复习JWT原理和实战应用(django)

最新推荐文章于 2023-03-18 20:52:03 发布
最新推荐文章于 2023-03-18 20:52:03 发布
阅读量125 收藏
点赞数 1
分类专栏: django jwt_token 文章标签: django restful python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47774641/article/details/125025213
版权

JWT原理和实战应用(django)

1、jwt

  • json web token, 一般用于用户认证(前后端分离,微信小程序,app开发)
    在这里插入图片描述

2、基于传统的token验证

  • 用户登录。服务端给返回token,并将token保存在服务端。
  • 之后用户在来访问时,需要携带token,服务端获取token后,再去数据库获取token进行校验。
from rest_framework.views import APIView
from rest_framework.response import Response
from APP import models

class ProLoginView(APIView):
    '''用户登录'''
    def post(self, request):
        user = request.data.get('username')
        password = request.data.get('password')
        user_object = models.User.objects.filter(username=user, password=password).first()
        if not user_object:
            return Response({'code': 400, 'error': '用户名或密码错误'})
        random_string = str(uuid.uuid4())

        user_object.token = random_string
        user_object.save()
        return Response({'code': 200, 'data': random_string})
    

class OrderView(APIView):
    """token验证"""
    def get(self, request, *args, **kwargs):
        token = request.query_params.get('token')
        if not token:
            return Response({'code': 400, 'error': "登录成功后才能访问"})
        user_object = models.User.objects.filter(token=token).first()
        if not user_object:
            return Response({'code': 400, 'errror': "token无效,请重新登录"})
        return Response('订单列表')

3、jwt——token

  • 用户登录,服务端给用户返回一个token(服务端不保存)。
  • 之后用户再来访问,需要携带token,服务端获取token后,在做token校验。
    • 优势:相较于传统token相比,他无需在服务端保存token。

4、jwt——token实现过程

  • 提交用户密码给服务端,如果登陆成功,使用jwt创建一个token,并给用户返回。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  • 注意:jwt生成的token是三段字符串组成,并且连接起来。

    • 第一段字符串,HEADER,内部包含算法/token类型。json转化成字符串,然后做 base64url 加密以及遇到’+_'做特殊字符串替换)
    {
  "alg": "HS256",  # 算法
  "typ": "JWT"     # token类型
}
    • 第二段字符串,payload,自定义值。json转化成字符串,然后做 base64url 加密以及遇到’+_'做特殊字符串替换)
    {
  "id": "1234567890",
  "name": "John Doe",
  "exp": 1516239022  # 超时时间
}
    • 第三段字符串:
    第一步:12两部分密文拼接起来
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
第二步:对前两部分密文进行HS256加密 + 加盐
第三步:对HS256加密后的密文在做base64url加密

  • 之后用户再来访问,需要携带token,服务端对token进行校验。

    • 获取token
    • 第一步:对token进行切割
    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
    • 第二步:对第二段进行base64url解密,并获取payload信息,检测token是否已经超时。
    {
  "id": "1234567890",
  "name": "John Doe",
  "exp": 1516239022  # 超时时间
}
    • 第三步:把第1,2端拼接,再次执行HS256加密
    第一步:12两部分密文拼接起来
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
第二步:对前两部分密文进行HS256加密 + 加盐
第三步:对HS256加密后的密文在做base64url加密(SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c)
如果相等,表示token未被修改过(认证通过)

5、应用

基于Python的pyjwt模块创建jwt的token。

  • 安装

    pip3 install pyjwt

  • 实现

    import jwt
import datetime
from jwt import exceptions
SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='
def create_token():
    # 构造header
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    # 构造payload
    payload = {
        'user_id': 1, # 自定义用户ID
        'username': 'wupeiqi', # 自定义用户名
        'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超时时间
    }
    result = jwt.encode(payload=payload, key=SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result
if __name__ == '__main__':
    token = create_token()
    print(token)

6、jwt校验token

一般在认证成功后,把jwt生成的token返回给用户,以后用户再次访问时候需要携带token,此时jwt需要对token进行超时合法性校验。

获取token之后,会按照以下步骤进行校验:

  • 将token分割成 header_segmentpayload_segmentcrypto_segment 三部分

    jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"
signing_input, crypto_segment = jwt_token.rsplit(b'.', 1)
header_segment, payload_segment = signing_input.split(b'.', 1)

  • 对第一部分header_segment进行base64url解密,得到header

  • 对第二部分payload_segment进行base64url解密,得到payload

  • 对第三部分crypto_segment进行base64url解密,得到signature

  • 对第三部分signature部分数据进行合法性校验

    • 拼接前两段密文,即:signing_input
    • 从第一段明文中获取加密算法,默认:HS256
    • 使用 算法+盐 对signing_input 进行加密,将得到的结果和signature密文进行比较。
import jwt
import datetime
from jwt import exceptions
def get_payload(token):
    """
    根据token获取payload
    :param token:
    :return:
    """
    try:
        # 从token中获取payload【不校验合法性】
        # unverified_payload = jwt.decode(token, None, False)
        # print(unverified_payload)
        # 从token中获取payload【校验合法性】
        verified_payload = jwt.decode(token, SALT, True)
        return verified_payload
    except exceptions.ExpiredSignatureError:
        print('token已失效')
    except jwt.DecodeError:
        print('token认证失败')
    except jwt.InvalidTokenError:
        print('非法的token')
if __name__ == '__main__':
    token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzM1NTU1NzksInVzZXJuYW1lIjoid3VwZWlxaSIsInVzZXJfaWQiOjF9.xj-7qSts6Yg5Ui55-aUOHJS4KSaeLq5weXMui2IIEJU"
    payload = get_payload(token)

7、获取封装的数据

示例:

class JwtQueryParamsAuthentication(BaseAuthentication):
    # 获取并判断token的合法性
    def authenticate(self, request):
        token = request.query_params.get('token')
        salt = settings.SECRET_KEY
        try:
            payload = jwt.decode(token, salt, algorithms=['HS256'])
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({'code': 400, 'error': "token已失效,请重新登录"})
        except jwt.DecodeError:
            raise AuthenticationFailed({'code': 400, 'error': "token认证失败"})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({'code': 400, 'error': "非法的token"})

        return (payload,token)

获取payload数据(示例):

class ProOrderView(APIView):
    def get(self, request):
        result = request.user
        print(result.get('name'))
        return Response(result)
吴朋奉
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python-Django-JWT的实际使用实例
Odyssues_lee的博客
06-28 5631
Django REST framework JWT一、安装配置1-安装pip install djangorestframework-jwt2-配置REST_FRAMEWORK = {    'DEFAULT_AUTHENTICATION_CLASSES': (        'rest_framework_jwt.authentication.JSONWebTokenAuthentication...
Nacos 未授权访问漏洞复现
最新发布
weixin_58609150的博客
07-08 616
POST http://IP:端口/nacos/v1/auth/users?漏洞地址:GET http://IP:端口/nacos/v1/auth/users?输入任意密码bp抓包修改返回包即可绕过进入后台。抓包将get方式修改为post并重放。
Alibaba Nacos JWT令牌使用默认密钥浅析
lwwzyy
03-18 5738
Nacos服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。许多Nacos 用户只开启了鉴权,但没有修改默认密钥,导致Nacos系统仍存在被入侵的风险。
【Nacos】nacos1.x 单机、内置数据库模式修改密码
東₂₀₂₃²⁰²³
07-26 1812
nacos1.x 无法修改密码解决方案
【云原生】nacos权限制认证--官方参考文档一阅
一个菜鸡的博客
12-04 6286
启用鉴权之后,需要在使用用户名和密码登录之后,才能正常使用nacos。开启鉴权之前,application.properties中的配置信息为: 开启鉴权之后,application.properties中的配置信息为: 注意:鉴权开关是修改之后立马生效的,不需要重启服务端。官方镜像如果使用官方镜像,请在启动docker容器时,添加如下环境变量 例如,可以通过如下命令运行开启了鉴权的容器: 除此之外,还可以添加其他鉴
详解Django配置JWT认证方式
09-16
`djangorestframework-simplejwt`是Django的一个应用,提供了JWT相关的功能。 接下来,我们需要在`settings.py`中配置Django REST framework以支持JWT认证。在`REST_FRAMEWORK`配置项中,将`JWTAuthentication`添加...
JWT认证原理、流程整合springboot实战应用
01-18
JSON Web Token(JWT)是一种轻量级的身份验证和授权机制,广泛应用于现代Web应用程序和API。Spring Boot是Java开发人员常用的快速构建微服务框架。在本实战应用中,我们将探讨如何将JWT与Spring Boot整合,实现安全...
Django如何使用jwt获取用户信息
09-17
Django中,JWT(Json Web Token)是一种用于身份验证的流行方法,它允许服务器向客户端颁发一个令牌,客户端在后续请求中携带该令牌以验证其身份。与传统的Cookie和Session相比,JWT提供了更好的可扩展性和安全性...
django-jwt-auth:对Django的JSON Web令牌认证支持
02-04
Django JWT身份验证总览该软件包为Django提供支持。 基于软件包。安装使用pip安装... $ pip install django-jwt-auth用法在您的urls.py添加以下URL路由,以启用通过POST获得令牌的过程,其中包括用户的用户名和密码...
Django项目中使用JWT的实现代码
01-02
1.requiremwnts: Django版本:2.2 python版本:3.6 djangorestframework版本:3.1 djangorestframework-...2)使用语句 python manage.py startapp django_restframework_jwt新建一个名为django_restframework_j
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
nacos 权限认证
weixin_43931625的博客
03-09 5715
nacos 权限认证
php jwt解密token,php实现JWT(json web token)鉴权实例详解
weixin_36378232的博客
03-10 1641
{"alg": "HS256","typ": "JWT"}对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为 HS256,typ默认值为JWTpayload部分:{"sub": "1234567890","name": "John Doe","iat":...
Django实战: 使用JWT Token进行用户认证
大江狗
04-20 6379
编者注:一般Web应用开发验证用户信息有两种方式,一是使用session,二是使用token。下文详细对比了两者的区别,介绍了Token认证的原理及如何在Django项目简单实现tok...
Django项目使用JWTDjango REST framework JWT
li944254211的博客
11-05 2460
Django项目使用JWTDjango REST framework JWT) 我们在验证完用户的身份后(检验用户名和密码),需要向用户签发JWT,在需要用到用户身份信息的时候,还需核验用户的JWT。 关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。 1.安装配置 安装 pip install djangorestframework-jwt 配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES'
python 生成payload_Python payload
weixin_35076634的博客
02-09 1797
最新项目用于Web应用程序的JSON WebTokens实用程序。可以生成和验证签名和加密的令牌,有无储存或自嘲。先决条件为了使用加密功能,我们创建了一个加密密钥。需要存储此密钥才能在应用程序中重 ...2021-02-09已阅读: n次简单重量一个非常简单的jwt库。支持的算法HS256HS384HS512用法编码返回新令牌。from simplejwt import encodetoken =...
AJAX POST请求中参数以form data和request payload形式在servlet中的获取方式
热门推荐
痴人说梦
05-11 22万+
HTTP请求中,如果是get请求,那么表单参数以name=value&name1=value1的形式附到url的后面,如果是post请求,那么表单参数是在请求体中,也是以name=value&name1=value1的形式在请求体中。通过chrome的开发者工具可以看到如下(这里是可读的形式,不是真正的HTTP请求协议的请求格式): get请求: RequestURL:http://127.
如何传递Request PayLoad(请求负载)中的数据?
tanwenfang的博客
02-18 2万+
在做爬虫的时候,在分析请求的过程,遇到参数长这样的: 原理不太清楚,等搞明白再来补充。这里只记录如何应用这些数据。 用法: 根据上面的图片,由于是post请求,参数一般是以key-value的json字符串传递,或者将参数放入map传递。我们可以看到很多name,这个name就是key,下面的数据就是value,我们可以提取所有的key及value,组成一个json字符串或者map传递即可。 比...
理解JWT原理、特点与实战示例
通过以上介绍,我们可以看到JWT在现代Web应用中的重要角色,它简化了身份验证和授权流程,提高了安全性,并有助于实现跨域身份管理。在实际项目中,正确理解和使用JWT对于构建安全的分布式系统至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值