25. jwt认证和基本使用

最新推荐文章于 2020-11-19 19:46:19 发布
最新推荐文章于 2020-11-19 19:46:19 发布
阅读量228 收藏
点赞数
分类专栏: django、drf 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49111957/article/details/109775092
版权

jwt认证及基本使用

1、JWT的构成

JWT就是一段字符串,由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。示例·
    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
    
# 第一部分我们称其为头部(header),
	-说明类型,这里是jwt,声明加密算法,有的会在头里加入公司信息...(最后使用base64转码)
        {
          'typ': 'JWT',
          'alg': 'HS256'
        }
# 第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),
	- 当前用户的信息(用户名,id,这个token的过期时间,手机号),最后使用base64转码
        {
          "sub": "1234567898",
          "name": "egon",
          "admin": true,
          "userid":1,
          'mobile':123444444
        }
# 第三部分是签证(signature).
	-把前面两部分的内容通过加密算法+密钥加密后得到的一个字符串

2、JWT认证原理:

-用户携带用户名,密码登录我的系统,校验通过,生成一个token(三部分),返回给用户---》登录功能完成
-访问需要登录的接口(用户中心),必须携带token过来,后端拿到token后,把header和payload截出来,再通过一样的加密方式和密码得到一个signature,和该token的signature比较,如果一样,表示是正常的token,就可以继续往后访问

二、base64介绍及使用

#1、任何语言都有base64的加码和解码,转码方式(加密方式)
#2、python中base64的加密与解密

    import base64
    import json
    
    dic_info={
      "name": "lqz",
      "age": 18
    }
    # 转成json格式字符串

    dic_str=json.dumps(dic_info)
    print(dic_str)
    # 需要用bytes格式
    # 加密
    base64_str=base64.b64encode(dic_str.encode('utf-8'))
    print(base64_str)


    # 解密
    res_bytes=base64.b64decode('eyJuYW1lIjogImxxeiIsICJhZ2UiOiAxOH0=')
    print(res_bytes)

三、jwt基本使用

jwt是内置的,控制用户登录后/未登录的访问

#1、drf中使用jwt,借助第三方
	- https://github.com/jpadilla/django-rest-framework-jwt

#2、模块的安装:
	- pip3 install djangorestframework-jwt
    
#3、快速使用(默认使用auth的user表)
	1 在默认auth的user表中创建一个用户
    2 在路由中配置
    	path('login/', obtain_jwt_token),
    3 用postman向这个地址发送post请求,携带用户名,密码,登陆成功就会返回token
    
    4 obtain_jwt_token本质也是一个视图类,继承了APIView
    	-通过前端传入的用户名密码,校验用户,如果校验通过,生成token,返回
        -如果校验失败,返回错误信息
    
#4、用户登录以后才能访问某个接口
	-jwt模块内置了认证类,拿过来局部配置就可以
    -代码示例:
    class OrderView(APIView):
        # 只配它不行,不管是否登录,都能范围,需要搭配一个内置权限类
        authentication_classes = [JSONWebTokenAuthentication, ]
        permission_classes = [IsAuthenticated,]
        def get(self, request):
            print(request.user.username)
            return Response('订单的数据')

#5、用户未登录,不能访问
    -class OrderView(APIView):
        # 只配它不行,不管是否登录,都能范围,需要搭配一个内置权限类
        authentication_classes = [JSONWebTokenAuthentication, ]
        def get(self, request):
            print(request.user.username)
            return Response('订单的数据')
        
#6、如果用户携带了token,并且配置了JSONWebTokenAuthentication,从request.user就能拿到当前登录用户,如果没有携带,当前登录用户就是匿名用户

#7、前端要发送请求,携带jwt,格式必须如下
	-把token放到请求头中,key为:Authorization 
    -value必须为:jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo1LCJ1c2VybmFtZSI6ImVnb24xIiwiZXhwIjoxNjA1MjQxMDQzLCJlbWFpbCI6IiJ9.7Y3PQM0imuSBc8CUe_h-Oj-2stdyzXb_U-TEw-F82WE

四、控制登录接口返回的数据格式

#1、控制登录接口返回的数据格式如下
    {
    code:100
    msg:登录成功
    token:asdfasfd
    username:egon
    }
    
#2、写一个函数
	from homework.serializer import UserReadOnlyModelSerializer
    def jwt_response_payload_handler(token, user=None, request=None):
        return {'code': 100, 
                'msg': '登录成功',
                'token': token,
                'user': UserReadOnlyModelSerializer(instance=user).data
                }
#3、在setting.py中配置
	import datetime
    JWT_AUTH = {
        'JWT_RESPONSE_PAYLOAD_HANDLER': 'homework.utils.jwt_response_payload_handler',
    }

五、自定义基于jwt的认证类

1、自己实现基于jwt的认证类,通过认证,才能继续访问,通不过认证就返回错误

2、代码示例:	
    class JwtAuthentication(BaseJSONWebTokenAuthentication):
        def authenticate(self, request):
            # 认证逻辑()
            # token信息可以放在请求头中,请求地址中
            # key值可以随意
            # token=request.GET.get('token')
            token=request.META.get('HTTP_Authorization'.upper())
            # 校验token是否合法
            try:
                payload = jwt_decode_handler(token)
            except jwt.ExpiredSignature:
                raise AuthenticationFailed('过期了')
            except jwt.DecodeError:
                raise AuthenticationFailed('解码错误')
            except jwt.InvalidTokenError:
                raise AuthenticationFailed('不合法的token')
            user=self.authenticate_credentials(payload)
            return (user, token)
        
 3、在视图类中配置
	authentication_classes = [JwtAuthentication, ]
知行合一cc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
jwt认证基本使用,控制登录接口返回的数据格式,base64使用,自定义基于jwt认证
yikenaoguazi的博客
11-14 547
一.昨日回顾 1 分页功能 -三个类:普通分页,偏移分页,游标分页 -每个类中都有几个属性:查询的字段,每页显示的条数,每页最多显示的条数,游标分页中有个排序 -定义一个类,继承上面3个其中一个,重写字段 -继承了APIView:实例化得到分页对象,把要分页的数据传入,返回分页后的数据,序列化,可以按照自己定制的规则返回,也可也使用page.get_paginated_response(ser.data) -如果继承了ListModelMixin和GenericAPIVie
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 811
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
基于Token的身份验证——JWT
weixin_34126215的博客
08-20 545
初次了解JWT,很基础,高手勿喷。 基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。 JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到 B由JWT用到的身份验证信息json数据加密得到 C由A和B加密得到,是校验部分 怎样生成A? header格式为: { ...
web 开发中jwt使用
一路奔跑94的博客
04-28 2843
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
2. **配置JWT**:在`Startup.cs`的`ConfigureServices`方法中,使用`AddAuthentication`和`AddJwtBearer`方法来配置JWT认证。需要设置密钥(`IssuerSigningKey`)、令牌过期时间(`TokenValidationParameters`的`...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
SpringBoot使用Jwt处理跨域认证问题的教程详解 SpringBoot使用Jwt处理跨域认证问题是目前前后端开发中常见的问题,本文将详细...使用Jwt处理跨域认证问题可以保证系统的安全性和稳定性,并且能够提供更好的用户体验。
JwtDemo.rar
05-26
在本示例"JwtDemo.rar"中,我们将探讨如何使用非对称的RS256签名算法来生成和验证JWT ID Token。RS256(RSA Signature with SHA-256)是一种基于RSA公钥/私钥对的数字签名算法,提供了安全的数据签名和验证。 首先...
15. cookie、session、token
梅开二度,异常绚烂
11-18 742
cookie、session、token一、cookie1、cookie的由来2、cookie是什么?3、cookie的原理4、Cookie规范4、django中操作cookie(增删改查)5、带签名的cookie(加盐、加密)二、Session1、Session的由来2、django中session的使用3、django中session的配置三、CBV中加装饰器 一、cookie 1、cookie的由来 会话跟踪 大家都知道HTTP协议是无状态的。 无状态的意思是每次请求都是独立的,它的执行情况和结
16. django的中间件
梅开二度,异常绚烂
11-18 549
django中间件一、中间件简介1、什么是中间件?2、作用二、自定义中间件1、process_request和process_response2、自定义中间件步骤三、中间件的几个主要方法1、process_request(request对象)2、process_response(request对象, response对象)3、process_view4、process_exception5、process_template_response(用的比较少)四、CSRF_TOKEN跨站请求伪造1、 CSRF是什
17. auth模块
梅开二度,异常绚烂
11-18 532
django的auth模块一、auth模块是什么?二、auth模块常用方法三、User对象的属性四、扩展默认的auth_user表方式一:通过关联方式二:通过继承五、自定义中间表(中介模型) 一、auth模块是什么? # auth是django自带的用户认证模块: 开发网站的时候可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册、用户登录、用户认证、注销、修改密码等功能。 Django内置了强大的用户认证系统--auth,它默认使用 auth_user 表来存储用户数据。 二、auth模块常
26. 基于jwt的多种方式登录、token签发、群数据操作
梅开二度,异常绚烂
11-19 510
基于jwt的多种方式登录、token签发、群数据操作一、基于jwt的多方式登录路由视图序列化类二、自定义user表,签发token,认证类表模型路由视图三、book,publish,author表关系及抽象表建立四、book表单增群增五、book表单查群查六、book表单改群改七、book表的单删群删八、序列化类九、路由拓展 一、基于jwt的多方式登录 1、登录方式: 手机号+密码、用户名+密码、邮箱+密码 2 流程分析(post请求): -路由:自动生成 -视图类:ViewSet(ViewS
19. drf相关基础
梅开二度,异常绚烂
11-19 416
django-rest-framework相关基础一、drf 内容概况二、web开发模式三、API接口四、postman的使用五、drf的安装六、cbv源码回顾七、RESTful规范八、APIview源码分析九、Request类分析十、序列化组件介绍十一、序列化组件简单使用1、序列化的使用步骤2、代码实现十二、序列化类字段类型和字段参数十三、序列化器的保存功能十四、序列化器的字段校验功能十五、read_only和write_only属性 一、drf 内容概况 1 django-rest-framework:
12. django多表查询part2
梅开二度,异常绚烂
11-18 404
多表查询part2一、聚合查询与分组查询1、聚合查询2、分组查询二、F和Q查询1、F查询2、Q查询三、原生sql四、defer和only五、事务(请求,装饰器,局部)1、事务的三个粒度:六、锁1、行级锁2、表级锁3、页级锁 一、聚合查询与分组查询 1、聚合查询 聚合函数包括:Avg、Max、Min、Count、Sum aggregate(*args,**kwargs) - aggregate()是QuerySet的一个终止子句,返回一个包含一些键值对的字典,键的名称是聚合值的标识符(按照字段和聚合函数的名
04. django ORM、连接sqlite
梅开二度,异常绚烂
11-17 332
orm连接数据库查询一、登录功能,连接mysql1、路由2、视图函数3、模板文件login.html二、ORM概述三、pycharm连接sqlite/mysql四、django中orm的使用1、创建表、新增删除子段的步骤:2、插入数据(以userInfo表为例)3、orm查询表内所有数据: 一、登录功能,连接mysql 1、路由 url(r'^login', views2.login), url(r'^index', views2.index), url(r'^test', views.test), 2、
07. django转化器
梅开二度,异常绚烂
11-17 290
django之转化器一、django 2.0版本的path二、path转化器三、自定义转换器(了解) 一、django 2.0版本的path 1、从2.x以后,建议使用path——是一个准确路径 2、如果使用正则方式,建议使用re_path,用法与1.x的url完全一致 二、path转化器 #1、五个内置转化器 - str:匹配除了路径分隔符(/)之外的非空字符串,这是默认的形式 - int:匹配正整数,包括0 - slug:匹配字母、数字、下划线以及横杠组成的字符串 - uui
03. django入门
梅开二度,异常绚烂
11-17 218
@toc 一、django目录介绍 -day60 项目名 -app01 app的名字 -migrations 数据库变更相关记录(你不要删,也不要改) -admin.py 后台管理(创建项目如果没有选,就没有) -apps.py app的相关配置,不用管 -models.py 数据库相关(重点) -tests.py 测试相关(不用管) -views.py 视图函数(
emqx jwt认证
最新发布
09-06
以下是使用 EMQ X 进行 JWT 认证基本步骤: 1. 生成 JWT 密钥对:首先,你需要生成一个密钥对,其中包括公钥和私钥。通常,你可以使用 OpenSSL 或其他工具生成密钥对。 2. 配置 EMQ X:在 EMQ X 的配置文件中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值