drf : RBAC JWT base64编码与解码

simple-ui的简单介绍

官网地址:https://simpleui.72wo.com/simpleui/

安装:

pip install django-simpleui

用pip或者源码方式安装simpleui后,在自己项目的settings.py文件中INSTALLED_APPS的第一行加入simpleui

举个例子🌰:

  # Application definition

  INSTALLED_APPS = [
      'simpleui',
      'django.contrib.admin',
      'django.contrib.auth',
      'django.contrib.contenttypes',
      'django.contrib.sessions',
      'django.contrib.messages',
      'django.contrib.staticfiles',
      ...
  ]

效果:Django 后台管理样式改变。

RBAC: 基于角色的访问控制。

概念:

RBAC  是基于角色的访问控制(Role-Based Access Control )在 RBAC  中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便

应用,一般用作于公司的后台管理。:

# RBAC - Role-Based Access Control
# Django的 Auth组件 采用的认证规则就是RBAC

# 1)像专门做人员权限管理的系统(CRM系统)都是公司内部使用,所以数据量都在10w一下,一般效率要求也不是很高
# 2)用户量极大的常规项目,会分两种用户:前台用户(三大认证) 和 后台用户(BRAC来管理)
# 结论:没有特殊要求的Django项目可以直接采用Auth组件的权限六表,不需要自定义六个表,也不需要断开表关系,单可能需要自定义User表

前后台权限控制

# 1)后台用户对各表操作,是后台项目完成的,我们可以直接借助admin后台项目(Django自带的)
# 2)后期也可以用xadmin框架来做后台用户权限管理

# 3)前台用户的权限管理如何处理
#   定义了一堆数据接口的视图类,不同的登录用户是否能访问这些视图类,能就代表有权限,不能就代表无权限
#   前台用户权限用drf框架的 三大认证
java一般使用若依写后台管理,go语言flask-vue-admin,python使用gin-vue-admin

Django的内置RBAC(六表)

  • User表: 存用户信息
  • Permission表: 存权限
  • Group表: 存角色
用户和角色是多对多,中间表。
权限和角色是多对多,中间表。
用户和权限是多对多,中间表。

Django-admin 演示

Django-admin 自带的六张表。

补充知识:base64: 编码与解码

注意:base64长度必须是4的倍数,即指编码后的乱码,不够使用 = 补齐,不多使用三个 = ,前端图片也可以使用base64格式。

导入模块:

import base64

将数据编码:

l = b'{"name":"junjie","age":18}'
# 括号内一定要放二进制格式数据
res = base64.b64encode(l)
# b'eyJuYW1lIjoianVuamllIiwiYWdlIjoxOH0='
print(res)

将数据解码:

ll = b"eyJuYW1lIjoianVuamllIiwiYWdlIjoxOH0="
res = base64.b64decode(ll)
# b'{"name":"junjie","age":18}'
print(res)

举例12306登录二维码:

JWT认证

token发展史

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。

2608149-20220407231800576-1960445536

2608149-20220407231805106-1754756477

2608149-20220407231809163-1442840694

JWT的构成 ---> 三段式 ---> 每段都是使用base64编码。

典型的JWT串样式, 通过 . 分割成三段:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyaWQiOiAiMSIsICJuYW1lIjogIkpvaG4gRG9lIiwgImV4cCI6IDEyMTQzNTZ9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
  • 第一段:header(头部)

  • 第二段:payload(荷载)

  • 第三段:signature(签证)

构成和工作原理

JWT的构成

JWT就是一段字符串,由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

第一部分我们称它为头部(header),第二部分我们称其为荷载(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

header(头部)

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload(荷载)

荷载就是存放类似用户信息,过期时间,签发时间...

{
    "userid": "1",
    "name": "John Doe",
    "exp": 1214356
}

然后将其进行base64加密,得到JWT的第二部分。

eyJ1c2VyaWQiOiAiMSIsICJuYW1lIjogIkpvaG4gRG9lIiwgImV4cCI6IDEyMTQzNTZ9

signature(签证)

JWT的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64解密后加密算法加密后的)
  • payload (base64解密后加密算法加密后的)
  • secret(密钥=加盐)

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyaWQiOiAiMSIsICJuYW1lIjogIkpvaG4gRG9lIiwgImV4cCI6IDEyMTQzNTZ9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。

本质原理

jwt认证算法:签发与校验

1)jwt分三段式:头.体.签名 (head.payload.sgin)
2)头和体是可逆加密,让服务器可以反解出user对象;签名是不可逆加密,保证整个token的安全性的(base64反解出的是hash加密后的密文)
3)头体签名三部分,都是采用json格式的字符串,进行加密,可逆加密一般采用base64算法,不可逆加密一般采用hash(md5)算法
4)头中的内容是基本信息:公司信息、项目组信息、token采用的加密方式信息
{
	"company": "公司信息",
	...
}
5)体中的内容是关键信息:用户主键、用户名、签发时客户端信息(设备号、地址)、过期时间
{
	"user_id": 1,
	...
}
6)签名中的内容是安全信息:头的加密结果 + 体的加密结果 + 服务器不对外公开的安全码(对整个字典进行md5加密)
{
	"head": "头的加密字符串",
	"payload": "体的加密字符串",
	"secret": "安全码"
}

签发:根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token

1)用基本信息存储json字典,采用base64算法加密得到 头字符串
2)用关键信息存储json字典,采用base64算法加密得到 体字符串
3)用头、体加密字符串再加安全码信息存储json字典,采用hash md5算法加密得到 签名字符串

账号密码就能根据User表得到user对象,形成的三段字符串用 . 拼接成token返回给前台

校验:根据客户端带token的请求 反解出 user 对象

1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间和设备信息都是安全信息,确保token没过期,且时同一设备来的
3)再用 第一段 + 第二段 + 服务器安全码 不可逆md5加密,与第三段 签名字符串 进行碰撞校验,通过后才能代表第二段校验得到的user对象就是合法的登录用户

drf项目的jwt认证开发流程(重点)

1)用账号密码访问登录接口,登录接口逻辑中调用 签发token 算法,得到token,返回给客户端,客户端自己存到cookies中

2)校验token的算法应该写在认证类中(在认证类中调用),全局配置给认证组件,所有视图类请求,都会进行认证校验,所以请求带了token,就会反解出user对象,在视图类中用request.user就能访问登录的用户

注:登录接口需要做 认证 + 权限 两个局部禁用

总结:

jwt的签发和认证---》保证安全

# 签发---》登陆过程---》如果没有第三方模块帮助我们做,我们就自己做
"""
1)用基本信息公司信息存储json字典,采用base64算法得到 头字符串
2)用关键信息存储json字典,采用base64算法得到 荷载字符串,过期时间,用户id,用户名
3)用头、体加密字符串通过加密算法+秘钥加密得到 签名字符串
拼接成token返回给前台
"""


# 认证---》访问需要登陆的接口
"""
1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间是安全信息,确保token没过期
3)再用 第一段 + 第二段 + 加密方式和秘钥得到一个加密串,与第三段 签名字符串 进行比较,通过后才能代表第二段校验得到的user对象就是合法的登录用户
"""

# 大部分的web框架都会有第三方模块支持----》如果没有需要自己写
django中有一个django-rest-framework-jwt,咱们讲的:
# https://github.com/jpadilla/django-rest-framework-jwt
django中有一个,django-rest-framework-simplejwt,咱们不讲,公司可能会用:
# https://github.com/jazzband/djangorestframework-simplejwt

# 区别
# https://blog.csdn.net/lady_killer9/article/details/103075076
	

drf-jwt安装和简单使用

安装:

pip3 install djangorestframework-jwt

使用:

签发:

# 1 创建超级用户.
python3 manage.py createsuperuser
此处我创建username:junjie , password : junjie123
# 解释下为什么要创建超级用户:因为djangorestframework-jwt认证是基于django的auth里的user表作关联的,所以验证的数据也必须源自于这张表
# 2 配置路由urls.py
from django.urls import path
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    path('login/', obtain_jwt_token),
]
# 3 postman测试
向后端接口发送post请求,携带用户名密码,即可看到生成的token

认证:

导入模块:

from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.generics import CreateAPIView, RetrieveAPIView, ListAPIView, DestroyAPIView, UpdateAPIView
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework.permissions import IsAuthenticated


class BookAPIView(ViewSetMixin, CreateAPIView, RetrieveAPIView, ListAPIView, DestroyAPIView, UpdateAPIView):
    # class BookAPIView(ModelViewSet):
    """
    list:
    这个是查询所有接口。

    """
    queryset = Books.objects.all()
    serializer_class = BookSerializers

    # 必须用这个认证类
    authentication_classes = [JSONWebTokenAuthentication, ]
    # 还要配合这个权限
    permission_classes = [IsAuthenticated, ]

在访问接口时,需要在请求头部加key:为Authorization,value:jwt+空格+token码

2608149-20220407231849637-1557234410

JWT使用auth表签发token,自定制返回格式

setting.py , JWTP模块的配置文件,统一放在JWT_AUTH

JWT_AUTH ={
    # 这里把下面自定制的函数注册进来
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'app01.utils.jwt_response_payload_handler',
}

url.py

from django.urls import path, include
from rest_framework_jwt.views import obtain_jwt_token


urlpatterns = [
    path('login/',obtain_jwt_token)
]

自定义utils.py

def jwt_response_payload_handler(token, user=None, request=None):
    """
    eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
    eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjQ5NTcyOTM5LCJlbWFpbCI6IiJ9.
    uE1TNu6jP9EhsYahWs-WonKVLD1HOB63ntusGzeN4MI
    """
    print(token)
    # admin
    print(user)
    # <rest_framework.request.Request: POST '/login/'>
    print(request)
    return {
        'code':200,
        'msg':'登录成功',
        'username':user.username,
        'token':token
    }

为什么utils.py需要这样写?

djangorestframework-jwt模块源码分析

签发token

urls.py

from rest_framework_jwt.views import obtain_jwt_token
from rest_framework_jwt.utils import jwt_response_payload_handler


urlpatterns = [
    path('login/',obtain_jwt_token)
]
obtain_jwt_token--> ObtainJSONWebToken.as_view():视图类.as_view() --> 既然是视图类.as_view()登录post请求,携带用户名密码 --> 视图类中一定会有post方法。

def post(self, request, *args, **kwargs):
  serializer = self.get_serializer(data=request.data)

  if serializer.is_valid():
    user = serializer.object.get('user') or request.user
    token = serializer.object.get('token')
    response_data = jwt_response_payload_handler(token, user, request)
    response = Response(response_data)
    if api_settings.JWT_AUTH_COOKIE:
      expiration = (datetime.utcnow() +
                    api_settings.JWT_EXPIRATION_DELTA)
      response.set_cookie(api_settings.JWT_AUTH_COOKIE,
                          token,
                          expires=expiration,
                          httponly=True)
      return response

    return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

2608149-20220407231924952-187093216

认证源码

2608149-20220407231928815-890330028

2608149-20220407231931784-383606299

2608149-20220407231931784-383606299

2608149-20220408165149514-1309248279

2608149-20220407231939676-531260133

2608149-20220407231945237-2042780526

自定义user表,签发token

签发token

重点在于

1.通过用户输入的用户名和密码去数据库中查出该用户

2.获取到的用户信息生成荷载(payload),jwt模块提供了

3.通过荷载来生成toekn,jwt模块提供了

4.把含有token串的字典返回给前端

views.py

from rest_framework.viewsets import ViewSet, ViewSetMixin
from rest_framework.decorators import action
from . import models
from rest_framework.response import Response
from rest_framework_jwt.settings import api_settings
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

# 自动生成路由一定要继承ViewSetMixin
class UserView(ViewSet):
    @action(methods=['POST'],detail=False)
    def login(self,request):
        res_dic = {'code':100,'msg':'成功'}
        username = request.data.get('username')
        password = request.data.get('password')
        user = models.UserInfo.objects.filter(username=username,password=password).first()
        # 登录成功
        if user:
            # 如何签发token?到jwt源码中复制
            # 得到荷载 --> 字典
            payload = jwt_payload_handler(user)
            print(payload)
            # 通过荷载得到token串
            token = jwt_encode_handler(payload)
            print(token)
            res_dic['token'] = token
            res_dic['username'] = username
            return Response(res_dic)
        else:
            res_dic['code'] = 101
            res_dic['msg'] = '用户名或者密码错误'
            return Response(res_dic)

url.py

from django.urls import path, include
from rest_framework_jwt.views import obtain_jwt_token
from app01 import views
from rest_framework.routers import SimpleRouter, DefaultRouter


router = SimpleRouter()
router.register('user', views.UserView,'user')

urlpatterns = [
    path('', include(router.urls)),
    # # 使用jwt配置路由
    path('login/',obtain_jwt_token)
]

将逻辑代码写在serializer中的书写方式,使用居多。

views.py

from rest_framework.viewsets import ViewSet, ViewSetMixin
from rest_framework.decorators import action
from app01.serizlizer import UserInfoSerializer
from rest_framework.response import Response
from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER


# 自动生成路由一定要继承ViewSetMixin
class UserView(ViewSet):
    @action(methods=['POST'], detail=False)
    def login(self, request):
        res_dic = {'code': 100, 'msg': '成功'}
        user = UserInfoSerializer(data=request.data)
        print(1)
        # 到这句话会走:字段的校验规则,局部钩子,全局钩子
        if user.is_valid():
            print(2)
            username = user.context['username']
            token = user.context['token']
            res_dic['username'] = username
            res_dic['token'] = token
        else:
            res_dic['code'] = 101
            res_dic['msg'] = user.errors
        return Response(res_dic)

serializer.py

from rest_framework.serializers import ModelSerializer
from rest_framework.exceptions import ValidationError
from .models import UserInfo
from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER


class UserInfoSerializer(ModelSerializer):
    class Meta:
        model = UserInfo
        # 使用表模型自身的校验
        fields = ['username', 'password']

    # 全局钩子
    def validate(self, attrs):
        print(3)
        """
        OrderedDict([('username', 'junjie'), ('password', 'junjie123')])
        """
        print(attrs)
        username = attrs.get('username')
        password = attrs.get('password')
        user = UserInfo.objects.filter(username=username, password=password).first()
        # UserInfo object (1)
        print(user)
        if not user:
            raise ValidationError('用户名或者密码错误')
        # 获取荷载,用jwt模块提供的,缺什么导入什么
        payload = jwt_payload_handler(user)
        # 获取token 直接用jwt模块提供的,缺什么导入什么
        token = jwt_encode_handler(payload)
        # context字典是与视图函数沟通的桥梁,这里放,那里取,那里放,这里取
        self.context['token'] = token
        self.context['username'] = username
        print(self.context)
        return attrs

urls.py 不变

补充: context字典是视图类与序列化类沟通的桥梁

在views.py中

class UserAPIView(ViewSet):
    @action(methods=['POST', ], detail=False)
    def login(self, request):
    # 可以把context={'request':request}传入,那么在序列化类中就可以获取request对象
    ser = UserInfoSerializer(data=request.data, context={'request':request})
        if ser.is_valid():
			...

在序列化类.py中

# 如果视图函数中传了reqeust,也可以取出
    def validate(self, attrs):
        request = self.context['request']
        print(request.method)
		...

自定义认证类

因为认证类要重写authenticate方法,所以重点就是在authenticate方法中写下面逻辑:

1.取出客户端传入的token(后端自己规定),看是携带在请求头中,还是在请求地址中

2.验证token中的签名(jwt模块提供了)

3.通过payload得到当前登陆的用户对象(jwt模块提供了)

4.返回user对象和token(或者是其他参数)

创建auth.py


from rest_framework.authentication import BaseAuthentication
from rest_framework_jwt.settings import api_settings
from rest_framework.exceptions import AuthenticationFailed
import jwt
# from django.utils.translation import ugettext as _
from .models import UserInfo
jwt_decode_handler = api_settings.JWT_DECODE_HANDLER
class JWTAuthentication(BaseAuthentication):
    def authenticate(self, request):
        # 第一步:取出传入的token--》从哪去?--》咱们定的:请求地址?请求头?
        # token=request.query_params.get('token')# 请求地址?
        # http请求头中的数据,在META中,统一变成  HTTP_请求头的key大写
        ## 获取前端传的token串
        jwt_value=request.META.get('HTTP_TOKEN')
        if jwt_value:
            # 验证token:是否过期,是否被篡改--》去源码扣
            try: 
                payload = jwt_decode_handler(jwt_value)
            except jwt.ExpiredSignature:
                msg = '签名过期'
                raise AuthenticationFailed(msg)
            except jwt.DecodeError:
                msg = '签名被篡改'
                raise AuthenticationFailed(msg)
            except jwt.InvalidTokenError:
                raise AuthenticationFailed('未知错误')

            # 通过payload获得当前登录用户
            user = UserInfo.objects.filter(pk=payload['user_id']).first()

            return (user, jwt_value)
        else:
            raise AuthenticationFailed('您没有携带token')

2608149-20220409010408863-436519887

posted @ 2022-04-11 16:11  谢俊杰  阅读(550)  评论(0编辑  收藏  举报