什么是JWT?
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。
![图片[1]-Django中的JWT认证完全指南-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2023/12/20231215131607588-image.png)
JWT认证流程
- 用户向服务器提交用户信息
- 服务器验证用户的信息
- 服务器通过验证时,发送给用户一个Token
- 客户端存储Token,并在每次请求时附送上这个Token值
- 服务端验证Token值,并返回数据
JWT使用流程图
![图片[2]-Django中的JWT认证完全指南-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2023/12/20231215131531165-image-1024x516.png)
JWT的优缺点
优点:
- 通用:基于JSON的通用性,JWT可以进行跨语言支持,如JAVA、Python等语言都可以使用。
- 可存储部分非敏感数据:可以在JWT的payload部分存储一些其他业务逻辑所必要的非敏感信息。
- 便于传输:JWT的构成非常简单,字节占用很小,因此它是非常便于传输的。
- 易于拓展:不需要在服务端保存会话信息,因此易于应用的扩展。
缺点(注意事项):
- 不应存放敏感数据:客户端可以使用Base64URL算法解密payload部分,因而安全性无法保证。
- 保护好私钥:私钥(secret)用于服务端的认证,如透露将可能导致认证失效。
- 无法废止或修改Token:由于服务器不保存状态,因此无法在使用过程中废止某个token,或者更改token的权限。一旦JWT签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
JWT的三个部分:
- Header(头部)
- Payload(负载)
- Signature(签名)
前端如何使用JWT?
前端收到服务器返回的JWT,可以储存在Cookie或localStorage中。前端每次与服务器通信时,都要带上这个JWT:
- [不推荐] 放在Cookie里面自动发送,但是这样不能跨域。
- [其他方法] 放在Cookie内,在跨域的时候,JWT放在POST请求的数据体里面。
- [推荐] 放在HTTP请求的头信息Authorization字段里面:
Authorization: Bearer <token>
Django如何使用JWT?
Django可以基于DRF(Django REST framework),使用插件Simple JWT(djangorestframework-simplejwt)快速实现JWT认证。不推荐使用django-rest-framework-jwt,因为该项目已停止更新,不再支持最新版的Django。
<strong>安装djangorestframework-simplejwt</strong><br><br>pip install djangorestframework-simplejwtsetting.py配置
<code>#1.INSTALLED_APPS</code><code>在INSTALLED_APPS中添加djangorestframework_simplejwt应用程序:</code><code>INSTALLED_APPS = [</code><code> # ...</code><code> 'rest_framework_simplejwt',</code><code> # 下面这个app用于刷新refresh_token后,将旧的加到到blacklist时使用</code><code> 'rest_framework_simplejwt.token_blacklist'</code><code> # ...</code><code>]</code><code><br></code><code>#2.添加simplejwt到身份验证类列表中:</code><code>REST_FRAMEWORK = {</code><code> ...</code><code> 'DEFAULT_AUTHENTICATION_CLASSES': (</code><code> ...</code><code> 'rest_framework_simplejwt.authentication.JWTAuthentication',</code><code><br></code><code> )</code><code> ...</code><code>}</code><code><br></code><code>#3.JWT配置</code><code>SIMPLE_JWT = {</code><code> 'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5), # Access Token的有效期</code><code> 'REFRESH_TOKEN_LIFETIME': timedelta(days=7), # Refresh Token的有效期</code><code><br></code><code> # 对于大部分情况,设置以上两项就可以了,以下为默认配置项目,可根据需要进行调整</code><code><br></code><code> # 是否自动刷新Refresh Token</code><code> 'ROTATE_REFRESH_TOKENS': False, </code><code># 刷新Refresh Token时是否将旧Token加入黑名单,如果设置为False,则旧的刷新令牌仍然可以用于获取新的访问令牌。需要将'rest_framework_simplejwt.token_blacklist'加入到'INSTALLED_APPS'的配置中</code><code> 'BLACKLIST_AFTER_ROTATION': False, </code><code>'ALGORITHM': 'HS256', # 加密算法</code><code> 'SIGNING_KEY': settings.SECRET_KEY, # 签名密匙,这里使用Django的SECRET_KEY</code><code><br></code><code> # 如为True,则在每次使用访问令牌进行身份验证时,更新用户最后登录时间</code><code> "UPDATE_LAST_LOGIN": False, </code><code># 用于验证JWT签名的密钥返回的内容。可以是字符串形式的密钥,也可以是一个字典。</code><code> "VERIFYING_KEY": "",</code><code> "AUDIENCE": None,# JWT中的"Audience"声明,用于指定该JWT的预期接收者。</code><code> "ISSUER": None, # JWT中的"Issuer"声明,用于指定该JWT的发行者。</code><code> "JSON_ENCODER": None, # 用于序列化JWT负载的JSON编码器。默认为Django的JSON编码器。</code><code> "JWK_URL": None, # 包含公钥的URL,用于验证JWT签名。</code><code> "LEEWAY": 0, # 允许的时钟偏差量,以秒为单位。用于在验证JWT的过期时间和生效时间时考虑时钟偏差。</code><code><br></code><code> # 用于指定JWT在HTTP请求头中使用的身份验证方案。默认为"Bearer"</code><code> "AUTH_HEADER_TYPES": ("Bearer",), </code><code># 包含JWT的HTTP请求头的名称。默认为"HTTP_AUTHORIZATION"</code><code> "AUTH_HEADER_NAME": "HTTP_AUTHORIZATION", </code><code># 用户模型中用作用户ID的字段。默认为"id"。</code><code> "USER_ID_FIELD": "id",</code><code> # JWT负载中包含用户ID的声明。默认为"user_id"。</code><code> "USER_ID_CLAIM": "user_id",</code><code><br></code><code> # 用于指定用户身份验证规则的函数或方法。默认使用Django的默认身份验证方法进行身份验证。</code><code> "USER_AUTHENTICATION_RULE": "rest_framework_simplejwt.authentication.default_user_authentication_rule",</code><code><br></code><code> # 用于指定可以使用的令牌类。默认为"rest_framework_simplejwt.tokens.AccessToken"。</code><code> "AUTH_TOKEN_CLASSES": ("rest_framework_simplejwt.tokens.AccessToken",),</code><code> # JWT负载中包含令牌类型的声明。默认为"token_type"。</code><code> "TOKEN_TYPE_CLAIM": "token_type",</code><code> # 用于指定可以使用的用户模型类。默认为"rest_framework_simplejwt.models.TokenUser"。</code><code> "TOKEN_USER_CLASS": "rest_framework_simplejwt.models.TokenUser",</code><code><br></code><code> # JWT负载中包含JWT ID的声明。默认为"jti"。</code><code> "JTI_CLAIM": "jti",</code><code><br></code><code> # 在使用滑动令牌时,JWT负载中包含刷新令牌过期时间的声明。默认为"refresh_exp"。</code><code> "SLIDING_TOKEN_REFRESH_EXP_CLAIM": "refresh_exp",</code><code> # 滑动令牌的生命周期。默认为5分钟。</code><code> "SLIDING_TOKEN_LIFETIME": timedelta(minutes=5),</code><code> # 滑动令牌可以用于刷新的时间段。默认为1天。</code><code> "SLIDING_TOKEN_REFRESH_LIFETIME": timedelta(days=1),</code><code> # 用于生成访问令牌和刷新令牌的序列化器。</code><code> "TOKEN_OBTAIN_SERIALIZER": "rest_framework_simplejwt.serializers.TokenObtainPairSerializer",</code><code> # 用于刷新访问令牌的序列化器。默认</code><code> "TOKEN_REFRESH_SERIALIZER": "rest_framework_simplejwt.serializers.TokenRefreshSerializer",</code><code> # 用于验证令牌的序列化器。</code><code> "TOKEN_VERIFY_SERIALIZER": "rest_framework_simplejwt.serializers.TokenVerifySerializer",</code><code> # 用于列出或撤销已失效JWT的序列化器。</code><code> "TOKEN_BLACKLIST_SERIALIZER": "rest_framework_simplejwt.serializers.TokenBlacklistSerializer",</code><code> # 用于生成滑动令牌的序列化器。</code><code> "SLIDING_TOKEN_OBTAIN_SERIALIZER": "rest_framework_simplejwt.serializers.TokenObtainSlidingSerializer",</code><code> # 用于刷新滑动令牌的序列化器。</code><code> "SLIDING_TOKEN_REFRESH_SERIALIZER": "rest_framework_simplejwt.serializers.TokenRefreshSlidingSerializer",</code><code>}</code>添加urls
<code>from rest_framework_simplejwt.views import (</code><code> TokenObtainPairView,</code><code> TokenRefreshView,</code><code> TokenVerifyView</code><code>)</code><code><br></code><code>urlpatterns = [</code><code> ...</code><code> path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),#获取token</code><code> path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),#刷新token</code><code> path('api/token/verify/', TokenVerifyView.as_view(), name='token_verify'),#验证token</code><code>]</code>使用
以下为官网的示例,也可以使用postman来测试接口。要验证 Simple JWT 是否正常工作。通过curl发送请求:
<code>curl \</code><code> -X POST \</code><code> -H "Content-Type: application/json" \</code><code> -d '{"username": "davidattenborough", "password": "boatymcboatface"}' \</code><code> http://localhost:8000/api/token/</code><code>...</code><code>{ "access":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX3BrIjoxLCJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiY29sZF9zdHVmZiI6IuKYgyIsImV4cCI6MTIzNDU2LCJqdGkiOiJmZDJmOWQ1ZTFhN2M0MmU4OTQ5MzVlMzYyYmNhOGJjYSJ9.NHlztMGER7UADHZJlxNG0WSi22a2KaYSfd1S-AuT7lU", "refresh":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX3BrIjoxLCJ0b2tlbl90eXBlIjoicmVmcmVzaCIsImNvbGRfc3R1ZmYiOiLimIMiLCJleHAiOjIzNDU2NywianRpIjoiZGUxMmY0ZTY3MDY4NDI3ODg5ZjE1YWMyNzcwZGEwNTEifQ.aEoAYkSJjoWH1boshQAaTkf8G3yn0kapko6HFRt7Rh4"</code><code>}</code>可以使用返回的访问令牌来证明受保护视图的身份验证:
<code>curl \</code><code> -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX3BrIjoxLCJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiY29sZF9zdHVmZiI6IuKYgyIsImV4cCI6MTIzNDU2LCJqdGkiOiJmZDJmOWQ1ZTFhN2M0MmU4OTQ5MzVlMzYyYmNhOGJjYSJ9.NHlztMGER7UADHZJlxNG0WSi22a2KaYSfd1S-AuT7lU" \</code><code> http://localhost:8000/api/some-protected-view/</code>当此短期访问令牌过期时,可以使用长期存在的刷新令牌来获取另一个访问令牌:
<code>curl \</code><code> -X POST \</code><code> -H "Content-Type: application/json" \</code><code> -d '{"refresh":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX3BrIjoxLCJ0b2tlbl90eXBlIjoicmVmcmVzaCIsImNvbGRfc3R1ZmYiOiLimIMiLCJleHAiOjIzNDU2NywianRpIjoiZGUxMmY0ZTY3MDY4NDI3ODg5ZjE1YWMyNzcwZGEwNTEifQ.aEoAYkSJjoWH1boshQAaTkf8G3yn0kapko6HFRt7Rh4"}' \</code><code> http://localhost:8000/api/token/refresh/</code><code><br></code><code>...</code><code>{"access":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX3BrIjoxLCJ0b2tlbl90eXBlI</code>自定义token中返回的信息
- 默认的信息
默认的设置中,如果对payload(有效负载)进行解码,你就会发现,它保存了一个字典的数据,包括以下信息:
<code>{</code><code> "token_type": "access", # 令牌类型</code><code> "exp": 1685341009, # 令牌到期时间戳</code><code> "iat": 1685340709, # 令牌生成时间戳</code><code> "jti": "561*****************03c", # JWT ID的声明</code><code> "user_id": 1, # django中用户对应的id</code><code>}</code>如果需要为它添加更多的用户信息,比如用户名称,用户手机号,email等,只要是系统后台中已存储的,都可以放在payload进行返回,由前端进行解码后,就可以提取使用了。
- 自定义返回信息
自定义序列化器。该序列化器需继承TokenObtainPairSerializer类,可以在任意一个app中的seralizers.py中增加该自定义的序列化器,并重写了get_token()方法。在这个方法中,我们可以自定义Payload,将用户的信息添加到Token中。
假定为app01,则在app01/seralizers.py中增加以下代码:
<code>from rest_framework_simplejwt.serializers import TokenObtainPairSerializer</code><code>from rest_framework_simplejwt.views import TokenObtainPairView</code><code><br></code><code>class MyTokenObtainPairSerializer(TokenObtainPairSerializer):</code><code> @classmethod</code><code> def get_token(cls, user):</code><code> token = super().get_token(user)</code><code> # 增加想要加到token中的信息</code><code> token['username'] = user.username</code><code> token['email'] = user.email</code><code> # ...</code><code><br></code><code> return token</code>改写Simple JWT提供的默认视图,在app01/views中新增一个视图,该视图需继承至默认的视图类TokenObtainPairView:
<code>from .serializers import MyTokenObtainPairSerializer</code><code>from rest_framework_simplejwt.views import TokenObtainPairView</code><code>class MyObtainTokenPairView(TokenObtainPairView):</code><code> serializer_class = MyTokenObtainPairSerializer <em>#只需修改其序列化器为刚刚自定义的即可</em></code>然后再将url中的视图改为新增加这个视图类即可。
© 版权声明
THE END
暂无评论内容