建设行业年度峰会网站,wordpress 输出短代码,免费网站建设解决方案,第三方平台广告营销是什么一、JWT认证
在用户注册或登录后#xff0c;我们想记录用户的登录状态#xff0c;或者为用户创建身份认证的凭证。我们不再使用Session认证机制#xff0c;而使用Json Web Token#xff08;本质就是token#xff09;认证机制。 Json web token (JWT), 是为了在网络应用环…一、JWT认证
在用户注册或登录后我们想记录用户的登录状态或者为用户创建身份认证的凭证。我们不再使用Session认证机制而使用Json Web Token本质就是token认证机制。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的特别适用于分布式站点的单点登录SSO场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息以便于从资源服务器获取资源也可以增加一些额外的其它业务逻辑所必须的声明信息该token也可直接被用于认证也可被加密。 1.1 构成和工作原理 JWT的构成
JWT就是一段字符串由三段信息构成的将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 第一部分我们称它为头部header),第二部分我们称其为载荷payload, 类似于飞机上承载的物品)第三部分是签证signature).
1.1.1 header
jwt的头部承载两部分信息
声明类型这里是jwt声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON
{typ: JWT,alg: HS256
}然后将头部进行base64加密该加密是可以对称解密的),构成了第一部分. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 1.1.2 payload
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品这些有效信息包含三个部分
标准中注册的声明公共的声明私有的声明
标准中注册的声明 (建议但不强制使用)
iss: jwt签发者sub: jwt所面向的用户aud: 接收jwt的一方exp: jwt的过期时间这个过期时间必须要大于签发时间nbf: 定义在什么时间之前该jwt都是不可用的.iat: jwt的签发时间jti: jwt的唯一身份标识主要用来作为一次性token,从而回避时序攻击。
公共的声明 公共的声明可以添加任何的信息一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息因为该部分在客户端可解密.
私有的声明 私有声明是提供者和消费者所共同定义的声明一般不建议存放敏感信息因为base64是对称解密的意味着该部分信息可以归类为明文信息。
定义一个payload:
{sub: 1234567890,name: John Doe,admin: true
}然后将其进行base64加密得到JWT的第二部分。 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9 1.1.3 signature
JWT的第三部分是一个签证信息这个签证信息由三部分组成
header (base64后的)payload (base64后的)secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串然后通过header中声明的加密方式进行加盐secret组合加密然后就构成了jwt的第三部分。
// javascript
var encodedString base64UrlEncode(header) . base64UrlEncode(payload);var signature HMACSHA256(encodedString, secret); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ将这三部分用.连接成一个完整的字符串,构成了最终的jwt: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 注意secret是保存在服务器端的jwt的签发生成也是在服务器端的secret就是用来进行jwt的签发和jwt的验证所以它就是你服务端的私钥在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
关于签发和核验JWT我们可以使用Django REST framework JWT扩展来完成。
1.2 本质原理
jwt认证算法签发与校验 1jwt分三段式头.体.签名 head.payload.sgin
2头和体是可逆加密让服务器可以反解出user对象签名是不可逆加密保证整个token的安全性的
3头体签名三部分都是采用json格式的字符串进行加密可逆加密一般采用base64算法不可逆加密一般采用hash(md5)算法
4头中的内容是基本信息公司信息、项目组信息、token采用的加密方式信息
{company: 公司信息,...
}
5体中的内容是关键信息用户主键、用户名、签发时客户端信息(设备号、地址)、过期时间
{user_id: 1,...
}
6签名中的内容时安全信息头的加密结果 体的加密结果 服务器不对外公开的安全码 进行md5加密
{head: 头的加密字符串,payload: 体的加密字符串,secret_key: 安全码
}签发根据登录请求提交来的 账号 密码 设备信息 签发 token 1用基本信息存储json字典采用base64算法加密得到 头字符串
2用关键信息存储json字典采用base64算法加密得到 体字符串
3用头、体加密字符串再加安全码信息存储json字典采用hash md5算法加密得到 签名字符串账号密码就能根据User表得到user对象形成的三段字符串用 . 拼接成token返回给前台校验根据客户端带token的请求 反解出 user 对象 1将token按 . 拆分为三段字符串第一段 头加密字符串 一般不需要做任何处理
2第二段 体加密字符串要反解出用户主键通过主键从User表中就能得到登录用户过期时间和设备信息都是安全信息确保token没过期且时同一设备来的
3再用 第一段 第二段 服务器安全码 不可逆md5加密与第三段 签名字符串 进行碰撞校验通过后才能代表第二段校验得到的user对象就是合法的登录用户drf项目的jwt认证开发流程重点 1用账号密码访问登录接口登录接口逻辑中调用 签发token 算法得到token返回给客户端客户端自己存到cookies中2校验token的算法应该写在认证类中(在认证类中调用)全局配置给认证组件所有视图类请求都会进行认证校验所以请求带了token就会反解出user对象在视图类中用request.user就能访问登录的用户注登录接口需要做 认证 权限 两个局部禁用1.2.1 补充base64编码解码
import base64
import json
dic_info{sub: 1234567890,name: lqz,admin: True
}
byte_infojson.dumps(dic_info).encode(utf-8)
# base64编码
base64_strbase64.b64encode(byte_info)
print(base64_str)
# base64解码
base64_streyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogImxxeiIsICJhZG1pbiI6IHRydWV9
str_url base64.b64decode(base64_str).decode(utf-8)
print(str_url)二 drf-jwt安装和简单使用
2.1官网
http://getblimp.github.io/django-rest-framework-jwt/2.2 安装
pip install djangorestframework-jwt2.3 使用
# 1 创建超级用户
python3 manage.py createsuperuser
# 2 配置路由urls.py
from django.urls import path
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns [path(login/, obtain_jwt_token),
]
# 3 postman测试
向后端接口发送post请求携带用户名密码即可看到生成的token# 4 setting.py中配置认证使用jwt提供的jsonwebtoken
# 5 postman发送访问请求必须带jwt空格三 实战之使用Django auth的User表自动签发
3.1 配置setting.py
import datetime
JWT_AUTH {# 过期时间1天JWT_EXPIRATION_DELTA: datetime.timedelta(days1),# 自定义认证结果见下方序列化user和自定义response# 如果不自定义返回的格式是固定的只有token字段JWT_RESPONSE_PAYLOAD_HANDLER: users.utils.jwt_response_payload_handler,
}3.2 编写序列化类ser.py
from rest_framework import serializers
from users import models
class UserModelSerializers(serializers.ModelSerializer):class Meta:model models.UserInfofields [username]3.3 自定义认证返回结果setting中配置的
#utils.py
from users.ser import UserModelSerializers
def jwt_response_payload_handler(token, userNone, requestNone):return {status: 0,msg: ok,data: {token: token,user: UserModelSerializers(user).data}}3.4 基于drf-jwt的全局认证
#app_auth.py(自己创建)
from rest_framework.exceptions import AuthenticationFailed
from rest_framework_jwt.authentication import jwt_decode_handler
from rest_framework_jwt.authentication import get_authorization_header,jwt_get_username_from_payload
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthenticationclass JSONWebTokenAuthentication(BaseJSONWebTokenAuthentication):def authenticate(self, request):jwt_value get_authorization_header(request)if not jwt_value:raise AuthenticationFailed(Authorization 字段是必须的)try:payload jwt_decode_handler(jwt_value)except jwt.ExpiredSignature:raise AuthenticationFailed(签名过期)except jwt.InvalidTokenError:raise AuthenticationFailed(非法用户)user self.authenticate_credentials(payload)return user, jwt_value3.5 全局使用
# setting.py
REST_FRAMEWORK {# 认证模块DEFAULT_AUTHENTICATION_CLASSES: (users.app_auth.JSONWebTokenAuthentication,),
}3.6 局部启用禁用
# 局部禁用
authentication_classes []
# 局部启用
from user.authentications import JSONWebTokenAuthentication
authentication_classes [JSONWebTokenAuthentication]
# 实际代码如下view.py
# 自定义Response
class CommonResponse(Response):def __init__(self,status,msg,data,*args,**kwargs):dic{status:status,msg:msg,data:data}super().__init__(datadic,*args,**kwargs)
# 测试订单接口
from users.app_auth import JSONWebTokenAuthentication
class OrderView(APIView):# authentication_classes [JSONWebTokenAuthentication]authentication_classes []def get(self,request):return CommonResponse(100, 成功,{数据:测试})四 实战之自定义User表手动签发
4.1 手动签发JWT
# 可以拥有原生登录基于Model类user对象签发JWT
from rest_framework_jwt.settings import api_settings
jwt_payload_handler api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler api_settings.JWT_ENCODE_HANDLERpayload jwt_payload_handler(user)
token jwt_encode_handler(payload)4.2 编写登陆视图类
# views.py
from rest_framework_jwt.settings import api_settings
jwt_payload_handler api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler api_settings.JWT_ENCODE_HANDLER
from users.models import User
class LoginView(APIView):authentication_classes []def post(self,request):usernamerequest.data.get(username)passwordrequest.data.get(password)userUser.objects.filter(usernameusername,passwordpassword).first()if user: # 能查到登陆成功手动签发payload jwt_payload_handler(user)token jwt_encode_handler(payload)return CommonResponse(100,登陆成功,data{token:token})else:return CommonResponse(101, 登陆失败)4.3 编写认证组件
# app_auth.py
from users.models import User
class MyJSONWebTokenAuthentication(BaseAuthentication):def authenticate(self, request):jwt_value get_authorization_header(request)if not jwt_value:raise AuthenticationFailed(Authorization 字段是必须的)try:payload jwt_decode_handler(jwt_value)except jwt.ExpiredSignature:raise AuthenticationFailed(签名过期)except jwt.InvalidTokenError:raise AuthenticationFailed(非法用户)username jwt_get_username_from_payload(payload)print(username)user User.objects.filter(usernameusername).first()print(user)return user, jwt_value4.4 登陆获取token 4.5编写测试接口
from users.app_auth import JSONWebTokenAuthentication,MyJSONWebTokenAuthentication
class OrderView(APIView):# authentication_classes [JSONWebTokenAuthentication]authentication_classes [MyJSONWebTokenAuthentication]def get(self,request):print(request.user)return CommonResponse(100, 成功,{数据:测试})4.6 测试 五、源码分析
5.1drf—jwt的签发源码分析
5.1.1 from rest_framework_jwt.views import obtain_jwt_token
obtain_jwt_token就是ObtainJSONWebToken.as_view()---》视图类.as_view()
视图类
class ObtainJSONWebToken(JSONWebTokenAPIView):serializer_class JSONWebTokenSerializer
父类JSONWebTokenAPIView
class JSONWebTokenAPIView(APIView):# 局部禁用掉权限和认证permission_classes ()authentication_classes ()def post(self, request, *args, **kwargs):
serializerJSONWebTokenSerializer(datarequest.data)
serializer self.get_serializer(datarequest.data)
调用序列化列的is_valid---》字段自己的校验规则局部钩子和全局钩子
读JSONWebTokenSerializer的局部或全局钩子
if serializer.is_valid(): # 全局钩子在校验用户生成token
从序列化类中取出user
user serializer.object.get(user) or request.user
从序列化类中取出token
token serializer.object.get(token)
定制返回格式的时候写的就是这个函数
response_data jwt_response_payload_handler(token, user, request)response Response(response_data)return responsereturn Response(serializer.errors, statusstatus.HTTP_400_BAD_REQUEST)
JSONWebTokenSerializer的全局钩子
class JSONWebTokenSerializer(Serializer):def validate(self, attrs):# attrs前端传入的校验过后的数据 {username:lqz,password:lqz12345}
credentials {username: attrs.get(usernme),password: attrs.get(password)}if all(credentials.values()): # 校验credentials中字典的value值是否都不为空# userauthenticate(username前端传入的password前端传入的)# auth模块的用户名密码认证函数可以传入用户名密码去auth的user表中校验用户是否存在# 等同于User.object.filter(usernameusername,password加密后的密码).first()user authenticate(**credentials)if user:if not user.is_active:msg _(User account is disabled.)raise serializers.ValidationError(msg)payload jwt_payload_handler(user)return {token: jwt_encode_handler(payload),user: user}else:msg _(Unable to log in with provided credentials.)raise serializers.ValidationError(msg)else:msg _(Must include {username_field} and password.)msg msg.format(username_fieldself.username_field)raise serializers.ValidationError(msg)
5.2认证源码
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
JSONWebTokenAuthentication
class JSONWebTokenAuthentication(BaseJSONWebTokenAuthentication):def get_jwt_value(self, request):# auth[jwt,token串]auth get_authorization_header(request).split()auth_header_prefix api_settings.JWT_AUTH_HEADER_PREFIX.lower()if not auth:if api_settings.JWT_AUTH_COOKIE:return request.COOKIES.get(api_settings.JWT_AUTH_COOKIE)return Noneif smart_text(auth[0].lower()) ! auth_header_prefix:return Noneif len(auth) 1:msg _(Invalid Authorization header. No credentials provided.)raise exceptions.AuthenticationFailed(msg)elif len(auth) 2:msg _(Invalid Authorization header. Credentials string should not contain spaces.)raise exceptions.AuthenticationFailed(msg)return auth[1] # token串
父类中找BaseJSONWebTokenAuthentication---》authenticate找到了
class BaseJSONWebTokenAuthentication(BaseAuthentication):def authenticate(self, request):# 拿到前端传入的token前端传入的样子是 jwt token串jwt_value self.get_jwt_value(request)# 如果前端没传返回Nonerequest.user中就没有当前登录用户# 如果前端没有携带token也能进入到视图类的方法中执行控制不住登录用户# 所以咱们才加了个权限类来做控制if jwt_value is None:return Nonetry:payload jwt_decode_handler(jwt_value)except jwt.ExpiredSignature:msg _(Signature has expired.)raise exceptions.AuthenticationFailed(msg)except jwt.DecodeError:msg _(Error decoding signature.)raise exceptions.AuthenticationFailed(msg)except jwt.InvalidTokenError:raise exceptions.AuthenticationFailed()
通过payload拿到当前登录用户
user self.authenticate_credentials(payload)return (user, jwt_value) 如果用户不携带token也能认证通过
所以我们必须加个权限类来限制
class IsAuthenticated(BasePermission):def has_permission(self, request, view):return bool(request.user and request.user.is_authenticated)
