5 分钟,快速入门 Python JWT 接口认证

1. 前言

大家好,我是安果!

为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据正常及未过期才会返回数据,否则直接报错

本篇文章以 Django 为例,聊聊后端 JWT 接口认证的操作流程

2. JWT 介绍

JWT 全称为 JSON Web Token,是目前主流的跨域认证解决方案

数据结构由 3 部分组成,中间由「 . 」分割开

它们分别是:

  • Header 头部

  • Payload 负载

  • Signature 签名

# JWT 数据的格式
# 组成方式:头部.负载.签名
Header.Payload.Signature

其中

Header 用于设置签名算法及令牌类型,默认签名算法为 「 HS256 」,令牌类型可以设置为「 JWT 」

Payload 用于设置需要传递的数据,包含:iss 签发人、exp 过期时间、iat 签发时间等

Signature 用于对 Header 和 Payload 进行签名,默认使用的签名算法为 Header 中指定的算法

# JWT 数据组成
# Header. Payload. Signature
# Header:{ "alg": "HS256","typ": "JWT"}
# Payload:iss、exp、iat等
# Signature:签名
Signature = HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

PS:base64UrlEncode 相比 Base64 算法,会将结果中的「 = 」省略、「 + 」替换成「 - 」、「 / 」替换成「 _ 」

3. 实战一下

首先,在虚拟环境中安装 JWT 依赖包

# 安装jwt依赖包
pip3 install pyjwt

然后,定义一个方法用于生成 JWT Token

需要注意的是,生成 JWT Token 时需要指定过期时间、加密方式等

import time
import jwt
from django.conf import settings

def generate_jwt_token(user):
    """
    生成一个JWT Token
    :param user:
    :return:
    """
    # 设置token的过期时间戳
    # 比如:设置7天过期
    timestamp = int(time.time()) + 60 * 60 * 24 * 7

# 加密生成Token
    # 加密方式:HS256
    return jwt.encode({"userid": user.pk, "exp": timestamp}, settings.SECRET_KEY,'HS256')

接着,编写一个认证类

该类继承于「 BaseAuthentication 」基类,重写内部函数「 authenticate() 」,对请求参数进行 JWT 解密,并进行数据库查询,只有认证通过才返回数据,否则抛出异常

import time

import jwt
from django.conf import settings
from django.contrib.auth import get_user_model
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication, get_authorization_header

User = get_user_model()

class JWTAuthentication(BaseAuthentication):
    """自定义认证类"""

keyword = 'jwt'
    model = None

def get_model(self):
        if self.model is not None:
            return self.model
        from rest_framework.authtoken.models import Token
        return Token

"""
    A custom token model may be used, but must have the following properties.

* key -- The string identifying the token
    * user -- The user to which the token belongs
    """

def authenticate(self, request):
        auth = get_authorization_header(request).split()

if not auth or auth[0].lower() != self.keyword.lower().encode():
            return None

if len(auth) !=2:
            raise exceptions.AuthenticationFailed("认证异常!")

# jwt解码
        try:
            jwt_token = auth[1]
            jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256')

# 获取userid
            userid = jwt_info.get("userid")

# 查询用户是否存在
            try:
                user = User.objects.get(pk=userid)
                return user, jwt_token
            except Exception:
                raise exceptions.AuthenticationFailed("用户不存在")
        except jwt.ExpiredSignatureError:
            raise exceptions.AuthenticationFailed("抱歉,该token已过期!")

最后,在视图集 ViewSet 中,只需要在属性「 authentication_classes 」中指定认证列表即可

from rest_framework import viewsets
from .models import *
from .serializers import *
from .authentications import *

class GoodsViewSet(viewsets.ModelViewSet):
    # 所有商品数据
    queryset = Goods.objects.all()

# 序列化
    serializer_class = GoodsSerializer

# JWT授权
    authentication_classes = [JWTAuthentication]

4. 最后

在实际项目中,一般在登录的时候生成 JWT Token,后续接口中只需要在请求头中设置 JWT Token 即可正常返回数据

import requests

url = "***.***.****"

payload={}
headers = {
  'AUTHORIZATION': 'jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM'
}

response = requests.request("GET", url, headers=headers, data=payload)
print(response.text)

(0)

相关推荐

  • 第 82 天:Python Web 开发之 JWT 简介

    在之前的课程中,介绍过 Flask-Login 框架,它是基于 Session 和 Cookie 技术来实现用户授权和验证的,不过 Session 有很多的局限性,这一节介绍一种基于 token 的验 ...

  • DRF认证流程及源码分析

    认证 前言 用户验证用户是否合法登陆. 部分内容在DRF视图的使用及源码流程分析讲解,建议先看讲解视图的这篇文章. 使用流程 认证使用的方法流程如下: 自定义认证类,继承BaseAuthenticat ...

  • JWT(Json Wen Token)原理剖析

    JWT(即json web token),大家先看下面这张图 大家可以观察到,jwt String就是生成后的jwt字符集,其中有两个 "."(注意:jwt校验会对".& ...

  • drf——基于jwt的多方式登录以及自定义多方式登录

    一.基于jwt的多方式登陆 1 手机号+密码 用户名+密码 邮箱+密码 2 流程分析(post请求): -路由:自动生成(推荐自动生成,自己手写也行) -视图类:ViewSet(ViewSetMixi ...

  • JWT-配置与使用

    JWT-配置与使用

  • drf—— JWT认证及基本使用

    一.JWT认证介绍 1 不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制,用户登录认证 2 用户只要登录了,返回用户一个token串(随机字符串),每次 ...

  • 肺功能报告怎么看?6 分钟快速入门!

    这次为大家带来的是「肺功能快速入门」视频版.帮助大家快速入门肺功能的报告解读! 首发:呼吸时间 作者:小程 排版:飞腾

  • 如何15分钟快速入门LaTeX公式?

    各位翘首以盼.朝思暮想的思维导图 LaTeX 公式功能,ProcessOn官网已正式上线啦~ LaTeX 是一种基于 ΤΕΧ 的排版系统,其中非常突出的是方便而强大的数学公式排版能力.日常大家在整理诸 ...

  • 如何快速入门Python编程?这19个语法是第一站!

    Python编程学习圈 5天前 很多人听说Python编程简单易学,前景好薪酬高,所以就想快点入门Python编程,有方法吗?有套路吗?当然有,不过要快速入门Python编程,我觉得这19个语法是第一 ...

  • 快速入门脑机接口:BCI基础(一)

    更多技术干货第一时间送达 在本模块中,将介绍脑机接口的基础知识. 定义:脑机接口是什么? 脑机接口(BCI)是允许大脑与各种机器之间进行通信的系统. 它们的工作分为三个主要步骤:收集大脑信号,对其进行 ...

  • 快速入门脑机接口:BCI基础(二)

    更多技术干货第一时间送达 关于脑机接口的分类可以查看<快速入门脑机接口:BCI基础(一)> 组成成分 脑活动 神经系统由两个主要部分组成:中枢神经系统和周围神经系统.大脑是中枢神经系统的主 ...

  • 产品新人到产品牛人,八分钟快速入门指南

    / 产品干货 / 产品经理工作必备:七大常用文档写法 110份产品需求文档(PRD)模板 150份超好用的简洁风PPT及简历模板 38个经典产品经理面试题回答思路 校招产品经理:52道经典面试问题解答 ...

  • python如何赚钱? python爬虫如何进阶? python就业? 如何快速入门python? .....

    最近微信后台有不少问题,前几天我也在微信群中给大家说在学习 Python 过程中遇到什么问题可以私信我,我会找个时间给大家做一个统一的回复.当然了,别给我甩一堆报错什么的,我哪有那个时间给你 debu ...

  • Snapseed快速入门:花15分钟抓住要点,为你开启手机修图高手之门

    Snapseed快速入门:花15分钟抓住要点,为你开启手机修图高手之门

  • 冥想5分钟等于熟睡一小时,快速入门方法

    冥想5分钟等于熟睡一小时,快速入门方法 冥想方法: 1. 背挺直 2. 吸气,数1,2,3,4,5,停顿一下,呼气,同样数数,完全沉浸在呼吸中 . A. 静观以往的感情经历,作为一个公正无私的旁观者, ...