哔哩哔哩视频教学笔记:
1.jwt(登录注册)
json web token,一般用于用户认证(前后端分离、微信小程序/APP开发) 其他直接用cookies/session即可
token的校验过程:
前端——携带token进行认证——后端———返回携带的token进行校验
基于传统的token认证:
# 用户登录,服务段返回token,并将token保存在服务器,以后用户再来访问时,需要携带token,服务端获取token后再去数据库中获取token进行校验。
jwt:
# 用户登录,服务端给用户返回一个token(服务器不保存), 以后用户再来访问,需要携带token,服务器获取token后,再做token的校验, 优势:相较于传统的token相比,它无需在服务器端保存token。
2.jwt实现过程
*第一步瀛湖提交用户和密码给服务端。如果登录成功,使用创建一个token,并给用户返回。
官网:
注意:jwt生成的token由三段字符串组成,并用.连接起来的。
*第一段字符串,HEADER,内部包括算法/token类型,
json转换成字符串,然后做base64url加密(base64加密:+_).
{ "alg":"HS256", "typ":"JWT" }
*第二段字符串,payload自定义值。
json转换成字符串,然后做base64url加密(base64加密:+_).
{ "id":"123123", "name":"Eric", "exp":"124521589" # 超时时间 }
-
第三段字符串:
-
'''' 第一步:第1、2部分密文件拼接起来 第二步:对前2部分密文进行HS256加密 + 加盐 第三步:对HS256加密后的密文再做base64url加密 ''''
-
以后用户再来访问时候,需要携带token,后端需要对token进行校验
-
-
第一步:对token进行切割
-
第二部:对第二段进行base64url解密,并获取payload信息,检测token是否已经超时
{ "id":"123123", "name":"Eric", "exp":"124521589" # 超时时间 }
-
第三步:把第1,2段拼接起来,再次执行sah256加密
-
3.应用
# pip install pyjwt
使用:刨析内部源码
pyjwt.encode 生成token
pyjwt.decode token解密
4.扩展
# pip3 install djangoresframework-jwt
djangorestframework-jwt本质是调用pyjwt实现。
django案例
from django.http import JsonResponse from django.views import View from django.views.decorators.csrf import csrf_exempt from django.utils.decorators import method_decorator from utils.jwt_auth import create_token @method_decorator(csrf_exempt, name='dispatch') class LoginView(View): def post(self, request, *args, **kwargs): """ 用户登录 """ user = request.POST.get('username') pwd = request.POST.get('password') # 检测用户和密码是否正确,此处可以在数据进行校验。 if user == 'wupeiqi' and pwd == '123': # 用户名和密码正确,给用户生成token并返回 token = create_token({'username': 'wupeiqi'}) return JsonResponse({'status': True, 'token': token}) return JsonResponse({'status': False, 'error': '用户名或密码错误'}) @method_decorator(csrf_exempt, name='dispatch') class OrderView(View): def get(self, request, *args, **kwargs): print(request.user_info) return JsonResponse({'data': '订单列表'}) def post(self, request, *args, **kwargs): print(request.user_info) return JsonResponse({'data': '添加订单'}) def put(self, request, *args, **kwargs): print(request.user_info) return JsonResponse({'data': '修改订单'}) def delete(self, request, *args, **kwargs): print(request.user_info) return JsonResponse({'data': '删除订单'})
drf_jwr_demo
#!/usr/bin/env python # -*- coding:utf-8 -*- import jwt import datetime from jwt import exceptions JWT_SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv=' def create_token(payload, timeout=20): """ :param payload: 例如:{'user_id':1,'username':'wupeiqi'}用户信息 :param timeout: token的过期时间,默认20分钟 :return: """ headers = { 'typ': 'jwt', 'alg': 'HS256' } payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout) result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8') return result def parse_payload(token): """ 对token进行和发行校验并获取payload :param token: :return: """ result = {'status': False, 'data': None, 'error': None} try: verified_payload = jwt.decode(token, JWT_SALT, True) result['status'] = True result['data'] = verified_payload except exceptions.ExpiredSignatureError: result['error'] = 'token已失效' except jwt.DecodeError: result['error'] = 'token认证失败' except jwt.InvalidTokenError: result['error'] = '非法的token' return result
view.py
from rest_framework.views import APIView from rest_framework.response import Response from utils.jwt_auth import create_token from extensions.auth import JwtQueryParamAuthentication, JwtAuthorizationAuthentication class LoginView(APIView): def post(self, request, *args, **kwargs): """ 用户登录 """ user = request.POST.get('username') pwd = request.POST.get('password') # 检测用户和密码是否正确,此处可以在数据进行校验。 if user == 'wupeiqi' and pwd == '123': # 用户名和密码正确,给用户生成token并返回 token = create_token({'username': 'wupeiqi'}) return Response({'status': True, 'token': token}) return Response({'status': False, 'error': '用户名或密码错误'}) class OrderView(APIView): # 通过url传递token authentication_classes = [JwtQueryParamAuthentication, ] # 通过Authorization请求头传递token # authentication_classes = [JwtAuthorizationAuthentication, ] def get(self, request, *args, **kwargs): print(request.user, request.auth) return Response({'data': '订单列表'}) def post(self, request, *args, **kwargs): print(request.user, request.auth) return Response({'data': '添加订单'}) def put(self, request, *args, **kwargs): print(request.user, request.auth) return Response({'data': '修改订单'}) def delete(self, request, *args, **kwargs): print(request.user, request.auth) return Response({'data': '删除订单'})