作者:hustjs | 来源:互联网 | 2023-08-31 12:01
熟悉drf框架:https:www.cnblogs.comwupeiqi武沛奇哔哩哔哩视频教学笔记:1.jwt(登录注册)jsonwebtoken,一般用于用户认证(前后端分离、微
熟悉drf框架:https://www.cnblogs.com/wupeiqi 武沛奇
哔哩哔哩视频教学笔记:
1.jwt(登录注册)
json web token,一般用于用户认证(前后端分离、微信小程序/APP开发) 其他直接用COOKIEs/session即可
token的校验过程:
前端——携带token进行认证——后端———返回携带的token进行校验
基于传统的token认证:
# 用户登录,服务段返回token,并将token保存在服务器,以后用户再来访问时,需要携带token,服务端获取token后再去数据库中获取token进行校验。
jwt:
# 用户登录,服务端给用户返回一个token(服务器不保存),
以后用户再来访问,需要携带token,服务器获取token后,再做token的校验,
优势:相较于传统的token相比,它无需在服务器端保存token。
2.jwt实现过程
*第一步瀛湖提交用户和密码给服务端。如果登录成功,使用创建一个token,并给用户返回。
官网:
注意:jwt生成的token由三段字符串组成,并用.连接起来的。
*第一段字符串,HEADER,内部包括算法/token类型,
json转换成字符串,然后做base64url加密(base64加密:+_).
{
"alg":"HS256",
"typ":"JWT"
}
*第二段字符串,payload自定义值。
json转换成字符串,然后做base64url加密(base64加密:+_).
{
"id":"123123",
"name":"Eric",
"exp":"124521589" # 超时时间
}
第三段字符串:
‘‘‘‘
第一步:第1、2部分密文件拼接起来
第二步:对前2部分密文进行HS256加密 + 加盐
第三步:对HS256加密后的密文再做base64url加密
‘‘‘‘
以后用户再来访问时候,需要携带token,后端需要对token进行校验
获取token:
第一步:对token进行切割
第二部:对第二段进行base64url解密,并获取payload信息,检测token是否已经超时
{
"id":"123123",
"name":"Eric",
"exp":"124521589" # 超时时间
}
第三步:把第1,2段拼接起来,再次执行sah256加密
3.应用
使用:刨析内部源码
pyjwt.encode 生成token
pyjwt.decode token解密
4.扩展
# pip3 install djangoresframework-jwt
djangorestframework-jwt本质是调用pyjwt实现。
django案例
from django.http import JsonResponse
from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator
from utils.jwt_auth import create_token
@method_decorator(csrf_exempt, name=‘dispatch‘)
class LoginView(View):
def post(self, request, *args, **kwargs):
""" 用户登录 """
user = request.POST.get(‘username‘)
pwd = request.POST.get(‘password‘)
# 检测用户和密码是否正确,此处可以在数据进行校验。
if user == ‘wupeiqi‘ and pwd == ‘123‘:
# 用户名和密码正确,给用户生成token并返回
token = create_token({‘username‘: ‘wupeiqi‘})
return JsonResponse({‘status‘: True, ‘token‘: token})
return JsonResponse({‘status‘: False, ‘error‘: ‘用户名或密码错误‘})
@method_decorator(csrf_exempt, name=‘dispatch‘)
class OrderView(View):
def get(self, request, *args, **kwargs):
print(request.user_info)
return JsonResponse({‘data‘: ‘订单列表‘})
def post(self, request, *args, **kwargs):
print(request.user_info)
return JsonResponse({‘data‘: ‘添加订单‘})
def put(self, request, *args, **kwargs):
print(request.user_info)
return JsonResponse({‘data‘: ‘修改订单‘})
def delete(self, request, *args, **kwargs):
print(request.user_info)
return JsonResponse({‘data‘: ‘删除订单‘})
drf_jwr_demo
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import jwt
import datetime
from jwt import exceptions
JWT_SALT = ‘iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=‘
def create_token(payload, timeout=20):
"""
:param payload: 例如:{‘user_id‘:1,‘username‘:‘wupeiqi‘}用户信息
:param timeout: token的过期时间,默认20分钟
:return:
"""
headers = {
‘typ‘: ‘jwt‘,
‘alg‘: ‘HS256‘
}
payload[‘exp‘] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode(‘utf-8‘)
return result
def parse_payload(token):
"""
对token进行和发行校验并获取payload
:param token:
:return:
"""
result = {‘status‘: False, ‘data‘: None, ‘error‘: None}
try:
verified_payload = jwt.decode(token, JWT_SALT, True)
result[‘status‘] = True
result[‘data‘] = verified_payload
except exceptions.ExpiredSignatureError:
result[‘error‘] = ‘token已失效‘
except jwt.DecodeError:
result[‘error‘] = ‘token认证失败‘
except jwt.InvalidTokenError:
result[‘error‘] = ‘非法的token‘
return result
view.py
from rest_framework.views import APIView
from rest_framework.response import Response
from utils.jwt_auth import create_token
from extensions.auth import JwtQueryParamAuthentication, JwtAuthorizationAuthentication
class LoginView(APIView):
def post(self, request, *args, **kwargs):
""" 用户登录 """
user = request.POST.get(‘username‘)
pwd = request.POST.get(‘password‘)
# 检测用户和密码是否正确,此处可以在数据进行校验。
if user == ‘wupeiqi‘ and pwd == ‘123‘:
# 用户名和密码正确,给用户生成token并返回
token = create_token({‘username‘: ‘wupeiqi‘})
return Response({‘status‘: True, ‘token‘: token})
return Response({‘status‘: False, ‘error‘: ‘用户名或密码错误‘})
class OrderView(APIView):
# 通过url传递token
authentication_classes = [JwtQueryParamAuthentication, ]
# 通过Authorization请求头传递token
# authentication_classes = [JwtAuthorizationAuthentication, ]
def get(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({‘data‘: ‘订单列表‘})
def post(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({‘data‘: ‘添加订单‘})
def put(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({‘data‘: ‘修改订单‘})
def delete(self, request, *args, **kwargs):
print(request.user, request.auth)
return Response({‘data‘: ‘删除订单‘})