1. 前言
为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据正常及未过期才会返回数据,否则直接报错
本篇文章以 Django 为例,聊聊后端 JWT 接口认证的操作流程
2. JWT 介绍
JWT 全称为 JSON Web Token,是目前主流的跨域认证解决方案
数据结构由 3 部分组成,中间由「 . 」分割开
它们分别是:
- Header 头部
- Payload 负载
- Signature 签名
# JWT 数据的格式
# 组成方式:头部.负载.签名
Header.Payload.Signature其中
Header 用于设置签名算法及令牌类型,默认签名算法为 「 HS256 」,令牌类型可以设置为「 JWT 」
【5 分钟,快速入门 Python JWT 接口认证】Payload 用于设置需要传递的数据,包含:iss 签发人、exp 过期时间、iat 签发时间等
Signature 用于对 Header 和 Payload 进行签名,默认使用的签名算法为 Header 中指定的算法
# JWT 数据组成
# Header. Payload. Signature
# Header:{ "alg": "HS256","typ": "JWT"}
# Payload:iss、exp、iat等
# Signature:签名
Signature = HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)PS:base64UrlEncode 相比 Base64 算法,会将结果中的「 = 」省略、「 + 」替换成「 - 」、「 / 」替换成「 _ 」
3. 实战一下
首先,在虚拟环境中安装 JWT 依赖包
# 安装jwt依赖包
pip3 install pyjwt然后,定义一个方法用于生成 JWT Token
需要注意的是,生成 JWT Token 时需要指定过期时间、加密方式等
import time
import jwt
from django.conf import settingsdef generate_jwt_token(user):
"""
生成一个JWT Token
:param user:
:return:
"""
# 设置token的过期时间戳
# 比如:设置7天过期
timestamp = int(time.time()) + 60 * 60 * 24 * 7# 加密生成Token
# 加密方式:HS256
return jwt.encode({"userid": user.pk, "exp": timestamp}, settings.SECRET_KEY,'HS256')接着,编写一个认证类
该类继承于「 BaseAuthentication 」基类,重写内部函数「 authenticate() 」,对请求参数进行 JWT 解密,并进行数据库查询,只有认证通过才返回数据,否则抛出异常
import timeimport jwt
from django.conf import settings
from django.contrib.auth import get_user_model
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication, get_authorization_headerUser = get_user_model()class JWTAuthentication(BaseAuthentication):
"""自定义认证类"""keyword = 'jwt'
model = Nonedef get_model(self):
if self.model is not None:
return self.model
from rest_framework.authtoken.models import Token
return Token"""
A custom token model may be used, but must have the following properties.* key -- The string identifying the token
* user -- The user to which the token belongs
"""def authenticate(self, request):
auth = get_authorization_header(request).split()if not auth or auth[0].lower() != self.keyword.lower().encode():
return Noneif len(auth) !=2:
raise exceptions.AuthenticationFailed("认证异常!")# jwt解码
try:
jwt_token = auth[1]
jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256')# 获取userid
userid = jwt_info.get("userid")# 查询用户是否存在
try:
user = User.objects.get(pk=userid)
return user, jwt_token
except Exception:
raise exceptions.AuthenticationFailed("用户不存在")
except jwt.ExpiredSignatureError:
raise exceptions.AuthenticationFailed("抱歉,该token已过期!")最后,在视图集 ViewSet 中,只需要在属性「 authentication_classes 」中指定认证列表即可
from rest_framework import viewsets
from .models import *
from .serializers import *
from .authentications import *class GoodsViewSet(viewsets.ModelViewSet):
# 所有商品数据
queryset = Goods.objects.all()# 序列化
serializer_class = GoodsSerializer# JWT授权
authentication_classes = [JWTAuthentication]4. 最后
在实际项目中,一般在登录的时候生成 JWT Token,后续接口中只需要在请求头中设置 JWT Token 即可正常返回数据
import requestsurl = "***.***.****"payload={}
headers = {
'AUTHORIZATION': 'jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM'
}response = requests.request("GET", url, headers=headers, data=https://www.it610.com/article/payload)
print(response.text)最近整理了几百 G 的 Python 学习资料,包含新手入门电子书、教程、源码等等,免费分享给大家!想要的前往 “Python 编程学习圈”,发送 “J” 即可免费获得
文章图片
推荐阅读
- yolo系列|yolov5-5.0加入CBAM,SE,CA,ECA注意力机制
- 单元测试|单元测试基本写法
- python|【python】Kafka介绍及confluent-kafka的使用
- Python|Python使用turtle库+jieba库完成简易中文词频统计,附代码
- shell curl 与 python requests的一次对比
- gem5|WSL 安装 gem5
- jupyter|Jupyter Notebook the sql module is not an ipython extension
- 测试|自动化测试selenium基础篇——webdriverAPI
- 聊聊 Jmeter 如何并发执行 Python 脚本