安科网

Django JWT登录认证机制

GreatZhou

GreatZhou

2020-05-28

关注 关注
目录

Django REST framework JWT

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。

很多公司开发的一些移动端可能不支持cookie,并且我们通过cookie和session做接口登录认证的话,效率其实并不是很高,我们的接口可能提供给多个客户端,session数据保存在服务端,那么就需要每次都调用session数据进行验证,比较耗时,所以引入了token认证的概念,我们也可以通过token来完成,我们来看看jwt是怎么玩的。

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

看图

Django JWT登录认证机制

JWT的构成

JWT就一段字符串,由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
  ‘typ‘: ‘JWT‘,
  ‘alg‘: ‘HS256‘
}

然后将头部进行base64.b64encode()加密(该加密是可以对称解密的),构成了第一部分.

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

python中base64加密解密

import base64
str1 = ‘admin‘
str2 = str1.encode()
b1 = base64.b64encode(str2) #数据越多,加密后的字符串越长
b2 = base64.b64decode(b1) #admin
各个语言中都有base64加密解密的功能,所以我们jwt为了安全,需要配合第三段加密

payload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息可以存放下面三个部分信息。

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者

  • sub: jwt所面向的用户

  • aud: 接收jwt的一方

  • exp: jwt的过期时间,这个过期时间必须要大于签发时间

  • nbf: 定义在什么时间之前,该jwt都是不可用的.

  • iat: jwt的签发时间

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

    以上是JWT 规定的7个官方字段,供选用

公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload,json格式的数据:

{
  "sub": "1234567890",
  "exp": "3422335555", #时间戳形式
  "name": "John Doe",
  "admin": true
}

然后将其进行base64.b64encode() 加密,得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

JWT的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret密钥

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + ‘.‘ + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, ‘secret‘); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

jwt的优点:
1. 实现分布式的单点登陆非常方便
2. 数据实际保存在客户端,所以我们可以分担都武器的存储压力
3. JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。

jwt的缺点:
1. 数据保存在了客户端,我们服务端只认jwt,不识别客户端。
2. jwt可以设置过期时间,但是因为数据保存在了客户端,所以对于过期时间不好调整。

认证流程图

Django JWT登录认证机制

关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。

文档网站http://getblimp.github.io/django-rest-framework-jwt/

安装配置JWT

安装

pip install djangorestframework-jwt -i https://mirrors.aliyun.com/pypi/simple/

配置(github网址:https://github.com/jpadilla/django-rest-framework-jwt)

REST_FRAMEWORK = {
    ‘DEFAULT_AUTHENTICATION_CLASSES‘: (
        ‘rest_framework_jwt.authentication.JSONWebTokenAuthentication‘,
        ‘rest_framework.authentication.SessionAuthentication‘,
        ‘rest_framework.authentication.BasicAuthentication‘,
    ),
}
import datetime
JWT_AUTH = {
    ‘JWT_EXPIRATION_DELTA‘: datetime.timedelta(days=1), 
}
  • JWT_EXPIRATION_DELTA 指明token的有效期

我们django创建项目的时候,在settings配置文件中直接就给生成了一个serect_key,我们直接可以使用它作为我们jwt的serect_key,其实djangorestframework-jwt默认配置中就使用的它。

手动生成jwt(暂时用不到)

Django REST framework JWT 扩展的说明文档中提供了手动签发JWT的方法

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

在用户注册或登录成功后,在序列化器中返回用户信息以后同时返回token即可。

后端实现登陆认证接口

Django REST framework JWT提供了登录获取token的视图,可以直接使用

在子应用路由urls.py中

from rest_framework_jwt.views import obtain_jwt_token

urlpatterns = [
    path(r‘login/‘, obtain_jwt_token),
]

在主路由中,引入当前子应用的路由文件

urlpatterns = [
		...
    path(‘user/‘, include("users.urls")),
    # include 的值必须是 模块名.urls 格式,字符串中间只能出现一个圆点
]

接下来,我们可以通过postman来测试下功能,但是jwt是通过username和password来进行登录认证处理的,所以我们要给真实数据,jwt会去我们配置的user表中去查询用户数据的。

Django JWT登录认证机制

django jwt base64 session

GreatZhou

GreatZhou

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

django配置跨域并开发测试接口

// 允许携带cookie访问我。# 添加 django-cors-headers 使其可以进行 cors 跨域。# 放在中间件第一个。# CORS跨域请求白名单设置。  if name == ‘zhangsan‘ and pwd == ‘123456‘:

luguanyou 2020-10-05

Django框架安装及项目创建过程解析

在命令行模式下,进入上一步创建的项目目录demo下,里面包括同名子目录demo和manage.py文件,执行以下命令添加一个APP,名字为blog. 恭喜我们自己吧,成功创建了一个Django项目,下面就可以继续Python的学习和Django框架的探索了

刘燕娜 2020-09-14

django 对接elasticsearch实现全文检索

# python manage.py rebuild_index #数据库有多少条数据,全部会被同步到es中。object = BookSerializer # 只读,不可以进行反序列化。fields = # text 由索引类进行返回, object

明瞳 2020-08-19

django报错: ‘set’ object is not reversible

仔细再看报错,Django TypeError: ‘set‘ object is not reversible 是obj的TypeError. 定位到urls.py里,项目(或应用)中的ruls.py文件把urlpatterns列表的[]写成了{}。字典是

theowl 2020-08-18

Python学习第149天(Django之模型层1)

自增列,可以将其理解为ID主键字段,注意的是必须填入参数 primary_key=True当model中如果没有自增列,则自动会创建一个列名为id的列?整形字段,围在 -2147483648 to 2147483647。字符字段,必须提供max_lengt

ssjdoudou 2020-08-09

django中的常用导入

from django.shortcuts import render,redirect # 模板渲染。from django.http import JsonResponse,HttpResponse # 返回response对象。from djan

ssjdoudou 2020-08-03

Django:启动django

windows: 需要将下图中的路径添加到系统环境变量,就可以通过django-admin创建django项目,并且django项目应用的就是python36的解释器。# 通过执行manage.py文件来创建应用,执行这个文件,需要在manage.py所有

EdShao 2020-08-03

添加Django后台验证码的方法

pip3 install django-multi-captcha-admin django-simple-captcha # 可以直接安装两个模块。‘engine‘: ‘simple-captcha‘,

taiyanghua 2020-07-29

django的数据库ORM进阶操作

inspuryhq 2020-07-28

Pip安装Django超时(time out)解决方法

learning_log$ pip install Django 执行该命令,始终报错,如上图

Burgesszheng 2020-07-28

django虚拟环境中报E: 无法定位软件包 sqliteman

3,然后在末尾加入下方代码,然后保存。4,在终端运行:。5,接着便可以下载了:

hoooooolyhu 2020-07-28

Django基础四之模板系统

js、css、img等都叫做静态文件,那么关于django中静态文件的配置,我们就需要在settings配置文件里面写上这写内容:。os.path.join, #注意别忘了写逗号,第二个参数就是项目中你存放静态文件的文件夹名称。{% load static

luguanyou 2020-07-28

Django基础五之django模型层(一)单表操作

name=‘红旭妹妹2‘,更新 update方法 model对象不能调用更新方法 报错信息‘Student‘ object has no attribute ‘update‘。#<QuerySet [<Student: Student obje

谢育政 2020-07-28

django-debug-toolbar 之 内存信息的插件pympler

2.配置:。  

时光如瑾雨微凉 2020-07-26

在Django中如何使用Redis

在Django中如何使用Redis. 在utils下建立redis_pool.py文件。在视图函数中使用。django默认不支持redis缓存。完成上述配置后,之后所有的缓存都存到redis中。# 方式一 直接使用django的cache

Ashes 2020-07-25

基于 Django 的图书馆借阅系统

普通用户注册后通过前台页面登录,进行浏览、查询、借书、还书等操作。图书馆管理员通过后台管理界面登录,可直接对数据库进行增删改查操作。如果逾期,则还需要缴纳罚金。控制器与用户进行交互,并提供模型数据至视图,实现数据与逻辑的解耦。登录视图,获取用户名和密码进行

tuxlcsdn 2020-07-19

Django学习日记-08回顾--温故知新

      -Ajax全部操作在一个html页面执行,对于之前的Ajax操作中事件的发生于其对于的联系方式相关,思路上首先都在思考编写模板内容部分,然后在是函数的执行 。   - 使用 id = ‘事件名’ 与其对应的是 <script> $.

时光如瑾雨微凉 2020-07-19

django—Form组件

  class RegForm:    user = forms.CharField()   pwd = forms.CharField().   一个功能的form组件是一个类,这个类必须继承forms中的Form类;  这个类内部定义的成员变

Qc 2020-07-19

django 过滤查询

                    #exact为精确值,id=1为id__exact=1的常用简写形式。                           #gte表示大于等于,great equal 的缩写

heniancheng 2020-07-19

Django自定义标签和过滤器

为了成为一个可用的标签库,这个模块必须包含一个名为register的变量,它是template.Library 的一个实例,所有的标签和过滤器都是在其中注册的。所以把如下的内容放在你的模块的顶部:。result = "<input type

hoooooolyhu 2020-07-08
GreatZhou

GreatZhou

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号