一简介
JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。该信息可以被验证和信任,因为它是数字签名的。JWTS可以使用秘密(使用HMAC算法)或公钥/私钥对使用RSA或ECDSA来签名。
JWT的组成部分:
header
Header是由下面这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到这个原来的Json,所以JWT中存放的一般是不敏感的信息)生成的字符串,Header中存放的内容是说明编码对象是一个JWT以及使用“SHA-256”的算法进行加密(加密用于生成Signature)
playload
Payload是通过Claim进行Base64转码之后生成的一串字符串,Claim是一个Json,Claim中存放的内容是JWT自身的标准属性,所有的标准属性都是可选的,可以自行添加,比如:JWT的签发者、JWT的接收者、JWT的持续时间等;同时Claim中也可以存放一些自定义的属性,这个自定义的属性就是在用户认证中用于标明用户身份的一个属性,比如用户存放在数据库中的id,为了安全起见,一般不会将用户名及密码这类敏感的信息存放在Claim中。将Claim通过Base64转码之后生成的一串字符串称作Payload。
signatrue
Signature是由Header和Payload组合而成,将Header和Claim这两个Json分别使用Base64方式进行编码,生成字符串Header和Payload,然后将Header和Payload以Header.Payload的格式组合在一起形成一个字符串,然后使用上面定义好的加密算法和一个密匙(这个密匙存放在服务器上,用于进行验证)对这个字符串进行加密,形成一个新的字符串,这个字符串就是Signature。
签名的目的:最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
rest_framework_jwt
rest_framework_jwt是一个封装了jwt符合restful规范的接口
网站地址:http://getblimp.github.io/django-rest-framework-jwt/
安装:pip install djangorestframework-jwt
二、配合drf的认证组件的使用方法
配置文件
#添加rest-framework INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', 'app01.apps.App01Config', "rest_framework", ] REST_FRAMEWORK = { # 配置默认的认证方式 base:账号密码验证 #session:session_id认证 'DEFAULT_AUTHENTICATION_CLASSES': ( # drf的这一阶段主要是做验证,middleware的auth主要是设置session和user到request对象 # 默认的验证是按照验证列表从上到下的验证 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuthentication', "rest_framework_jwt.authentication.JSONWebTokenAuthentication", )} import datetime # 超时时间 JWT_AUTH = { 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), # token前缀 'JWT_AUTH_HEADER_PREFIX': 'JWT', } # 引用Django自带的User表,继承使用时需要设置 AUTH_USER_MODEL = "app01.User"
模型表
#使用django自带的auth组件模型表 from django.db import models from django.contrib.auth.models import AbstractUser # Create your models here. class User(AbstractUser): phone=models.CharField(max_length=11,null=True)
url路由层
from django.conf.urls import url from django.contrib import admin from rest_framework_jwt.views import obtain_jwt_token from app01 import views urlpatterns = [ url(r'^admin/', admin.site.urls), # url(r'^home/', views.Home.as_view()), # 登入验证,使用JWT的模块,只要用户密码正确会自动生成一个token返回 url(r'^login/', obtain_jwt_token), # 访问需要认证的接口 url(r'^index/', views.Index.as_view()), ]
view视图层
from django.shortcuts import render from django.http import JsonResponse # Create your views here. from rest_framework.views import APIView from app01.jwtMiddleware import TokenAuth class Index(APIView): #局部认证的配置 authentication_classes = [TokenAuth,] def get(self,request): return JsonResponse({"index":"ok"}) class Home(APIView): def get(self,request): return render(request,"login.html")
rest-framework认证类
from rest_framework.exceptions import AuthenticationFailed from rest_framework_jwt.serializers import VerifyJSONWebTokenSerializer class TokenAuth(): def authenticate(self, request): token={"token":None} # print(request.META.get("HTTP_TOKEN")) token["token"] = request.META.get('HTTP_TOKEN') valid_data = VerifyJSONWebTokenSerializer().validate(token) print(valid_data) user = valid_data['user'] print(user) if user: return else: raise AuthenticationFailed('认证失败')
模板
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/login/" method="post"> <input type="text" name="username"> <input type="text" name="password"> <input type="submit" value="登录"> </form> </body> </html>
postman
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!
昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。
这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。
而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?
更新动态
- 凤飞飞《我们的主题曲》飞跃制作[正版原抓WAV+CUE]
- 刘嘉亮《亮情歌2》[WAV+CUE][1G]
- 红馆40·谭咏麟《歌者恋歌浓情30年演唱会》3CD[低速原抓WAV+CUE][1.8G]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[320K/MP3][193.25MB]
- 【轻音乐】曼托凡尼乐团《精选辑》2CD.1998[FLAC+CUE整轨]
- 邝美云《心中有爱》1989年香港DMIJP版1MTO东芝首版[WAV+CUE]
- 群星《情叹-发烧女声DSD》天籁女声发烧碟[WAV+CUE]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[FLAC/分轨][748.03MB]
- 理想混蛋《Origin Sessions》[320K/MP3][37.47MB]
- 公馆青少年《我其实一点都不酷》[320K/MP3][78.78MB]
- 群星《情叹-发烧男声DSD》最值得珍藏的完美男声[WAV+CUE]
- 群星《国韵飘香·贵妃醉酒HQCD黑胶王》2CD[WAV]
- 卫兰《DAUGHTER》【低速原抓WAV+CUE】
- 公馆青少年《我其实一点都不酷》[FLAC/分轨][398.22MB]
- ZWEI《迟暮的花 (Explicit)》[320K/MP3][57.16MB]