34.django使用jwt
1.jwt
这里是打包的代码地址jwt代码包
json web token:用于用户认证(前后端分离/微信小程序/app开发)
- 基于传统的token认证
用户登录,服务端给返回token,并将token(服务端不保存)
以后用户再来访问时,需要携带token,服务端获取token后,再去数据库中获取token
- jwt
用户登陆之后,服务端给用户返回一个token(服务器不保存)
以后用户访问,都需要带着token,服务器获取token后,通过算法进行token验证
优势:相较于传统的token相比,他无需在服务端保存token
2.jwt实现过程
1.提交用户名和密码给服务端,如果登录成功,使用jwt生成一个token值,并返回给用户
注意:jwt生成的token是由三段字符串通过.连接起来的
第一段字符串:HEADER,内部包含算法token类型。
json转化成字符串,然后做base64url加密(base64加密;+-\)
{
"alg": "HS256",
'type': "JWT"
}
第二段字符串:payload,自定义值:
json转化成字符串,然后做base64url加密(base64加密;+-\)
{
'id': "124124",
'name':'chengge',
'exp': '1423434132',# 超时时间
}
第三段字符串:
第一步:将第1,2不封密文拼接起来
第二步:对前两部分密文进行hs256加密+加盐
第三步:对hs256加密后的密文在做base64url加密
- 以后用户来访问时候,携带token,后端需要对token进行校验
- 获取token
- 第一步:对token进行切割
- 第二步:把第二段进行base64解密,并获取payload信息,检测超市时间
- 第二步:把第一个段拼接再次执行hs256加密+加盐
密文 = base64解密
如果密文相等表示token没有被修改过
3.应用
pip install pyjwt
pyjwt.encode 生成token
pyjwt.decode token解密
4.扩展
pip install djagnrestframework-jwt
djagnrestframework-jwt 本质上是调用pyjwt实现的
版本一:
原理就是服务端保存tokne
class LoginView(APIView):
'''用户登录'''
def post(self, request, *args, **kwargs):
username = request.data.get("username")
passwork = request.data.get("password")
user_obj = models.UserInfo.objects.filter(username=username, password=passwork).first()
if not user_obj:
return Response({"code": 1000, 'error': '用户名或密码错误'})
random_string = str(uuid.uuid4())
user_obj.token = random_string
user_obj.save()
return Response({"code":1001, 'data': '登陆成功'})
class OrderView(APIView):
def get(self, request, *args, **kwargs):
token = request.query_params.get("token")
print(token)
if not token:
Response({"code": 1003, 'error': '未登录失败'})
user_obj = models.UserInfo.objects.filter(token=token).exists()
if not user_obj:
Response({"code": 1003, 'error': '未登录失败'})
return Response("订单列表")
版本二:
通过jwt进行验证,但是发现每个函数都要使用太麻烦了
class JwtLoginView(APIView):
'''用户登录'''
def post(self, request, *args, **kwargs):
username = request.data.get("username")
passwork = request.data.get("password")
user_obj = models.UserInfo.objects.filter(username=username, password=passwork).exists()
if not user_obj:
return Response({"code": 1000, 'error': '用户名或密码错误'})
import jwt
import datetime
salt = "fadsf$@%#%#%gsfdgsdgfd"
headers = {
"typ": "jwt_",
"alg": "HS256",
}
payload = {
"user_id": 1,
"username": "alex",
"exp": datetime.datetime.utcnow() + datetime.timedelta(minutes=1)
}
token = jwt.encode(payload=payload, key=salt, headers=headers).decode("utf-8")
return Response({"code":1001, 'data': token})
class JwtOrderView(APIView):
def get(self, request, *args, **kwargs):
# 获取token并验证
token = request.query_params.get("token")
import jwt
from jwt import exceptions
result = None
msg = None
salt = "fadsf$@%#%#%gsfdgsdgfd"
try:
result = jwt.decode(token, salt, True)
except exceptions.ExpiredSignatureError:
msg = "token失效"
except exceptions.DecodeError:
msg = "token认证失败"
except exceptions.InvalidTokenError:
msg = "非法token"
if not result:
return Response({"code": 1002, "msg": msg})
return Response("订单列表")
版本三:
使用restful的认证组件认证
class PrLoginView(APIView):
authentication_classes = []
def post(self, request, *args, **kwargs):
username = request.data.get("username")
passwork = request.data.get("password")
user_obj = models.UserInfo.objects.filter(username=username, password=passwork).first()
if not user_obj:
return Response({"code": 1000, 'error': '用户名或密码错误'})
payload = {
"id": user_obj.pk,
"name": user_obj.username,
}
token = get_token(payload, 5)
return Response({"code": 1001, 'data': token})
class PrOrderView(APIView):
# authentication_classes = [JwtQuertParamsAuthentication]
def get(self, request, *args, **kwargs):
return Response("订单列表")
# get_token函数
import jwt
import datetime
from django.conf import settings
def get_token(payload, timeout):
salt = settings.SECRET_KEY
headers = {
"typ": "jwt_",
"alg": "HS256",
}
payload["exp"] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
token = jwt.encode(payload=payload, key=salt, headers=headers).decode("utf-8")
return token
实现一个restframework的认证类,将它应用到视图函数之中就可以了
import jwt
from jwt import exceptions
from rest_framework.authentication import BaseAuthentication
from django.conf import settings
from rest_framework.exceptions import AuthenticationFailed
class JwtQuertParamsAuthentication(BaseAuthentication):
def authenticate(self, request):
token = request.query_params.get("token")
salt = settings.SECRET_KEY
try:
result = jwt.decode(token, salt, True)
except exceptions.ExpiredSignatureError:
msg = "token失效"
raise AuthenticationFailed({"code": 1001, "msg": msg})
except exceptions.DecodeError:
msg = "token认证失败"
raise AuthenticationFailed({"code": 1002, "msg": msg})
except exceptions.InvalidTokenError:
msg = "非法token"
raise AuthenticationFailed({"code": 1003, "msg": msg})
return (result, token)
# 三种操作
# 1.抛出错误,后续不再执行
# 2.return一个元组,(1,2)认证通过,在视图中如果调用request.user 就是第一个值request.auth就是第二个
# 3.None不做任何操作
