JWT的含義
Json web token(JWT),是為了在網路應用環境間傳遞宣告而執行的一種基于JSON的開放標準(RFC 7519),該token被設計為緊湊且安全的,特別適用于分布式站點的單點登錄(sso)場景,JWT的宣告一般被用來在身份提供者和服務者間傳遞被認證的用戶身份資訊,以便于從資源服務器獲取資源,也可以增加一些額外的其他業務邏輯所必須的宣告資訊,該token也可直接被用于認證,也可被加密
token的應用于web方向的稱之為jwt
JWT的構成
JWT就是一段字串,由三段資訊構成的,將這三段資訊文本用.鏈接一起就構成了Jwt字串,就像這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
第一部分我們稱它為頭部(header),第二部分我們稱其為載荷(payload, 類似于飛機上承載的物品),第三部分是簽證(signature),
header
jwt的頭部承載兩部分資訊:
- 宣告型別,這里是jwt
- 宣告加密的演算法 通常直接使用 HMAC SHA256
完整的頭部就像下面這樣的JSON:
{
'typ': 'JWT',
'alg': 'HS256'
}
然后將頭部進行base64加密(該加密是可以對稱解密的),構成了第一部分,
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
payload
荷載就是存放有效資訊的地方,這個名字像是特指飛機上承載的貨品,這些有效資訊包含三個部分
- 標準中注冊的宣告
- 公共的宣告
- 私有的宣告
signature
JWT的第三部分是一個簽證資訊,這個簽證資訊由三部分組成:
- header (base64后的)
- payload (base64后的)
- secret
這個部分需要base64加密后的header和base64加密后的payload使用.連接組成的字串,然后通過header中宣告的加密方式進行加鹽secret組合加密,然后就構成了jwt的第三部分,
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
將這三部分用.連接成一個完整的字串,構成了最終的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服務器端的,jwt的簽發生成也是在服務器端的,secret就是用來進行jwt的簽發和jwt的驗證,所以,它就是你服務端的私鑰,在任何場景都不應該流露出去,一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發jwt了,
JWT原理和校驗程序
原理
1)jwt分三段式:頭.體.簽名 (head.payload.sgin)
2)頭和體是可逆加密,讓服務器可以反解出user物件;簽名是不可逆加密,保證整個token的安全性的
3)頭體簽名三部分,都是采用json格式的字串,進行加密,可逆加密一般采用base64演算法,不可逆加密一般采用hash(md5)演算法
4)頭中的內容是基本資訊:公司資訊、專案組資訊、token采用的加密方式資訊
{
"company": "公司資訊",
...
}
5)體中的內容是關鍵資訊:用戶主鍵、用戶名、簽發時客戶端資訊(設備號、地址)、過期時間
{
"user_id": 1,
...
}
6)簽名中的內容時安全資訊:頭的加密結果 + 體的加密結果 + 服務器不對外公開的安全碼 進行md5加密
{
"head": "頭的加密字串",
"payload": "體的加密字串",
"secret_key": "安全碼"
}
校驗程序
1)將token按 . 拆分為三段字串,第一段 頭加密字串 一般不需要做任何處理
2)第二段 體加密字串,要反解出用戶主鍵,通過主鍵從User表中就能得到登錄用戶,過期時間和設備資訊都是安全資訊,確保token沒過期,且時同一設備來的
3)再用 第一段 + 第二段 + 服務器安全碼 不可逆md5加密,與第三段 簽名字串 進行碰撞校驗,通過后才能代表第二段校驗得到的user物件就是合法的登錄用戶
drf專案的jwt認證開發流程
使用的是django_rest_framework里面的jwt模塊
1)用賬號密碼訪問登錄介面,登錄介面邏輯中呼叫 簽發token 演算法,得到token,回傳給客戶端,客戶端自己存到cookies中
2)校驗token的演算法應該寫在認證類中(在認證類中呼叫),全域配置給認證組件,所有視圖類請求,都會進行認證校驗,所以請求帶了token,就會反解出user物件,在視圖類中用request.user就能訪問登錄的用戶
注:登錄介面需要做 認證 + 權限 兩個區域禁用
drf-jwt安裝與使用
安裝
pip3 install djangorestframework-jwt
使用
1)遷移表,表需要繼承auth里內置的user表,因為它默認使用auth的user表簽發token
2)創建超級用戶(auth的user表中要右記錄)
3)不需要寫登錄介面了,如果是使用auth的user表作為用戶表,它可以快速簽發
4)簽發(登錄):只需要在路由中配置(因為它幫咱們寫好登錄介面了)
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
path('login/', obtain_jwt_token),
]
# 回傳結果
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Inp4ciIsImV4cCI6MTY2NTU3MjU4OSwiZW1haWwiOiJ6eHJAMTYzLmNvbSJ9.0jDd56Jk04-SdZ4AchLHkcfLECS1RvhFwAQ8VoNKiMM"
}
當登錄127.0.0.1:8000/login/時采用post請求,然后攜帶登錄的用戶名和密碼的資訊,服務器會自動回應,回傳一個token給前端,效果圖如下:
內置認證類的使用
在需要添加認證的視圖函式介面上添加以下配置:
from rest_framework.views import APIView
from rest_framework.response import Response
# Create your views here.
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework.permissions import IsAuthenticated
class BookView(APIView):
authentication_classes = [JSONWebTokenAuthentication,]
permission_classes = [IsAuthenticated, ]
def get(self,request):
return Response('ok')
def post(self,request):
return Response('ok11')
添加之后,在訪問該視圖時,token需要放在請求頭中,并且格式為Authorization:jwt token串
Authorization:jwt token串
# 例如:
Authorization:jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Inp4ciIsImV4cCI6MTY2NTU3MzMzMCwiZW1haWwiOiJ6eHJAMTYzLmNvbSJ9.DAX1wLhHYnpGwVzGvMnSFzUudkPgXsYvlrfk-XFdSAc
注意:上述請求頭的key必須位Authorization,值為jwt+空格+token串,如果想要修改jwt可以在組態檔中進行如下配置:
自定義auth認證類的使用
在一個py檔案夾里定義如下一個認證類
from rest_framework_jwt.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from rest_framework_jwt.authentication import jwt_decode_handler
from app01.models import UserInfo
# 寫一個類繼承自BaseAuthentication,重寫authenticate方法
class JWTAuthentication(BaseAuthentication):
def authenticate(self, request):
# token在請求頭的值為token-->HTTP_TOKEN token在請求頭的值為Authorization時--->HTTP_AUTHORIZATION
# print(request.META)
jwt_value = https://www.cnblogs.com/suncolor/archive/2022/10/28/request.META.get('HTTP_TOKEN')
# 驗證token是否合法,jwt模塊下一定有個驗證token的函式
try:
payload = jwt_decode_handler(jwt_value)
except jwt.ExpiredSignature:
raise AuthenticationFailed('token過期了')
except jwt.DecodeError:
raise AuthenticationFailed('token解碼失敗')
except jwt.InvalidTokenError:
raise AuthenticationFailed('認證失敗')
# 執行到這,說明token合法,payload可以使用
user = payload.get('username')
user = UserInfo.objects.filter(username=user).first() # 每次都要查資料庫,效率不太好
return (user, jwt_value) #user對應了request.user jwt_value對應了request.auth
# return (payload,jwt_value)
在需要認證的視圖上進行區域配置自己的寫的認證類
class BookView(APIView):
authentication_classes = [JWTAuthentication,]
permission_classes = [IsAuthenticated, ]
def post(self,request):
print(request.user,request.auth)
return Response('ok11')
drf-jwt修改回傳格式
登錄成功后,前端看到的格式,太固定了,只有token,我們想做成:
{code:100,msg:'登錄成功',token:adfasdfasdf}
固定寫法:
寫一個函式,函式回傳什么,前端就看到什么,然后需要在組態檔中配置一下自己寫的這個函式
寫一個函式
def jwt_response_payload_handler(token, user=None, request=None):
return {
'code': 100,
'msg': '登錄成功',
'username': user.username,
'token': token
}
將函式配置在組態檔中
# djangorestframework-jwt的配置,這個配置了以后優先使用這個
JWT_AUTH = {
'JWT_RESPONSE_PAYLOAD_HANDLER': 'app01.response.jwt_response_payload_handler',
}
手動簽發token(多方式登錄)
使用用戶名,手機號,郵箱,都可以登錄
前端需要傳的資料格式
{
"username":"lqz/1332323223/[email protected]",
"password":"lqz12345"
}
視圖
from rest_framework.views import APIView
from rest_framework.viewsets import ViewSetMixin, ViewSet
from app02 import ser
class Login2View(ViewSet):
def login(self, request, *args, **kwargs):
# 1 需要 有個序列化的類
login_ser = ser.LoginModelSerializer(data=https://www.cnblogs.com/suncolor/archive/2022/10/28/request.data,context={'request':request})
# 2 生成序列化類物件
# 3 呼叫序列號物件的is_validad
login_ser.is_valid(raise_exception=True)
token=login_ser.context.get('token')
# 4 return
return Response({'status':100,'msg':'登錄成功','token':token,'username':login_ser.context.get('username')})
序列化類
from rest_framework import serializers
from api import models
import re
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.utils import jwt_encode_handler,jwt_payload_handler
class LoginModelSerializer(serializers.ModelSerializer):
username=serializers.CharField() # 重新覆寫username欄位,資料中它是unique,post,認為你保存資料,自己有校驗沒過
class Meta:
model=models.User
fields=['username','password']
def validate(self, attrs):
print(self.context)
# 在這寫邏輯
username=attrs.get('username') # 用戶名有三種方式
password=attrs.get('password')
# 通過判斷,username資料不同,查詢欄位不一樣
# 正則匹配,如果是手機號
if re.match('^1[3-9][0-9]{9}$',username):
user=models.User.objects.filter(mobile=username).first()
elif re.match('^.+@.+$',username):# 郵箱
user=models.User.objects.filter(email=username).first()
else:
user=models.User.objects.filter(username=username).first()
if user: # 存在用戶
# 校驗密碼,因為是密文,要用check_password
if user.check_password(password):
# 簽發token
payload = jwt_payload_handler(user) # 把user傳入,得到payload
token = jwt_encode_handler(payload) # 把payload傳入,得到token
self.context['token']=token
self.context['username']=user.username
return attrs
else:
raise ValidationError('密碼錯誤')
else:
raise ValidationError('用戶不存在')
配置簽發過期時間
# jwt的配置
import datetime
JWT_AUTH={
'JWT_RESPONSE_PAYLOAD_HANDLER':'app02.utils.my_jwt_response_payload_handler',
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), # 過期時間,手動配置
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/522890.html
標籤:其他