flask_jwt_extended 4.0学习

1.前言

       在学习flask_jwt_extended插件的时候遇到许多问题,究其原因是因为版本问题,4.0以后的版本在语法上做了许多优化,而我是参考较低版本的flask_jwt_extended学习的,一开始不明白出问题的原因,所以参考了许许多多博友的思路和写法,发现并没有问题,后来想到去看官方的文档,发现了原因所在,以下是4.0版本的api变化对照,更加详细的变化请参官方文档

flask_jwt_extended4.0版本API的变化

2.flask_jwt_extended的常规使用

1. create_access_token()用来创建令牌

2. get_jwt_identity()用来根据令牌取得之前的identity信息

3. jwt_required()这是一个装饰器,用来保护flask节点(endpoint)

 1 from flask_jwt_extended import create_access_token
 2 from flask_jwt_extended import jwt_required
 3 from flask_jwt_extended import get_jwt_identity
 4 from flask_jwt_extended import JWTManager
 5 
 6 from flask import Flask
 7 from flask import jsonify
 8 from datetime import timedelta
 9 
10 app = Flask(__name__)
11 jwt = JWTManager(app)
12 
13 app.config['JWT_SECRET_KEY'] = 'hello@#$%&'  # 加密盐值
14 app.config['JWT_ACCESS_TOKEN_EXPIRES'] = timedelta(hours=1)  # 设置token的有效时间,默认15分钟
15 
16 @app.route('/login',methods=['POST'])
17 def login():
18     # 携带用户标识生成token
19     access_token = create_access_token(identity={'id': 1, 'username': 'apple'})
20     return jsonify(access_token=access_token)
21 
22 @app.route('/index',methods=['GET'])
23 @jwt_required() # token认证,老版本不需要括号
24 def index():
25     # 获取认证标识中的信息
26     userInfo = get_jwt_identity()
27     return jsonify(userInfo)
28 
29 if __name__ == '__main__':
30     app.run()

  注意:请求时,headers需要携带Authorization参数,其值为Bearer+空格 +token的字符串。

3.刷新token

       说道刷新token,我在学习的时候有些问题并没有想明白,并不是对技术的疑问,而是不清楚为什么要这样做。我了解到为了解决access_token过期问题,会设置在用户登入的同时返回一个refresh_token用于access_token的刷新,而refresh_token的有效期的设置会比access_token的时间长,所以我疑问的是,如果说仅仅是解决过期时间的问题, 可以直接将 access_token 的过期时间延长就行了, 但它确是以刷新 token 的方式让使用者以无感的方式延长 access_token 的有效期。

  我所查的资料无非是说:一,提高用户体验感,免登入;二、安全,token如果设置太长时间会不安全。但是笔者觉得直接去设置延长access_token的时间,和刷新token变相延长token的时间,本质并没有不同,只不过后者是在一段时间内,换了多个token,但其用于刷新access_token的refresh_token为啥就不会造成不安全的因素了?这就好比是把access_token的时间给了refresh_token,而在用refresh_token去刷新access_token,饶了个圈子而已,哎..没想明白...

 1 from flask_jwt_extended import create_access_token
 2 from flask_jwt_extended import create_refresh_token
 3 from flask_jwt_extended import get_jwt_identity
 4 from flask_jwt_extended import jwt_required
 5 from flask_jwt_extended import JWTManager
 6 
 7 from datetime import timedelta
 8 from flask import Flask
 9 from flask import jsonify
10 
11 app = Flask(__name__)
12 app.config['JWT_SECRET_KEY'] = 'hello@#$%&'  # 加密盐值
13 app.config['JWT_ACCESS_TOKEN_EXPIRES'] = timedelta(hours=1)  # 设置access_token的有效时间
14 app.config["JWT_REFRESH_TOKEN_EXPIRES"] = timedelta(days=1)  # 设置refresh_token的有效时间
15 jwt = JWTManager(app)
16 
17 @app.route("/login", methods=["POST"])
18 def login():
19     access_token = create_access_token(identity={'user': 'apple', 'id': 1})
20     refresh_token = create_refresh_token(identity={'user': 'apple', 'id': 1})
21     return jsonify(access_token=access_token, refresh_token=refresh_token)
22 
23 # 携带refresh_token请求此接口,刷新获的新的access_token
24 @app.route("/refresh", methods=["POST"])
25 @jwt_required(refresh=True) # 刷新token的装饰器,这是最新的写法
26 def refresh():
27     identity = get_jwt_identity()
28     access_token = create_access_token(identity=identity)
29     return jsonify(access_token=access_token)
30 
31 @app.route("/protected", methods=["GET"])
32 @jwt_required()
33 def protected():
34     current_user = get_jwt_identity()
35     return jsonify(current_user=current_user)
36 
37 if __name__ == "__main__":
38     app.run()

     生成token响应如下。在这里需要说一下的是access_token只能用于携带访问,并不能用于刷新token;同理refresh_token只能用于刷新,不能用于携带请求获取数据

4.自定义装饰器

  @jwt_required()只能校验当前请求的用户是否携带token,如果需要校验更多则可以自定义装饰器

 1 from flask_jwt_extended import create_access_token
 2 from flask_jwt_extended import get_jwt
 3 from flask_jwt_extended import JWTManager
 4 from flask_jwt_extended import verify_jwt_in_request
 5 
 6 from functools import wraps
 7 from datetime import timedelta
 8 from flask import Flask
 9 from flask import jsonify
10 
11 app = Flask(__name__)
12 jwt = JWTManager(app)
13 app.config["JWT_SECRET_KEY"] = "hello@#$%&"
14 app.config['JWT_ACCESS_TOKEN_EXPIRES']=timedelta(hours=1)
15 
16 # 它验证请求中是否存在JWT和请求用户是否管理员
17 def admin_required():
18     def wrapper(fn):
19         @wraps(fn)
20         def decorator(*args, **kwargs):
21             verify_jwt_in_request()
22             claims = get_jwt()
23             if claims["is_administrator"]:
24                 return fn(*args, **kwargs)
25             else:
26                 return jsonify(msg="Admins only!"), 403
27         return decorator
28     return wrapper
29 
30 
31 @app.route("/login", methods=["POST"])
32 def login():
33     access_token = create_access_token(
34         identity={'id': 1, 'username': 'apple'},
35         additional_claims={"is_administrator": True}
36     )
37     return jsonify(access_token=access_token)
38 
39 
40 
41 @app.route("/protected", methods=["GET"])
42 @admin_required()  # 使用自定义装饰器
43 def protected():
44     additional_claims = get_jwt()
45     return jsonify(claims=additional_claims)
46 
47 if __name__ == "__main__":
48     app.run()

这里有些需要说明的地方:

1、verify_jwt_in_request() 不返回任何东西。如果令牌解码链中的任何事情失败,它将返回一个适当的异常。也就是说它在这里的作用是为了校验当前请求有没有token,如果没有则会返回一个异常信息,不能访问被保护的节点,同样的和@jwt_required()它们一样有四个可选的参数:optional=False, fresh=False, refresh=False, locations=None,这里暂时不说,后面统一描述。

2、@wraps(fn)的作用,它来自from functools import wraps,它的作用是消除装饰器带来的副作用。因为在使用装饰器的时候,其实函数名和函数的doc已经发生了变化,而加上它则可以和好的解决这些问题,这也是使用装饰器的一个小技巧。

3、additional_claims参数的用法,我们知道除去存放基本的用户的标识identity外,在access_token中还可能存放其他的信息,这个时候就可以使用这个参数了,它的作用和@jwt.additional_claims_loader装饰器的作用是一样的,都是将信息存储到access_token中。但有些不同的是,该函数在create_access_token()函数被调用后使用。

4、get_jwt()用于获取access_token存储的信息,在之前的版本它是get_jwt_claims()

如果存放其它信息较多的情况下,则可以使用装饰器的方式添加:

 1 @app.route("/login", methods=["POST"])
 2 def login():
 3     access_token = create_access_token(
 4         identity={'id': 1, 'username': 'apple'}
 5         # additional_claims={"is_administrator": True}
 6     )
 7     return jsonify(access_token=access_token)
 8 
 9 @jwt.additional_claims_loader
10 def add_claims_to_access_token(identity):#参数identity,就是access_token中的用户标识,该参数必须填
11     return {
12         'is_administrator': True
13     }

5.常用参数描述

optional:
  描述:如果为True,即使是没有jwt授权,也能够允许访问被保护的的节点,默认为False
1 @app.route('/index', methods=['GET'])
2 @jwt_required(optional=True)
3 def index():
4     current_user = get_jwt_identity()
5     if current_user:
6         return jsonify(msg='授权用户访问'), 200
7     else:
8         return jsonify(msg='未授权用户访问'), 200
fresh:
  描述:如果为True,只能让"新鲜"的授权token访问,如果是刷新后的token则不能访问,该参数要结合create_access_token来使用,当我们创建access_token时,有一个
可选参数为fresh如果我们把它设为True,则代表它是"新鲜"token,换句话说就是只有用户登入产生的token才具有"新鲜度"。默认为False。
 1 from flask_jwt_extended import create_access_token
 2 from flask_jwt_extended import create_refresh_token
 3 from flask_jwt_extended import get_jwt_identity
 4 from flask_jwt_extended import jwt_required
 5 from flask_jwt_extended import JWTManager
 6 
 7 from datetime import timedelta
 8 from flask import Flask
 9 from flask import jsonify
10 
11 app = Flask(__name__)
12 app.config['JWT_SECRET_KEY'] = 'hello@#$%&'  # 加密盐值
13 app.config['JWT_ACCESS_TOKEN_EXPIRES'] = timedelta(hours=1)  # 设置access_token的有效时间
14 app.config["JWT_REFRESH_TOKEN_EXPIRES"] = timedelta(days=1)  # 设置refresh_token的有效时间
15 jwt = JWTManager(app)
16 
17 @app.route("/login", methods=["POST"])
18 def login():
19     access_token = create_access_token(identity={'user': 'apple', 'id': 1}, fresh=True)  # 开启新鲜度模式
20     refresh_token = create_refresh_token(identity={'user': 'apple', 'id': 1})
21     return jsonify(access_token=access_token, refresh_token=refresh_token)
22 
23 @app.route("/refresh", methods=["POST"])  # 携带refresh_token请求此接口,刷新access_token
24 @jwt_required(refresh=True)
25 def refresh():
26     identity = get_jwt_identity()
27     access_token = create_access_token(identity=identity, fresh=False)  # 刷新不开启新鲜度模式
28     return jsonify(access_token=access_token)
29 
30 @app.route("/protected", methods=["GET"])
31 @jwt_required(fresh=True)  # 只允许登入授权的用户访问,刷新授权不能在访问
32 def protected():
33     identity = get_jwt_identity()
34     return jsonify(identity=identity)
35 
36 @app.route('/index')
37 @jwt_required()  # 无论登入授权还是,刷新授权都能访问
38 def index():
39     return jsonify(msg='欢迎访问')
40 
41 if __name__ == "__main__":
42     app.run()

  这里需要注意的是,刷新toekn视图函数里面的create_access_token的"新鲜度"是不开启的,否则无论是否刷新都能访问,这就失去了参数本身的意义,笔者认为该参数有两个作用,其一是,当每次用户通过提供用户名和密码进行身份验证时,他们都会收到一个可以访问任何路由的新访问令牌。但一段时间后,该令牌将不再被认为是新的,一些关键或危险的路由将被阻止,直到用户再次验证其密码。所有其他路由仍将正常工作,即使用户的令牌不再新鲜。例如,我们可能不允许用户更改他们的电子邮件地址,除非他们有一个新的令牌,但我们允许他们正常使用我们的Flask应用程序的其余部分。其二,可以了防止refresh_token被盗后导致被他人恶意刷新token的危害的发生。

  另外在补充一点,create_access_token的"新鲜度"是可以设定时间的,如fresh=timedelta(seconds=60)把"新鲜度"保持60s的时间,超过这个时间则,失去"新鲜度"

refresh:
  描述:如果为True,只允许refresh_token访问被保护的节点,如果为False,则access_token才可以访问被保护的节点,默认为False,该参数用于刷新token时需要设置
1 # 携带refresh_token请求此接口,刷新access_token
2 @app.route("/refresh", methods=["POST"])
3 @jwt_required(refresh=True) #只允许刷新token访问
4 def refresh():
5     identity = get_jwt_identity()
6     access_token = create_access_token(identity=identity,fresh=False)
7     return jsonify(access_token=access_token)

locations:

  描述:该参数是4.0新增的,指的是用户携带授权token访问时,其jwt的所处位置列表。例如['headers', 'cookies'],默认为None。什么意思呢?简单的的说你的token是在headers里呢还是cookies,去访问的。当然也可以使用JWT_TOKEN_LOCATION,进行全局配置。

6.定制token过期返回信息

1 @jwt.expired_token_loader
2 def expired_token_callback(jwt_header, jwt_payload):
3     return jsonify(msg='token过期了哟'),201

注意的是,以上两个参数是必填的,第一个时包含jwt的header,第二个是包含jwt的payload(载荷)

 

其实类似功能的装饰器还有很多,这里不一一描述,更多信息请关注官方文档,如有错误,也请指教!!

待续......

 
posted @ 2021-07-17 18:55  千叶千影  阅读(1481)  评论(1编辑  收藏  举报