Django之前后端分离自定义token认证

已于 2024-01-01 22:30:08 修改
阅读量558 收藏 12
点赞数 11
文章标签: django python 数据库 mysql 后端 安全
于 2024-01-01 22:29:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58414150/article/details/135329888
版权

1. settings.py

from pathlib import Path

BASE_DIR = Path(__file__).resolve().parent.parent

SECRET_KEY = 'django-insecure-7jzbod!!(2p#zzimb$_=azn&%wlm2uvtp&=)ijx1&zmtsr^0av'

DEBUG = True

ALLOWED_HOSTS = ['*']

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'app.apps.AppConfig',
    'corsheaders',
]

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    # 添加跨域处理中间件
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'app.middleware.TokenAuthenticationMiddleware',
]

# 跨域处理
CORS_ALLOW_CREDENTIALS = True  # 允许携带身份凭证(如 Cookie)
CORS_ORIGIN_ALLOW_ALL = True  # 设置为 True 表示允许所有跨域请求,不推荐在生产环境使用
CORS_ALLOW_ALL_ORIGINS = True  # 允许所有 域名/IP 跨域
# CORS_ORIGIN_WHITELIST = ('http://127.0.0.1:*',) # 配置可跨域访问的 域名/IP
CORS_ALLOW_METHODS = ('*',)  # 允许的 HTTP 请求方法 * 表示允许全部请求方法

# CORS_ALLOW_METHODS = (
#     'GET',
#     'POST',
#     'PUT',
#     'PATCH',
#     'DELETE',
#     'OPTIONS',
# )  # 允许的 HTTP 请求方法

CORS_ALLOW_HEADERS = (
    'XMLHttpRequest',
    'X_FILENAME',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
)  # 允许的请求头

# CORS_EXPOSE_HEADERS = ()  # 允许前端访问的响应头

ROOT_URLCONF = 'rbacProject.urls'

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': [BASE_DIR / 'templates']
        ,
        'APP_DIRS': True,
        'OPTIONS': {
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        },
    },
]

WSGI_APPLICATION = 'rbacProject.wsgi.application'


DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql',
        'NAME': 'rbac_db',
        'HOST': 'localhost',
        'PORT': '3306',
        'USER': 'root',
        'PASSWORD': 'root',
        'OPTIONS': {
            'charset': 'utf8mb4',
            'init_command': "SET time_zone='+8:00'",
        },
    }
}


AUTH_PASSWORD_VALIDATORS = [
    {
        'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator',
    },
    {
        'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator',
    },
    {
        'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator',
    },
    {
        'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator',
    },
]


LANGUAGE_CODE = 'zh-hans'

TIME_ZONE = 'Asia/Shanghai'

USE_I18N = True

USE_TZ = True


STATIC_URL = 'static/'


DEFAULT_AUTO_FIELD = 'django.db.models.BigAutoField'


'''jwt配置'''
#私钥
JWT_SECRET_KEY='8UhyuegyPYOFsqTPTX9FgLga4iYkssssLgggggggNQVn9jsasdhfaeYJXiS'
#TOKEN内容密钥   AES-128-ECB   偏移量0
# TOKEN_AES128_KEY = 'o0ubx1kB2V8aGq8L'

'''统一错误响应'''
#请求失败(默认)返回内容
# RES_DEFAULT_CONTENT = {'code':'9','data':{},'msg':'请求错误'}

'''请求前缀'''
#请求接口前缀  需要携带 /
# API_REQUEST_PREFIX = '/api'

'''安全认证相关'''
#无需token认证白名单列表
# NOT_TOKEN_PROCESS_ROUTE_LIST = [API_REQUEST_PREFIX+'/login']
NOT_TOKEN_PROCESS_ROUTE_LIST = ['/login','/register']
#IP白名单 长度大于0 表示启用
IP_ADDRESS_WHITE_LIST = []
#IP黑名单 长度大于0 表示启用
IP_ADDRESS_BLACK_LIST = []

2. urls.py

from django.contrib import admin
from django.conf.urls import url
from app.views import *

urlpatterns = [
    url(r'^admin/', admin.site.urls),

    url(r'^login/', login),
    url(r'^logout/', logout),
    url(r'^register/', register),
    url(r'^info/', get_info),
    url(r'^paging/', paging),
]

3. result.py

from django.http import JsonResponse

# 封装返回json响应结果类
class Result:
    @classmethod
    def success(self, data=None, message="操作成功"):
        return JsonResponse({
            "code": 0,
            "success": True,
            "data": data,
            "message": message
        })

    @classmethod
    def error(self):
        return JsonResponse({
            "code": -1,
            "success": False,
            "data": None,
            "message": "请求错误!"
        })

    @classmethod
    def fail(self, message="操作失败"):
        return JsonResponse({
            "code": 1,
            "success": False,
            "data": None,
            "message": message
        })

4. baseModelMixin

import datetime

# 模型对象转成json对象基类
class BaseModelMixin:
    def to_json(self, exclude=None):
        fields = [f.name for f in self._meta.fields]
        if exclude:
            fields = [f for f in fields if f not in exclude]
        data = {}
        for f in fields:
            value = getattr(self, f)
            if isinstance(value, datetime.datetime):
                value = value.strftime('%Y-%m-%d %H:%M:%S')
            data[f] = value
        return data

5. models.py

import datetime
from django.db import models
from utils.baseModelMixin import BaseModelMixin
import jwt
from rbacProject.settings import JWT_SECRET_KEY

# Create your models here.
class User(models.Model, BaseModelMixin):
    username = models.CharField(max_length=30,unique=True,verbose_name='用户名')
    password = models.CharField(max_length=255,verbose_name='密码')
    email = models.EmailField(verbose_name='邮箱')
    mobile = models.CharField(max_length=11,unique=True,verbose_name='手机号码')
    create_time = models.DateTimeField(auto_now_add=True,null=True,verbose_name='创建时间')
    update_time = models.DateTimeField(auto_now=True,null=True,verbose_name='更新时间')
    def __str__(self):
        return self.username

    @property
    def token(self):
        return self._generate_jwt_token()

    # 生成token
    def _generate_jwt_token(self):
        token = jwt.encode({
            'exp': datetime.datetime.now(tz=datetime.timezone.utc) + datetime.timedelta(seconds=1*60*60*24),
            'iat': datetime.datetime.now(),
            'data': {
                'username': self.username,
                'user_id': self.id
            }
        }, JWT_SECRET_KEY, algorithm='HS256')

        return token.decode('utf-8')  # 将令牌转换为字符串类型

6. views.py

from django.contrib.auth import logout as auth_logout
from django.core.paginator import Paginator
from django.contrib.auth.hashers import make_password, check_password
from utils.result import Result
import json
from app.models import *
# Create your views here.

def login(request):
    if request.method == 'POST':
        try:
            req_data = json.loads(request.body)
            username = req_data['username']
            password = req_data['password']
            user = User.objects.get(username=username)

            if check_password(password, user.password):  # 使用 check_password 函数验证密码
                token = user.token
                token_ = {"token": token}
                return Result.success(token_,"登录成功!")
            else:
                return Result.fail("用户名或密码错误!")
        except (KeyError, User.DoesNotExist):
            return Result.fail("用户名或密码错误!")

    return Result.error()

def register(request):
    if request.method == 'POST':
        # 从请求中获取注册信息
        req_data = json.loads(request.body)
        username = req_data['username']
        password = req_data['password']
        email = req_data['email']
        mobile = req_data['mobile']

        try:
            # 创建用户对象并保存到数据库
            hashed_password = make_password(password)  # 对密码进行加密
            user = User(username=username, password=hashed_password, email=email, mobile=mobile)
            user.save()
            # 返回注册成功的响应
            return Result.success("注册成功!")
        except Exception as e:
            # 处理注册过程中的异常情况
            return Result.fail("注册失败!")

        # 返回请求方式不允许的响应
    return Result.error()


def logout(request):
    if request.method == 'POST':
        auth_logout(request)  # 删除会话信息
        # 返回成功响应
        return Result.success("退出登录成功!")
    return Result.error()

def get_info(request):
    if request.method == 'GET':
        user = request.user  # 通过中间件已经验证过的用户对象
        data = user.to_json(exclude=["password"])
        return Result.success(data,"查询成功")
    return Result.error()


def paging(request):
    if request.method == 'POST':
        # 获取前端传来的参数
        req_data = json.loads(request.body)
        per_page = req_data['per_page']
        page = req_data['page']
        users = User.objects.all()
        paginator = Paginator(users, per_page)
        page_data = [user.to_json(exclude=['password']) for user in paginator.page(page).object_list]
        total_page = paginator.num_pages
        total_count = paginator.count
        data = {"records": page_data, "total_page":total_page, "total_count":total_count}
        return Result.success(data)
    return Result.error()

7. middleware.py

import jwt
from django.utils.deprecation import MiddlewareMixin
from app.models import User
from utils.result import Result
from rbacProject.settings import JWT_SECRET_KEY,NOT_TOKEN_PROCESS_ROUTE_LIST

'''
token认证中间件
'''

class TokenAuthenticationMiddleware(MiddlewareMixin):
    def process_request(self, request):
        # 检查请求的 URL 是否在白名单中,如果是,则跳过认证
        if any([request.path.startswith(url) for url in NOT_TOKEN_PROCESS_ROUTE_LIST]):
            return None

        # 检查请求头中是否有 HTTP_AUTHORIZATION
        if 'HTTP_AUTHORIZATION' not in request.META:
            return Result.fail("未提供身份验证令牌!")

        # 进行token认证
        auth_header = request.META['HTTP_AUTHORIZATION']
        try:
            prefix, token = auth_header.split(' ')
            if prefix == 'Bearer':
                decoded_token = jwt.decode(token, JWT_SECRET_KEY, algorithms=['HS256'])
                request.user = User.objects.get(id=decoded_token['data']['user_id'])
        except jwt.exceptions.ExpiredSignatureError:
            return Result.fail("token认证过期!")
        except (ValueError, jwt.ExpiredSignatureError, jwt.InvalidTokenError, User.DoesNotExist):
            return Result.fail("token认证无效!")

        # token认证成功,放行
        return None

码喵喵
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django自定义认证方式用法示例
09-21
主要介绍了Django自定义认证方式用法,结合实例形式分析了Django自定义认证的创建、设置及功能实现技巧,需要的朋友可以参考下
uniapp和Django进行前后端分离小程序开发,token设计
m0_54113650的博客
01-28 222
这里本来有’Content-Type’: 'multipart/form-data’的,但是发送给后端,就算身份验证成功了,但是前端得到的信息是detail":"Multipart form parse error - Invalid boundary in multipart: None"显示错误,后来查了资料把这个注释掉了才成功的。在开发小程序时,需要进行token的设计,这里是使用simpleJWT进行token的获取,在后面的话就可以直接使用APIView进行身份验证。3.setting里配置。
Django中如何使用jwt登录验证
weixin_44380466的博客
09-06 215
'rest_framework_jwt.authentication.JSONWebTkenAuthenticaion', # 在DRF中配置JWT认证。'rest_framework.permissions.IsAuthenticated', # 全局配置只有认证的用户才可以访问接口。1.在settings中配置 rest_framework.auhtoken corsheaders。# 3.刷新token 允许使用旧的token刷新新的token 接口对接需要设置为true。
django实现JWT
ZJX_959的博客
09-18 626
json web token的结构 jwt的结构由三个部分组成: Header Payload Signature header头的格式如下 headers = { #typ 属性表示令牌类型,这里就是 JWT。 'typ': ' jwt', # alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256 就是 HMAC SHA256 算法 'alg
Django使用Header(子协议)传递JWT Token
ETO发展中心
03-10 433
WebSocket请求如何安全的传输Token
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 3713
django 使用jwt token的东西来进行认证
django项目后台开发】Token和Session的区别、Token的生成方式(1)
python全栈
05-17 1009
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token认证和传统的session认证的区别 1、传统的session认证
python --django(初始环境) token问题
weixin_44634704的博客
08-06 305
utilts中 helps中 db_routers中 middleware中 主项目urls中 settings中 } gun_conf
Token验证与用户名加密码验证的区别
ly_twt的博客
10-06 5451
1、什么是Token验证? Token是一种用户身份的验证方式,通常叫做令牌验证。当用户第一次登录成功后,服务器会生成一个Token并将此Token返回给用户,以后用户只需要带上这个Token前来请求数据即可,无需再用用户名和密码。 2、Token验证过程 ①首次登录时,客户端通过用户名与密码请求登录 ②服务端收到请求并验证用户名与密码 ③若验证通过,服务端会签发一个Token,该Tok...
Django后端分离 使用element-ui文件上传方式
09-16
主要介绍了Django后端分离 使用element-ui文件上传方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django认证系统实现自定义权限管理的方法
09-20
主要介绍了django认证系统实现自定义权限管理的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django rest framework 自定义token
yutao1131的博客
12-12 1093
这里写自定义目录标题python rest framework 自定义标题参考文档1 准备2 go2.1 项目结构2.2 用户model2.3 views.py2.4 urls.py 路由2.5 自定义auth.py2.6 在项目目录下添加文件myBackend.py2.7 修改项目settings.py, 添加3 测试结果 python rest framework 自定义标题 rest ...
Django自定义中间件验证用户token信息
唯有热爱 可抵万难
08-21 81
1.新建middleware.py from django.urls import reverse from rest_framework.response import Response from utils.token import check_token from django.http import JsonResponse, HttpResponseRedirect from y...
Django框架前后端分离开发之JWT Token详解及djangorestframework-jwt超详细使用demo
lienze.tech
02-07 2332
前言 这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题 于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。 微信小程序搜索:Python面试宝典 或可关注原创个人博客:https://lienze.tech 也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习 JWT 什么是jwt?
django登录实现自动生成token
qq_60976312的博客
10-11 1807
django登录实现自动生成token
Djangoheader请求头中的Authorization获取token验证数据
qq_32656561的博客
08-18 8148
前言 之前使用django开发api接口时,约定是要每次请求都要带token这个参数,这样很不方便,最近学了vue,也使用了axios,发现在axios拦截器中可以设置每次请求头中增加一个Authorization属性,用它来自动携带token就很方便了 拦截器设置 代码: axios.interceptors.request.use(config =>{ console.log(config) /*为请求头对象添加Token验证的Authorization对象,就不用每次都在要传送的字段上加
python web框架哪家强?Flask、Django、FastAPI对比
最新发布
老王的博客
06-18 1440
对比Flask、Django和FastAPI三款python框架,Flask更适合新手上手。
Django ORM非空判断、以及通用写法
CherryXieのblog
06-15 647
查询并返回 name 字段以及关联对象的数量annotate() 方法可以对查询结果进行聚合计算,返回包含计算结果的 QuerySet 对象。f" {field_name } __isnull" : True }) # 判断 ar_address 字段是否为空 qs = MyModel . objects . filter(is_field_null('ar_address'))# 判断 ar_address 字段是否为空自定义一个通用的函数,可以更方便地复用这种判断逻辑。
Django 后端复选框传值示例
04-19
您好,以下是一个Django后端复选框传值的示例代码: 在HTML文件中,使用`<input>`标签创建一个复选框,并将其名称设置为“check”,值分别为“val1”和“val2”: ``` <form action="" method="post"> {% csrf_token %} <input type="checkbox" name="check" value="val1">Val1<br> <input type="checkbox" name="check" value="val2">Val2<br> <input type="submit" value="Submit"> </form> ``` 在Django视图中,可以使用`request.POST.getlist()`方法获取复选框中被选中的值列表: ``` def my_view(request): if request.method == 'POST': selected_values = request.POST.getlist('check') return HttpResponse(selected_values) ``` 请注意,在form标签中需要包含一个CSRF令牌,以防止跨站攻击。另外,如果没有选中任何复选框,则`request.POST.getlist('check')`将返回一个空列表。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值