DRF的JWT用户认证

从根本上来说,JWT是一种开放的标准(RFC 7519), 全称为json web token ,其存在的意义在于,对于前后端分离的项目来说,后端不需要存储token,主需要存储签发和校验token的算法,所以我们需要在前端存储token,然后通过JWT加密之后传送给后端,从而完成校验.

JWT算法认证的最大优点在于适合服务器集群部署,这样对于比较大的项目可以从根本上提升并发量.

JWT的认证规则

JWT的格式

jwt的格式是三段式,即header(头) . payload(负载) . Signature(签名),其中头和载负载采用的是base64可逆的加密,签名采用的则是md5不可逆的加密,具体如下:

  • 头(基础信息): 包含两部分,token类型以及采用的加密算法
  • 载负载(核心信息): 主要是用户信息,过期时间等
  • 签名(安全保证): 包括三方面,即头加密结果+载荷加密结果+服务器秘钥,采用的是md5加密

我们的后台一定要保证服务器秘钥的安全,因为在jwt里面服务器秘钥是唯一的安全保障

JWT认证的流程

后台签发token -> 前台存储 -> 前台想后台发送需要认证的请求且携带token -> 后台校验token得到合法的用户

JWT模块的导入为

# 在cmd或者Terminal窗口中:
pip install djangorestframework-jwt # 模块包名为rest_framework_jwt

JWT的使用

JWT最常用的是三个接口,签发token,校验token以及刷新token,我们可以分别在urls.py里面导入

# /urls.py
from django.conf.urls import url
from . import views from rest_framework_jwt.views import ObtainJSONWebToken, obtain_jwt_token, verify_jwt_token, refresh_jwt_token
urlpatterns = [
# drf-jwt三个视图接口
url(r'^login/$', obtain_jwt_token),
url(r'^verify/$', verify_jwt_token),
url(r'^refresh/$', refresh_jwt_token),
] # 导入之后,我们还需要在settings.py里面配置相关的JWT的配置项
# /settings.py import datetime
JWT_AUTH = {
# 设置JWT的过期时间
'JWT_EXPIRATION_DELTA':datetime.timedelta(days=7), # 自定义jwt插件的配置
'JWT_PEFRESH_EXPIRATION_DELTA':detetime.timedelta(days=7), # 设置JWT的头
'JWT_AUTH_HEADER_PREFIX':'JWT'
}

下面我们就用代码来实现jwt的整个逻辑,大概逻辑如下:

  1. 视图类中,将请求数据交给序列化完成校验,然后返回用户信息和对应token
  2. 序列化类,自定义反序列化的字段,利用全局钩子校验数据得到user和token,并且保存在序列化类对象中
  3. token可以采用jwt插件的rest_framework_jwt.serializers中jwt_payload_handler,jwt_encode_handler来完成签发

下面我们做一个实例,该小例子实现了用户的多方式登录:

# urls.py
from django.conf.urls import url
from . import views urlpatterns = [ url(r'^login/$', views.LoginAPIView.as_view())
] # serializers.py
from rest_framework.serializers import ModelSerializer, CharField, ValidationError, SerializerMethodField
from . import models
import re
from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler
class LoginSerializer(ModelSerializer):
# 定义用户名和密码两个仅支持反序列化的字段
username = CharField(write_only=True)
password = CharField(write_only=True)
class Meta:
model = models.User
fields = ('username', 'password') # 在全局钩子中签发token
def validate(self, attrs):
user = self._many_method_login(**attrs)
# 将数据存放到序列化对象中
payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload) self.user = user
self.token = token return attrs # 多方式登录
def _many_method_login(self, **attrs):
username = attrs.get('username')
password = attrs.get('password')
# 正则匹配,如果有@符号,则判定为邮箱登录
if re.match(r'.*@.*', username):
user = models.User.objects.filter(email=username).first() # 如果是11位数字且开头为1,判定为手机登录
elif re.match(r'^1[0-9]{10}$', username):
user = models.User.objects.filter(mobile=username).first() # 两个都不匹配的话,就判定为用户名登录
else:
user = models.User.objects.filter(username=username).first() # 如果用户不存在,就是信息有误
if not user:
raise ValidationError({'username': '账号有误'}) # 如果用户存在,但是检测密码有问题,报错密码有误
if not user.check_password(password):
raise ValidationError({'password': '密码有误'}) return user # views.py
from rest_framework.views import APIView
from . import models, serializers
from utils.response import APIResponse
class LoginAPIView(APIView):
authentication_classes = []
permission_classes = [] # 以post的方式接受前台发送的数据
def post(self, request, *args, **kwargs):
# 将前台传来的数据传送到序列化对象中,完成校验
serializer = serializers.LoginSerializer(data=request.data)
serializer.is_valid(raise_exception=True)
return APIResponse(msg='login success', data={
'username': serializer.user.username,
'token': serializer.token
})

DRF的JWT用户认证的更多相关文章

  1. [django]前后端分离之JWT用户认证

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  2. 前后端分离之JWT用户认证(转)

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  3. 前后端分离之JWT用户认证zf

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  4. [转] 前后端分离之JWT用户认证

    [From] http://www.jianshu.com/p/180a870a308a 在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当 ...

  5. 前后端分离之JWT用户认证

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  6. Cookie、Session、Token那点事儿和前后端分离之JWT用户认证

    (两篇文章转自:https://www.jianshu.com/p/bd1be47a16c1:https://www.jianshu.com/p/180a870a308a) 什么是Cookie? Co ...

  7. django drf 自定义jwt用户验证逻辑

    新建Backend类 from django.contrib.auth.backends import ModelBackend from django.shortcuts import render ...

  8. 用户认证(Authentication)进化之路:由Basic Auth到Oauth2再到jwt

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_98 用户认证是一个在web开发中亘古不变的话题,因为无论是什么系统,什么架构,什么平台,安全性是一个永远也绕不开的问题 在HTTP ...

  9. DRF使用JWT进行用户认证

    1. 首先需要安装第三方依赖包 pip install djangorestframework-jwt 2. 在Django的settings文件中 配置全局的JWT认证类 REST_FRAMEWOR ...

随机推荐

  1. HTTP六大请求

    标准Http协议支持六种请求方法,即: 1.GET 2.POST 3.PUT 4.Delete 5.HEAD 6.Options 但其实我们大部分情况下只用到了GET和POST.如果想设计一个符合RE ...

  2. 从客户端中检测到有潜在危险的 request.form值 以及 request.querystring[解决方法]

    一.从客户端中检测到有潜在危险的request.form值 当页面编辑或运行提交时,出现“从客户端中检测到有潜在危险的request.form值”问题,该怎么办呢?如下图所示: 下面博主汇总出现这种错 ...

  3. XML XPATH simpleXML

    XPath 通过DOM结构定位节点,在数据量很大的情况下速度下降的很厉害.解决方法是XPath.Xpath的作用:用于快速定位节点 position()是节点的位置,节点的位置是从1开始 simple ...

  4. leetcode-1053. 交换一次的先前排列

      题目描述: 给你一个正整数的数组 A(其中的元素不一定完全不同),请你返回可在 一次交换(交换两数字 A[i]和 A[j] 的位置)后得到的.按字典序排列小于 A 的最大可能排列. 如果无法这么操 ...

  5. explain分析sql语句执行效率

    Explain命令在解决数据库性能上是第一推荐使用命令,大部分的性能问题可以通过此命令来简单的解决,Explain可以用来查看SQL语句的执行效 果,可以帮助选择更好的索引和优化查询语句,写出更好的优 ...

  6. js实现禁止页面拖拽图片

    document.ondragstart = function() {        return false;};

  7. nginx配置跨域

    location / { if ($request_method = 'OPTIONS') {add_header 'Access-Control-Allow-Origin' '*' always;a ...

  8. [已解决]Series object has no attribute explode

    报错代码 s = pd.Series([[1, 2, 3], 'foo', [], [3, 4]]) s 0 [1, 2, 3] 1 foo 2 [] 3 [3, 4] dtype: object s ...

  9. S1#Python之shebang

    点1 - Python之shebang 一. shebang 在计算机科学中,Shebang是一个由井号和叹号构成的字符串行,其出现在文本文件的第一行的前两个字符. 在文件中存在Shebang的情况下 ...

  10. 案例-开门效果CSS3

    <style> .door { width: 288px; height: 153px; border: 2px solid #333; margin: 150px auto; backg ...