jwt认证

Posted tangceng

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了jwt认证相关的知识,希望对你有一定的参考价值。

jwt认证

? jwt:json web token

? 解释:加密字符串的原始数据是json,后台产生,通过web传输给前台存储

一、格式

? jwt = base64(头).base(载荷).hash256(base64(头部).base(载荷).密钥)

? baes64是可逆算法,hash256是不可逆算法

? 密钥是固定的字符串,保存在服务器中

二、内容

? 头:储存基本信息,也可以为空。内容有加密方式、公司信息、项目组信息等等

? 载荷:储存核心信息,内容有用户信息、过期时间等等。

? 签名:保障数据安全,格式为头加密结果+载荷加密结果+服务器秘钥 的md5加密结果

三、jwt模块安装

? 安装:

pip install djangorestframework-jwt

? 模块包:

rest_framework_jwt

? 认证规则:

? 后台签发token -> 前台存储 -> 发送需要认证的请求带着token -> 后台校验得到合法的用户。

? 注意:后台一定要保障服务器密钥的安全性(是jwt唯一的安全保障)

四、项目

? 配置信息:

import datetime
JWT_AUTH = {
 # 过期时间
 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
 # 自定义认证结果:见下方序列化user和自定义response
 'JWT_RESPONSE_PAYLOAD_HANDLER': 'user.utils.jwt_response_payload_handler',
}

? 序列化user:serializers.py

from rest_framework import serializers
from . import models

class UserModelSerializers(serializers.ModelSerializer):
    class Meta:
        model = models.User
        fields = ['username']

? 自定义response:utils.py

from .serializers import UserModelSerializers
def jwt_response_payload_handler(token, user=None, request=None)
    return {
        'status': 0,
        'msg': 'ok',
        'data': {
            'token': token,
            'user': UserModelSerializers(user).data
        }
    }

? 基于drf-jwt的全局认证:authentications.py

import jwt
from rest_framework.exceptions import AuthenticationFailed
from rest_framework_jwt.authentication import jwt_decode_handler
from rest_framework_jwt.authentication import get_authorization_header
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication


class JSONWebTokenAuthentication(BaseJSONWebTokenAuthentication):
    def authenticate(self, request):
        jwt_value = get_authorization_header(request)
        if not jwt_value:
            raise AutnenticationFailed('Autnorization 字段是必有得')
        try:
            payload = jwt_decode_handler(jwt_value)
        except jwt.ExpiredSignature
            raise AutnenticationFailed('签名过期')
        except jwt.InvalidTokenError
            raise AutnenticationFailed('非法用户')
        user = self.authenticate_credentials(payload)
        
        return user, jwt_value

? 全局启用:settings.py

REST_FRAMEWORK = {
 # 认证模块
 'DEFAULT_AUTHENTICATION_CLASSES': (
 'user.authentications.JSONWebTokenAuthentication',
 ),
}

? 局部禁用启用:任何一个cbv类首行

# 局部禁用
authentication_classes = []

# 局部启用
from user.authentications import JSONWebTokenAuthentication
authentication_classes = [JSONWebTokenAuthentication]

? 多方式登录:utils.py

import re
from .models import User
from djaogo.contrib.auth.backends importsModelBackend
class JWTModelBackend(ModelBackend):
    def authenticate(self, request, username=None, password=None, **kwargs):
        try:
            if re.match(r'^1[3-9]d{9}$', username):
                username = User.objects.get(mobile=username)
            else:
                username = User.objects.get(username=username)
        except User.DoesNotExist:
            return None
        if user.check_password(password) and self.user_can_autnenticate(user):
            return user

? 配置多方式登录:settings.py

AUTHENTICATION_BACKENDS = ['user.utils.JWTModelBackend']

? 手动签发jwt:

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

五、总结

? 1、jwt认证:三段式的格式、每一段的内容、由后台签发到前台存储再到传给后台校验的认证流水线

? 2、drf-jwt插件:
? 三个接口:签发token、校验token、刷新token
? 自定义jwt插件的配置
?
? 3、使用jwt插件完成多方式登录
? 视图类:将请求数据交给序列化类完成校验,然后返回用户信息和token(从序列化对象中拿到)
? 序列化类:自定义反序列化字段,全局钩子校验数据得到user和token,并保存在序列化类对象中
? token可以用jwt插件的rest_framework_jwt.serializers中
? jwt_payload_handler,jwt_encode_handler
? 完成签发

? 4、自定义频率类完成视图类的频率限制
? 1)定义类继承SimpleRateThrottle,重写get_cache_key方法,设置scope类属性
? 2)scope就是一个认证字符串,在配置文件中配置scope字符串对应的频率设置
? 3)get_cache_key的返回值是字符串,该字符串是缓存访问次数的缓存key

以上是关于jwt认证的主要内容,如果未能解决你的问题,请参考以下文章

webapi JWT 认证

JWT 认证成功,但是邮递员返回 404

重学SpringCloud系列八之微服务网关安全认证-JWT篇

对JWT认证流程的误解

调用 API 时使用 JWT 承载认证

Spring cloud微服务安全实战-6-2JWT认证之认证服务改造