token机制详解，JWT的使用

cookie，session、token介绍

参考文章：https://www.cnblogs.com/liuqingzheng/p/8990027.html

cookie：

存储在用户端的一-小段文本,用于服务器识别用户的一种技术。

cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以kv形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

session：

基于cookie，只是数据不存储在客户端,改为存储在服务器端,用户端只存储一个id ,也称为session id ,服务器可以根据这个session. id找到该用户的信息。

服务器要知道当前发请求给自己的是谁。为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”，可以有很多种方式，对于浏览器客户端，大家都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。

cookie和session的区别

session是存储服务器端，cookie是存储在客户端，所以session的安全性比cookie高

获取session里的信息是通过存放在会话cookie里的session id获取的。而session是存放在服务器的内存中里，所以session里的数据不断增加会造成服务器的负担，所以会把很重要的信息存储在session中，而把一些次要东西存储在客户端的cookie里。

session的信息是通过sessionid获取的，而sessionid是存放在会话cookie中

当浏览器关闭的时候会话cookie消失，所以sessionid也就消失了，但是session的信息还存在服务器端，只是查不到所谓的session，但它并不是不存在

token：

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。

1.token三段式：
	第一段：头--> 存放公司信息、加密方式...
	第二段：荷载--> 存放真正的用户数据--> {'name':xxx, 'pwd':xxx}...
	第三段：签名--> 第一段和第二段的数据通过某种加密方式加密码得到的字符串
2.token的使用分为两个阶段：
	签发阶段--> 登录成功之后，服务器根据登录信息，加密之后生成token签发给浏览器，浏览器将这个token存在本地，下次登录时带上。
	验证阶段--> 浏览器带着用户数据和老token(之前s签发给b的token串)给服务端，服务端根据用户数据生成新token，与老token做对比，两者一样说明token没有被篡改，正常登录。
3.三者区别
    cookie是：存在客户端浏览器的键值对
    session是：存在于服务端的键值对
    token是：三段式，服务端生成的，存放在客户端(浏览器就放在cookie中，移动端存放在硬盘)

token的认证过程

1 用户通过用户名和密码发送请求
2 程序验证
3 程序返回一个签名的 token 给客户端
4 客户端储存 token, 并且每次请求都会附带它
5 服务端验证 token 并返回数据

问：使用token的认证机制，服务端还要存数据吗？

答：token是服务的生成，客户端保存，服务端不存储token，只需要提供加密方式和盐即可。

原理介绍

Json web token (JWT)：token的应用于web方向的称之为jwt

JWT就是一段字符串，由三段信息构成，江浙三段信息用 . 连接在一起就构成了JWT字符串
就像这样：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT构成介绍

# header ： 头部
	1.声明类型：是一个JWT字符串
	2.声明加密算法：一般都是 HMAC、SHA256
	3.存放公司信息：（可有可无）
	4.用base64转码
        例如：由 {'typ': 'JWT', 'alg': 'HS256'} 变成了
        eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
# payload ： 荷载
	1. exp: 表示jwt的过期时间，必须要大于签发时间
	2. iat: 表示jwt的签发时间
	3. 用户信息：id、name...
	4. base64编码：
		例如： 由{'exp': xxx, 'iat': xx, 'userid': xx, 'name': xx} 变成了
		eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
# signature ： 签名
	把头和荷载加密再转码后得到的
		例如：TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

# 注意：secret(密钥:加密方式+盐)是保存在服务器的，jwt的签发也是由服务端完成。secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了

 # jwt使用流程最核心的是：
    -签发：登录接口签发
    -认证：认证类认证

base64编码和解码

可以将字符串编码成base64格式：（包含大小写字母、数字和 = ）
应用场景：
	-jwt中使用
	-用于网络中传输字符串、图片
    
编码、解码实操：
import json
import base64
d = {'name': 'lqz', 'userid': 6, 'age': 19}
info = json.dumps(d)
print(info)
# 把字符串使用base64编码
res=base64.b64encode(info.encode('utf-8'))
print(res)  # eyJuYW1lIjogImxxeiIsICJ1c2VyaWQiOiA2LCAiYWdlIjogMTl9

drf-jwt快速使用

签发-->登录接口
认证-->认证类
djangorestframework-jwt 或 djangorestframework-simplejwt

安装：pip3 install djangorestframework-jwt
快速使用：
	1.迁移表：以为他默认使用auth的user表签发token
	2.创建超级用户：auth的user表中要有记录
	3.如果使用auth的user表作为用户表，可以快速签发-->不需要编写登录接口了
	4.签发：（登录）只需要在路由中配置一句话，因为它已经帮我们写完了登录接口
        urls.py:
            from rest_framework_jwt.views import obtain_jwt_token
            urlpatterns = [
                path('login/', obtain_jwt_token),
            ]
	5.认证：导入，配置在视图类上
        views.py:
            class TestView(APIView):
                authentication_classes = [JSONWebTokenAuthentication,]
                permission_classes = [IsAuthenticated,]
                # 加了这两个认证/权限类之后，TestView就必须登录(携带token)之后才能访问
注意：前端访问时携带的token要放在请求头中
	Authorization：jwt token串  # 'jwt空格' 必须加上

drf-jwt修改返回格式

登录成功之后，前端看到的返回数据只有token串，我们想让他多返回一些数据
例如：{code:100,msg:'登录成功',token:adfasdfasdf}

# 固定写法：写一个函数，函数返回什么，前端就看到什么

# 使用步骤：
	1.写一个函数：
	def jwt_response_payload_handler(token, user=None, request=None):
        return {
            'code':100,
            'msg':'登录成功',
            'username':user.username,
            'token':token
        }    
	2.将函数配置在配置文件中
	JWT_AUTH={
        'JWT_RESPONSE_PAYLOAD_HANDLER':
        'app01.response.jwt_response_payload_handler',
    }
 # 以后登录接口返回的格式就是咱们写的函数的返回值

自定义user表，签发token

# models.py 中定义UserInfo表

class UserInfo(models.Model):
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=32)

# 写一个登录接口，签发token
from rest_framework.exceptions import APIException
from rest_framework_jwt.settings import api_settings
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
from .models import UserInfo


class UserView(APIView):
    def post(self, request):
        try:
            username = request.data.get('username')
            password = request.data.get('password')
            user=UserInfo.objects.get(username=username,password=password)
            # 根据user，签发token---》三部分：头，荷载，签名
            # 使用djagnorestframework-jwt模块提供的签发token的函数，生成token
            payload = jwt_payload_handler(user) # 通过user对象---》{username:lqz,id:1,过期时间}
            token = jwt_encode_handler(payload) # 根据payload---》得到token：头.荷载.签名
            print(payload)
            print(token)

            return Response({'code':100,'msg':'登录成功','token':token})
        except Exception as e:
            raise APIException('用户名或密码错误')