DRF JWT认证基础

最新推荐文章于 2024-05-07 21:17:29 发布
最新推荐文章于 2024-05-07 21:17:29 发布
阅读量820 收藏 23
点赞数 9
分类专栏: Django RESTFrameWork 文章标签: 网络 python django 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48183870/article/details/138144518
版权

JWT认证

【1】base64使用

(1)使用场景

  1. 电子邮件附件:由于电子邮件协议只支持 ASCII 字符集,因此,如果要发送非 ASCII 数据(如图片、音频、视频等),需要先将这些数据进行 base64 编码,然后再作为邮件内容发送。
  2. 网页中的嵌入资源:有时为了简化网页资源加载(如图片、CSS、JavaScript 等),可以将其内容使用 base64 编码,然后直接嵌入到 HTML 代码中,从而避免额外的 HTTP 请求。
  3. 配置信息:在某些情况下,配置信息(如 API 密钥、密码等)需要以明文形式存储在配置文件中,但又不想直接暴露明文。此时,可以使用 base64 进行编码。

(2)方法介绍

  • 编码base64.b64encode(s)
    • s:要编码的字节串(bytes)。
      • 类型需要是bytesstr不行
    • 返回:编码后的字节串
  • 解码base64.b64decode(s)
    • s:要解码的 base64 编码的字节串。
      • 长度如果不是4的倍数,后面补等号
    • 返回:解码后的原始字节串

(3)使用示例

  • jsonbase64搭配使用
import base64
import json

info_dict = {'name': "bruce", "age": 18}
info_str = json.dumps(info_dict).encode('utf8')
info_bytes = info_str

# 编码
base_data_en = base64.b64encode(info_bytes)
print(base_data_en)  # b'eyJuYW1lIjogImJydWNlIiwgImFnZSI6IDE4fQ=='

# 解码
base_data_de = base64.b64decode(base_data_en)
print(base_data_de)  # b'{"name": "bruce", "age": 18}'
  • 图片和base64
import base64

# 原始数据URI字符串
picture_data_base64 = ''
# 分割字符串以获取base64编码部分
base64_encoded_data = picture_data_base64.split(',')[-1]

# 解码base64数据
picture_bytes = base64.b64decode(base64_encoded_data)

# 将解码后的数据写入文件
with open('1.png', 'wb') as f:
    f.write(picture_bytes)

【2】JWT原理

(1)回顾cookie和session

  • 补充:浏览器根据域名是否相同判断发送指定的cookie信息

    • 浏览器在根据域名判断是否发送cookie时,遵循的是同源策略(Same-origin policy)。
    • 同源策略是浏览器的一种安全策略,它限制了从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。
    • 这里的“源”指的是协议、域名和端口三者的组合

  • cookie

    • 首先浏览器携带用户信息发送给后端,后端进行数据判断以后,执行方法set_cookie,构造一个字典发送给浏览器
    • 浏览器将cookie保存在浏览器中,并且还是明文保存
    • 在之后需要登录认证的操作中,携带cookie进行验证登录

image-20240418185619745

  • session
    • 这里只说不同点,保存的数据是加密的,键值是随机字符串,数据保存在数据库中,信息都是密文

image-20240418191545579

(2)JWT原理

image-20240419144838690

  • JWT(JSON Web Token)的原理基于一种身份认证方案,它使用密钥对数据进行加密和解密,根据两次数据是否一致,判断信息有没有被串改,是签发的数据就可以登录。

    • 加密过程将原始数据(即载荷)和密钥一起进行哈希运算,生成加密后的数据。
    • 解密过程则使用相同的密钥和加密后的数据进行哈希运算,还原出原始数据。

  • JWT主要由三部分构成:头部(Header)、载荷(Payload)和签名(Signature),由.符号分隔。

    1. Header:第一部分是声明类型,例如JWT;第二部分是声明所使用的算法,例如HMAC SHA256RSA等。
    2. Payload:它包含了具体的用户信息,如用户ID、用户名、角色等,也可以包含自定义的其他信息。
    3. Signature:它使用Header和Payload中的数据以及一个密钥来生成签名。签名的作用是确保数据在传输过程中没有被篡改,并且可以由接收方验证发送方的身份。

  • 特点:

    • 数据没有保存在数据库中,对大型项目很有用

【3】simple-jwt简单使用

(1)安装

pip install djangorestframework-simplejwt

(2)使用

  • 注册路由:

    • 首先导包from rest_framework_simplejwt.views import token_obtain_pair

    • 然后编写路由:路由可以自定义,视图函数使用token_obtain_pair

    • from rest_framework_simplejwt.views import token_obtain_pair
from django.urls import path
urlpatterns = [
    path('user/', token_obtain_pair),
]

  • 指定需要登录的视图函数添加需要认证方法

    • 导包from rest_framework_simplejwt.authentication import JWTAuthentication
    • 导包from rest_framework.permissions import IsAuthenticated
    • 添加到视图中
      • permission_classes = [IsAuthenticated]
      • authentication_classes = [JWTAuthentication]

  • 注册一个用户(需要使用django的user表

    • 创建一个超级用户admin

  • 未登录测试

    • image-20240418195018884

  • 登录测试

    • 首先登录获取access

    • image-20240418195229380

    • headers携带信息进行验证

    • image-20240418195429284

(3)base64解码数据

  • 头部
    • 解码后的结果是{"alg":"HS256","typ":"JWT"},这是JWT的头部,指定了用于签名JWT的算法(在这个例子中是HS256)以及令牌的类型(JWT)。
  • 载荷
    • 这个载荷部分包含了关于这个JWT的一些声明信息,比如token_type表示这是一个访问令牌(access token),exp是令牌的过期时间(UNIX时间戳),iat是令牌的签发时间,jti是令牌的唯一标识符,而user_id是用户ID。
  • 签名:这不是能直接看懂的信息
import base64

info_str = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiZXhwIjoxNzEzNDQxMjE2LCJpYXQiOjE3MTM0NDA5MTYsImp0aSI6IjU3Y2YxMmNiNjA0OTQxNTU4ODY3ZDAzNGMyZmJmYzQ4IiwidXNlcl9pZCI6Mn0.aT07kjJtvQfRLvt8O6VPTvqIPChc35CLt_aLUUXZYPY'
info_one, info_two, info_three = info_str.split('.')
print(base64.b64decode(info_one.encode('utf8')))
# b'{"alg":"HS256","typ":"JWT"}'
print(base64.b64decode((info_two + '===').encode('utf8')))
# b'{"token_type":"access","exp":1713441216,"iat":1713440916,"jti":"57cf12cb604941558867d034c2fbfc48","user_id":2}'
print(base64.b64decode((info_three + '===').encode('utf8')))
# b'i=;\x922m\xbd\x07\xd1.\xfb|;\xa5ON\xfa\x88<(\\\xdf\x90\x8b\xb5\xa2\xd4QvX='

【4】练习:自定义jwt

(1)基础准备

  • 模型表:自定义一个普通的user
from django.db import models
class User(models.Model):
    username = models.CharField(max_length=64, verbose_name='用户名')
    password = models.CharField(max_length=64, verbose_name='密码')
  • 路由层
    • user路由的视图类后续编写,books路由用于检验自定义jwt
from django.urls import path, include
from .views import BookAPIView
from rest_framework.routers import SimpleRouter
from .views import LoginJWT


router.register(prefix='books', viewset=BookAPIView, basename='books')
urlpatterns = [
    path('', include(router.urls)),
    path('user/', LoginJWT.as_view()),
]
  • 书籍相关(检测自定义jwt)
    • JwtAuth是自定义的jwt认证类
# 序列化
from rest_framework.serializers import ModelSerializer
from .models import Book
class BookModelSerializer(ModelSerializer):
    class Meta:
        model = Book
        fields = '__all__'
# 视图层
from rest_framework.viewsets import ReadOnlyModelViewSet
from .serializer import BookModelSerializer
from .models import Book
from .authentication import JwtAuth
class BookAPIView(ReadOnlyModelViewSet):
    queryset = Book.objects.all()
    serializer_class = BookModelSerializer
    pagination_class = CommonPagination
    authentication_classes = [JwtAuth]

(2)登录验证接口

  • 仿照jwt的格式返回格式
  • 头部header:{'alg': "MD5", 'typ': "JWT"}
  • 载荷payload:{"pk": obj.pk, "username": obj.username}
  • 签名signature:将头部和载荷和django的密钥进行组合,使用MD5加密
from django.conf import settings
from rest_framework.views import APIView
from rest_framework.response import Response
from .models import User
import base64
import json
import hashlib


class LoginJWT(APIView):
    headers = {'alg': "MD5", 'typ': "JWT"}

    def post(self, request):
        # 获取数据
        username = request.data.get("username")
        password = request.data.get("password")
        # 检验数据
        if not all([username, password]):
            return Response({"code": 1001, "msg": '信息不全,请补全信息。'})
        obj = User.objects.filter(username=username, password=password).first()
        if not obj:
            return Response({"code": 1002, "msg": "登录信息校验失败。"})
        # 编码数据
        header = base64.b64encode(json.dumps(self.headers).encode('utf8'))
        payload = base64.b64encode(json.dumps({"pk": obj.pk, "username": obj.username}).encode('utf8'))
        md5 = hashlib.md5(header + payload + settings.SECRET_KEY.encode('utf8'))
        signature = base64.b64encode(md5.hexdigest().encode('utf8'))
        # 三个数据都是bytes类型,需要转换成字符串才能拼接
        jwt = '.'.join([i.decode('utf8') for i in [header, payload, signature]])
        return Response({"code": 1002, "msg": "登录成功", 'jwt': jwt})

(3)登录认证类

  • 需要注意的是字符串str和字节bytes的转换,不同的方法需要的不同
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from .models import User
from django.conf import settings
import json
import hashlib
import base64

class JwtAuth(BaseAuthentication):
    def authenticate(self, request):
        # 获取jwt
        jwt = request.META.get("HTTP_JWT")
        if not jwt:
            raise AuthenticationFailed("请先登录再重试。")
        try:
            # 无法拆分成三个会报错,直接直接异常
            header, payload, signature = jwt.split('.')
            # 将头部、载荷和django的密钥进行整合后在加密
            md5 = hashlib.md5((header + payload + settings.SECRET_KEY).encode('utf8'))
            signature_ok = base64.b64encode(md5.hexdigest().encode('utf8')).decode('utf8')
            # 判断是否被串改数据
            if signature_ok == signature:
                user_dict = json.loads(base64.b64decode(payload))
                obj = User.objects.filter(**user_dict)
                return obj, jwt
            raise AuthenticationFailed("jwt信息验证失败。")
        except Exception as e:
            raise AuthenticationFailed("jwt信息有误。")

在飞行-米龙
关注
专栏目录
drf:认证及权限
qq_39787513的博客
01-24 1295
drf:认证及权限一、认证Authentication1、全局认证2、局部认证二、权限1、全局权限2、局部权限三、测试 一、认证Authentication 在drf中我们还可以进行权限和认证操作,我们先来看看认证 1、全局认证 全局认证我们只需在django配置文件中加入一个字典即可: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthenti
DRF JWT认证(一)
www_xuhss_com的博客
04-10 429
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 目录* DRF JWT认证(一) + JWT认证 + 为什么使用JWT 认证? + 构成和工作原理 - JWT的构成 * 1. header * 2. payload * 3. signature -
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
drf-jwt
weixin_38166689的博客
08-20 425
drf-jwt 官网 http://getblimp.github.io/django-rest-framework-jwt/ 安装子:虚拟环境 pip install djangorestframework-jwt 使用:user/urls.py from django.urls import path from rest_framework_jwt.views import obta...
DRFJWT认证
最新发布
weixin_52441428的博客
05-07 413
DRFJWT认证 【simple-jwt 自定制jwt签发和认证(简单版)】
DRF基于jwt实现后端登录认证
m0_61810345的博客
02-28 1236
Django认证系统中提供的用户模型类及方法很方便,我们可以使用这个模型类,但是字段有些无法满足项目需求,如本项目中需要保存用户的手机号,需要给模型类添加额外的字段。Django提供了用户抽象模型类允许我们继承,扩展字段来使用Django认证系统的用户模型类。我们可以在apps中创建Django应用,并在配置文件中注册应用。在创建好的应用models.py中定义用户的用户模型类。
DRF中使用JWT认证
FOR.GET
12-06 3088
状态码的使用 状态码 使用场景 200 服务请求成功,并响应了数据 401 当前请求需要用户登录验证,登录失败,或未登录 403 没有权限访问,请联系管理员 404 请求失败,请求所希望得到的资源未被在服务器上发现。 一、基于传统的 token 认证 基于传统的 token 认证流程:用户登录,服务端给返回的token,并将token保存在服务端,以后再来访问时,需要携带token,服务器获取token后,再去数据库中获取token来进行校验。 注册DRF应用 # s
基于drfjwt认证及用户注册实战
zbx2010的专栏
07-21 448
drf TokenAuthentication 认证 settings.py增加: INSTALLED_APPS = [ ... 'rest_framework.authtoken' ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authent
DRF JWT认证(一).doc
07-10
JSON Web Token (JWT) 是一种基于 JSON 的开放标准(RFC 7519),用于在网络应用环境中安全地...在 Django Rest Framework(DRF)中,JWT 认证是实现 API 安全访问的常见方法,能够帮助开发者构建可靠的微服务架构。
DjangoDRF框架(五)JWT认证
Simple子夜
07-06 1891
JWT简介 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 Json web token (JWT):是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也..
drf_jwt_token_demo.zip
08-03
使用django-rest-framework-jwtdjango中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以查看本人博客https://blog.csdn.net/lwuis_/article/details/107771954。
DRF(十六):jwt认证
qingyanhuan的博客
09-14 1484
jwt价绍 jwt签发和认证 自定义jwt签发和认证
DRF-JWT认证、权限、限流
XueDaJing030409的博客
06-04 764
主要以 Django+DRF + Vue的开发模式,简单介绍以 jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
DRF 认证
zhushixia1989的博客
07-12 166
DRF 认证(1)
a35155的博客
01-26 1070
认证流程 认证过程解析 一、在django中客户端发来的请求会执行视图类的as_view方法,而as_view方法会执行dispatch方法,然后进行反射执行相应的方法(get、post等) 反射:通过字符串的形式操作对象相关的属性 https://www.chenshaowen.com/blog/reflection-of-python.html 1. getattr(object,‘name‘,‘default’) 如果存在name的属性方法,则返回name的属性方法,否则返回default的属性
DRF 用户认证
梦忆安凉的博客
09-01 1036
DRF用户认证
drf验证
yx1179109710的博客
08-17 747
drf验证:     1、在settings中配置: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuth...
Django+drf+jwt+vue
L1ak的博客
09-27 1513
文章目录1.传统的登录鉴权跟基于 Token 的鉴权有什么区别?2.drf 使用 jwt2.1安装2.2修改setting2.3添加urls2.4添加管理员账号2.5测试3.vue 使用token3.1获取token,保存到vuex => store 和localStorage3.2建立router全局守卫3.3 添加请求头当前端拿到状态码为401,就清除token信息,并跳转登录页面 1.传统的登录鉴权跟基于 Token 的鉴权有什么区别? 以 Django 的账号密码登录为例来说明传统的验证鉴权
DRF的权限认证
weixin_30296405的博客
04-10 228
一、自定义权限 utils文件夹下新建permissions.py,代码如下: from rest_framework import permissions class IsOwnerOrReadOnly(permissions.BasePermission): """ Object-level permission to only allow owners of...
DRF JWT认证实战与原理解析
1. 安装`djangorestframework-jwt`库,这提供了drf支持JWT认证所需的功能。 2. 简单使用:配置settings.py,添加JWT认证认证后端,然后在视图或全局设置中启用JWT认证。 3. 自定义返回格式:可以通过重写默认的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值