一 JWT认证流程
二 JWT字符串的数据格式 - 由3部分组成
头部(header).载荷(payload).签证(signature)
# 例如下方就是一个加密后的完整JWT字符串
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
三 服务器验证JWT有效性
四 使用JWT验证的注意点
- 不应该在payload部分存放敏感信息,因为payload部分在客户端可以被直接解密;
- secret密钥是验证signature的关键,所以不应流出;
五 JWT字符串的使用
# 1. 安装djangorestframework-jwt
pip install djangorestframework-jwt
# 2. 在settings.py进行认证配置
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
# 添加jwt认证
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
),
}
# JWT_EXPIRATION_DELTA设置jwt的有效时间
JWT_AUTH = {
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}