
无邪的博客
03-28 1710
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
Django使用DRF + Simple JWT 完成小程序使用自定义用户的注册、登录和认证
li-xun的博客
09-18 2365
Django使用DRF + simpleJWT 完成小程序自定义用户的注册、登录和认证
修改Djangorestframework-simplejwt用户登录成功及失败的默认输出
对于写代码这件事,我是业余的。
02-29 3650
Djangorestframework-simplejwtDjango REST Framework框架的一个jwt插件,具体使用方法如下:https://github.com/davesque/django-rest-framework-simplejwt 一通配置好后,默认的鉴权输出如图: 但是前端接收的api接口格式为: 这就需要我们对框架的返回格式进行修改,最简单暴力的方法...
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 2534
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web TokenJWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
Simplejwt返回带Token的用户信息
小龙狗的博客
12-14 1043
文章目录说明1. 创建 Serializer 文件2. 创建 Views 文件3. 配置 `urls.py`4. 测试 说明 接上篇:DjangoRestFramework中的simplejwt使用 https://blog.csdn.net/ShyLoneGirl/article/details/117759152 为使客户端请求 Token 同时返回登录账户基本信息,作如下处理。 1. 创建 Serializer 文件 命名为 login_seri.py ,代码如下,继承自 Simplejwt 包的
python+django+drf框架完成jwt登录认证接口
04-29
首先,需要安装 `djangorestframework` 和 `djangorestframework-jwt` 库: ``` pip install djangorestframework pip install djangorestframework-jwt ``` 然后在 Django 项目的 `settings.py` 文件中添加以下配置: ```python INSTALLED_APPS = [ # ... 'rest_framework', 'rest_framework.authtoken', 'rest_framework_jwt', # ... ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } JWT_AUTH = { 'JWT_SECRET_KEY': 'your-secret-key', 'JWT_ALGORITHM': 'HS256', 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_AUTH_HEADER_PREFIX': 'Bearer', } ``` 其中,`JWT_SECRET_KEY` 是一个随机字符串,用于加密生成 JWT token。 接下来,在 Django 项目的 `urls.py` 文件中添加以下代码: ```python from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token urlpatterns = [ # ... path('api-token-auth/', obtain_jwt_token), path('api-token-refresh/', refresh_jwt_token), path('api-token-verify/', verify_jwt_token), # ... ] ``` 这里添加了三个路由,用于获取、刷新、验证 JWT token。 最后,为需要登录认证的接口添加装饰器,例如: ```python from rest_framework.decorators import api_view, permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) def my_view(request): content = {'message': 'Hello, World!'} return Response(content) ``` 这里使用了 `@permission_classes([IsAuthenticated])` 装饰器,表示只有通过 JWT token 认证的用户才能访问该接口。 至此,我们完成了 Django DRF 框架的 JWT 登录认证接口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值