新的认证方式,由三部分组成:头header,payload(一些用户信息),签名
主要是防篡改,
"""
1)jwt分三段式:头.体.签名 (head.payload.sgin)
2)头和体是可逆加密,让服务器可以反解出user对象;签名是不可逆加密,保证整个token的安全性
3)头体签名三部分,都是采用json格式的字符串,进行加密,可逆加密一般采用base64算法,不可逆加密一般采用hash(md5)算法
4)头中的内容是基本信息:公司信息、项目组信息、token采用的加密方式信息
{
"company": "公司信息",
...
}
5)体中的内容是关键信息:用户主键、用户名、签发时客户端信息(设备号、地址)、过期时间
{
"user_id": 1,
...
}
6)签名中的内容时安全信息:头的加密结果 + 体的加密结果 + 服务器不对外公开的安全码 进行md5加密
{
"head": "头的加密字符串",
"payload": "体的加密字符串",
"secret_key": "安全码"
}
"""
校验:根据客户端带token的请求 反解出 user 对象
"""
1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间和设备信息都是安全信息,确保token没过期,且是同一设备来的
3)再用 第一段 + 第二段 + 服务器安全码 不可逆md5加密,与第三段 签名字符串 进行碰撞校验,通过后才能代表第二段校验得到的user对象就是合法的登录用户
"""
drf项目的jwt认证开发流程
"""
1)用账号密码访问登录接口,登录接口逻辑中调用 签发token 算法,得到token,返回给客户端,客户端自己存到cookies中
2)校验token的算法应该写在认证类中(在认证类中调用),全局配置给认证组件,所有视图类请求,都会进行认证校验,所以请求带了token,就会反解出user对象,在视图类中用request.user就能访问登录的用户
注:登录接口需要做 认证 + 权限 两个局部禁用
"""
两种方式自定制基于jwt的认证类
# 也可以继承drf的BaseAuthentication,要自己写 user=self.authenticate_credentials(payload)的功能
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication
from rest_framework_jwt.utils import jwt_decode_handler
class MyJwtAuth(BaseJSONWebTokenAuthentication):
def authenticate(self, request):
jwt_value=request.META.get('HTTP_AUTHORIZATION')
if jwt_value:
try:
# jwt_decode_handler可以通过token取出payload,并且有校验功能
payload = jwt_decode_handler(jwt_value)
except jwt.ExpiredSignatureError:
raise AuthenticationFailed('签名过期')
except jwt.InvalidTokenError:
raise AuthenticationFailed('无效的token')
except Exception as e:
raise AuthenticationFailed(str(e))
# authenticate_credentials方法返回的是用户对象
user=self.authenticate_credentials(payload)
return user,jwt_value
raise AuthenticationFailed('没有携带认证信息')
多方式登录,手动签发token
from rest_framework_jwt.serializers import jwt_payload_handler,jwt_encode_handler
from rest_framework.exceptions import ValidationError
def validate(self, attrs):
user=self._get_user(attrs)
token=self._get_token(user)
self.context['token']=token
# self.context['user']=user
self.context['username']=user.username
return attrs
def _get_user(self,attrs):
username=attrs.get('username')
password=attrs.get('password')
if re.match('1[3-9][0-9]{9}',username):
user=UserInfo.objects.filter(telephone=username).first()
elif re.match('.+@.+',username):
user=UserInfo.objects.filter(email=username).first()
else:
user=UserInfo.objects.filter(username=username).first()
if user:
res=user.check_password(password)
if res:
return user
else:
raise ValidationError('密码错误')
raise ValidationError('用户不存在')
def _get_token(self,user):
payload=jwt_payload_handler(user)
token=jwt_encode_handler(payload)
return token
配置token过期时间
import datetime
JWT_AUTH = {
# 时间单位可以是:days=7
'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300),
}