JWT

最新推荐文章于 2022-07-26 19:05:15 发布
最新推荐文章于 2022-07-26 19:05:15 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhwu123/article/details/107368683
版权

jwt=Json Web token

#原理
“”"
1)jwt分三段式:头.体.签名 (head.payload.sgin)
2)头和体是可逆加密,让服务器可以反解出user对象;签名是不可逆加密,保证整个token的安全性的
3)头体签名三部分,都是采用json格式的字符串,进行加密,可逆加密一般采用base64算法,不可逆加密一般采用hash(md5)算法
4)头中的内容是基本信息:公司信息、项目组信息、token采用的加密方式信息
{
“company”: “公司信息”,

}
5)体中的内容是关键信息:用户主键、用户名、签发时客户端信息(设备号、地址)、过期时间
{
“user_id”: 1,

}
6)签名中的内容时安全信息:头的加密结果 + 体的加密结果 + 服务器不对外公开的安全码 进行md5加密
{
“head”: “头的加密字符串”,
“payload”: “体的加密字符串”,
“secret_key”: “安全码”
}
“”"

校验
“”"
1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间和设备信息都是安全信息,确保token没过期,且时同一设备来的
3)再用 第一段 + 第二段 + 服务器安全码 不可逆md5加密,与第三段 签名字符串 进行碰撞校验,通过后才能代表第二段校验得到的user对象就是合法的登录用户
“”"

drf项目的jwt认证开发流程(重点)
“”"
1)用账号密码访问登录接口,登录接口逻辑中调用 签发token 算法,得到token,返回给客户端,客户端自己存到cookies中

2)校验token的算法应该写在认证类中(在认证类中调用),全局配置给认证组件,所有视图类请求,都会进行认证校验,所以请求带了token,就会反解出user对象,在视图类中用request.user就能访问登录的用户

注:登录接口需要做 认证 + 权限 两个局部禁用
“”"

简单使用

1.安装pip install djangorestframework-jwt
2.继承AbstractUser表
3.创建超级用户
4.在urls.py中
from rest_framework_jwt.views import ObtainJSONWebToken,VerifyJSONWebToken,RefreshJSONWebToken,obtain_jwt_token
path(‘login/’, obtain_jwt_token),

注:这是建立在继承AbstractUser的基础上使用的!!!!!!

自定制auth认证类

from rest_framework_jwt.authentication import BaseAuthentication,BaseJSONWebTokenAuthentication
from rest_framework.exceptions import AuthenticationFailed
from rest_framework_jwt.authentication import jwt_decode_handler
from rest_framework_jwt.authentication import get_authorization_header,jwt_get_username_from_payload
from rest_framework import exceptions
class MyToken(BaseJSONWebTokenAuthentication):  #继承BaseJSONWebTokenAuthentication这个类
    def authenticate(self, request):  #与认证方式一样重写authenticate
        jwt_value=str(request.META.get('HTTP_AUTHORIZATION'))  #获取要认证的数据或者直白的说token!
        try:
            payload = jwt_decode_handler(jwt_value)  # 取出三段中的中间一段
        except Exception:
            raise exceptions.AuthenticationFailed("认证失败")
        user=self.authenticate_credentials(payload) #将其转化成对象
        return user,None  #返回对象(注意是对象),token(可以返回none)

一个正常的登录(返回jwt)

# 使用用户名,手机号,邮箱,都可以登录#
# 前端需要传的数据格式
{
"username":"lqz/1332323223/33@qq.com",
"password":"lqz12345"
}
# 视图
from rest_framework.views import APIView
from rest_framework.viewsets import ViewSetMixin, ViewSet

from app02 import ser
class Login2View(ViewSet):  # 跟上面完全一样
    def login(self, request, *args, **kwargs):
        # 1 需要 有个序列化的类
        login_ser = ser.LoginModelSerializer(data=request.data,context={'request':request})
        # 2 生成序列化类对象
        # 3 调用序列号对象的is_validad
        login_ser.is_valid(raise_exception=True)
        token=login_ser.context.get('token')
        # 4 return
        return Response({'status':100,'msg':'登录成功','token':token,'username':login_ser.context.get('username')})
    
# 序列化类
from rest_framework import serializers
from api import models
import re
from rest_framework.exceptions import ValidationError

from rest_framework_jwt.utils import jwt_encode_handler,jwt_payload_handler
class LoginModelSerializer(serializers.ModelSerializer):
    username=serializers.CharField()  # 重新覆盖username字段,数据中它是unique,post,认为你保存数据,自己有校验没过
    class Meta:
        model=models.User
        fields=['username','password']

    def validate(self, attrs):

        print(self.context)

        # 在这写逻辑
        username=attrs.get('username') # 用户名有三种方式
        password=attrs.get('password')
        # 通过判断,username数据不同,查询字段不一样
        # 正则匹配,如果是手机号
        if re.match('^1[3-9][0-9]{9}$',username):
            user=models.User.objects.filter(mobile=username).first()
        elif re.match('^.+@.+$',username):# 邮箱
            user=models.User.objects.filter(email=username).first()
        else:
            user=models.User.objects.filter(username=username).first()
        if user: # 存在用户
            # 校验密码,因为是密文,要用check_password
            if user.check_password(password):
                # 签发token
                payload = jwt_payload_handler(user)  # 获取三段式中的第二部分
                token = jwt_encode_handler(payload)  # 把payload传入,得到token
                self.context['token']=token
                self.context['username']=user.username
                return attrs
            else:
                raise ValidationError('密码错误')
        else:
            raise ValidationError('用户不存在')
# jwt的配置
import datetime
JWT_AUTH={
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), # 过期时间,手动配置
}


认证类
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication
from rest_framework_jwt.utils import jwt_decode_handler
from rest_framework.exceptions import AuthenticationFailed
class MyToken(BaseJSONWebTokenAuthentication):  #因为运用到了django自带的user表所以调用BaseJSONWebTokenAuthentication
    def authenticate(self, request):  #重写authenticate
        jwt_value=request.META.get('HTTP_AUTHORIZATION')
        if jwt_value:
            try:
                payload = jwt_decode_handler(jwt_value) #将三段反解,解出中间那一段
            except Exception:
                raise AuthenticationFailed('认证发生错误')
            user = self.authenticate_credentials(payload) #获取user数据
            return user,None
        raise AuthenticationFailed('请携带认证信息')
yhwu123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tp6 openid获取 JWT中间件
sangkaixin1的博客
08-02 647
这里写自定义目录标题安装tp6 和配置wx login登录token使用中间件使用阿里云上传 安装tp6 和配置 1安装tp6:命令: composer create-project topthink/think tp 2 创建多应用模式安装扩展 composer require topthink/think-multi-app 3 快速生成模块应用 php think build demo 4 创建模块下的 控制器类php think make:controller index@Blog w
Django Rest Framwork JWT
HashFlag的博客
09-17 451
在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 很多公司开发的一些移动端可能不支持cookie,并且我们通过cookie和session做接口登录认证的话,效率其实并不是很高,我们的接口可能提供给多个客户端,session数据保存在服务端,那么就需要每次都调用session数据进行验证,比较耗时,所以引入了token认证的概念,我们也可以通过token来完成,我们来看看jwt是怎么玩的。 Json
JWT,以及它具体的三部分组成
wangziman的博客
04-10 2364
重点的公钥,私钥,我举个例子大家理解下。 这就是它的特殊的地方,跟以前的JWT不同,它是json的格式,可以放很多信息 ,不是一个简单的字符串,再来说下对称加密。 简单的例子很直观,总的来说第一种是使用的公钥,私钥,第二种用的是对称加密。 ...
JWT简单介绍
qq_50846224的博客
07-26 1084
JWT简单介绍
JWT学习(一):JWT简介
This Is Why We Coding
11-08 1754
1、简介: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT Token生成及验证(源码)
04-12
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序和服务之间的安全通信。这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让...
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。它通过使用数字签名来确保数据的完整性和真实性。JWT在Spring Boot中的整合是常见的应用场景,尤其是在构建RESTful API时,它...
JWT(Json WEB Token)生成以及与session的区别
我的目标是CEO,最近小目标是项目架构师!
07-14 813
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接...
JWT-生成token
m0_69128892的博客
05-11 7085
一、什么是JWT JWT 即Json Web Token,将用户登录态以及数据用加密的json格式存储在客户端,服务端可以完全依靠这个字符串认定用户身份。简单来说,这是一种用户身份认证的解决方案。 二、JWT的组成 一个JWT实际上就是一个字符串,由三部分组成分别是: header(头部) payload(载荷) signature(签名) 结构如下:header.payload.signature 1.header(头部) header(头部)的信息指定了其Token类型和所使用的加密算法。 示例:
JWT Token 的构成以及生成过程
kun_ers的博客
04-27 1363
根据学习资料总结----
JWT令牌详细解读
。。。。
07-05 3056
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
Token的组成部分
Code小学僧的课后笔记
07-12 9353
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 4.客户端收到 Token 以后可以把它存储起来,比
JWT 组成 各部分作用
qq_33348135的博客
09-21 2385
1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Payload(有效载荷)作用:携带一些用户信息 例如{"userId":"1","username":"mingzi"} 3.Signature(签名)作用:防止Token被篡改、确保安全性 例如 计算出来的签名,一个字符串 ...
JWT-基于token的认证方式
学习
06-20 806
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 认证是用来判断用户身份。 为了避免每次都要重新认证,可以在认证成功后创建会话,
JSON WEB TOKEN
weixin_34273481的博客
03-19 725
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
golang jwt
最新发布
09-21
Golang中的JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。JWT由三部分组成:头部、载荷和签名。头部包含了指定算法和类型的信息,载荷包含了需要传递的数据,签名用于验证数据的完整性和真实性。 在Golang中,有很多关于JWT的包可供使用,其中一个常用的包是`github.com/dgrijalva/jwt-go`。你可以使用以下命令安装该包:`go get github.com/dgrijalva/jwt-go`。 在使用JWT时,你需要了解以下几个基本概念和使用场景: 1. 基础概念:包括发行者、发布时间、到期时间、主题、听众、在此之前不可用和JWT ID等信息。 2. 使用场景:JWT常用于身份验证和授权,可以用于Web应用程序的用户认证、API访问控制等场景。 要在Golang中使用JWT,你可以按照以下步骤进行代码实现和服务测试: 1. 导入`github.com/dgrijalva/jwt-go`包。 2. 创建JWT的头部和载荷,并设置相应的字段值。 3. 使用指定的算法和密钥对JWT进行签名。 4. 将生成的JWT用于身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值