jwt認證規則

目錄

• 認證規則圖
  • django不分離
  • drf分類
• 認證規則演變圖
  • 數據庫session認證：低效
  • 緩存認證：高效
  • jwt認證：高效
  • 緩存認證：不易並發
  • jwt認證：易並發
• JWT認證規則
  • 優點
  • 格式
• drf-jwt插件
  • 官網
  • 安裝
  • 登錄 - 簽發token：api/urls.py
  • 認證 - 校驗token：全局或局部配置drf-jwt的認證類 JSONWebTokenAuthentication
    • 路由與接口測試
    • 測試

認證規則圖

django不分離

drf分類

認證規則演變圖

數據庫session認證：低效

緩存認證：高效

jwt認證：高效

緩存認證：不易並發

jwt認證：易並發

JWT認證規則

優點

"""
1) 服務器不要存儲token，token交給每一個客戶端自己存儲，服務器壓力小
2）服務器存儲的是 簽發和校驗token 兩段算法，簽發認證的效率高
3）算法完成各集群服務器同步成本低，路由項目完成集群部署（適應高並發）
"""

格式

"""
1) jwt token采用三段式：頭部.載荷.簽名
2）每一部分都是一個json字典加密形參的字符串
3）頭部和載荷采用的是base64可逆加密（前台后台都可以解密）
4）簽名采用hash256不可逆加密（后台校驗采用碰撞校驗）
5）各部分字典的內容：
    頭部：基礎信息 - 公司信息、項目組信息、可逆加密采用的算法
    載荷：有用但非私密的信息 - 用戶可公開信息、過期時間
    簽名：頭部+載荷+秘鑰 不可逆加密后的結果
    注：服務器jwt簽名加密秘鑰一定不能泄露
    
簽發token：固定的頭部信息加密.當前的登陸用戶與過期時間加密.頭部+載荷+秘鑰生成不可逆加密
校驗token：頭部可校驗也可以不校驗，載荷校驗出用戶與過期時間，頭部+載荷+秘鑰完成碰撞檢測校驗token是否被篡改
"""

drf-jwt插件

官網

https://github.com/jpadilla/django-rest-framework-jwt

安裝

>: pip install djangorestframework-jwt
    
    
解釋：    
from djangorestframework-jwt
點擊djangorestframework-jwt 定位rest_framework_jwt文件夾中
查找有models.py，但是里面什么都沒寫，所以說它沒有數據庫，所以不需要注冊
我們只需要導入文件直接使用

而rest_framework這個模塊就需要注冊，因為數據庫有數據

rest_framework_jwt包中，我們要使用的就是authentication.py和views.py
views.py中的類就是在我們自定義類時要繼承的類

# ObtainJSONWebToken視圖類就是通過username和password得到user對象然后簽發token
#通過賬號密碼簽發token,依賴auth組件的RBAC用戶權限六表
class ObtainJSONWebToken(JSONWebTokenAPIView):
    """
    API View that receives a POST with a user's username and password.

    Returns a JSON Web Token that can be used for authenticated requests.
    """
    serializer_class = JSONWebTokenSerializer
    
 #校驗token，如果通過原樣返回（沒啥用）
class VerifyJSONWebToken(JSONWebTokenAPIView):
    """
    API View that checks the veracity of a token, returning the token if it
    is valid.
    """
    serializer_class = VerifyJSONWebTokenSerializer

 
#根據一個合法的token,返回刷新后的token
class RefreshJSONWebToken(JSONWebTokenAPIView):
    """
    API View that returns a refreshed token (with new expiration) based on
    existing token

    If 'orig_iat' field (original issued-at-time) is found, will first check
    if it's within expiration window, then copy it to the new token
    """
    serializer_class = RefreshJSONWebTokenSerializer
    
    
三個函數：
obtain_jwt_token = ObtainJSONWebToken.as_view()
refresh_jwt_token = RefreshJSONWebToken.as_view()
verify_jwt_token = VerifyJSONWebToken.as_view()

登錄 - 簽發token：api/urls.py

from rest_framework_jwt.views import ObtainJSONWebToken, obtain_jwt_token
urlpatterns = [
    # url(r'^jogin/$', ObtainJSONWebToken.as_view()),
    url(r'^jogin/$', obtain_jwt_token),
]

#只要配置了路由就可以做測試了

發送get請求，url(r'^jogin/$', obtain_jwt_token) 也就是ObtainJSONWebToken.as_view()響應
點擊ObtainJSONWebToken，發現里面沒寫東西，走父類JSONWebTokenAPIView，沒有get方法
只有post方法

post方法中的serializer反序列化中校驗的

如果密碼正確，返回token

看點切分，有三段，反復請求第一段不會變，第二段會變幾個字母也就是只是過期時間往后移的時間變化，第三段瘋狂變化
換了登錄用戶第二段就變化大了
在數據庫api_user表中添加數據

首段就算是不同的用戶都不會改變

源碼：
class JSONWebTokenAPIView(APIView):
    """
    Base API View that various JWT interactions inherit from.
    """
    #將認證和權限禁用
    #登錄一定不能有認證和權限
    permission_classes = ()
    authentication_classes = ()

認證 - 校驗token：全局或局部配置drf-jwt的認證類 JSONWebTokenAuthentication

from rest_framework.views import APIView
from utils.response import APIResponse
# 必須登錄后才能訪問 - 通過了認證權限組件
from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
class UserDetail(APIView):
    authentication_classes = [JSONWebTokenAuthentication]  # jwt-token校驗request.user
    permission_classes = [IsAuthenticated]  # 結合權限組件篩選掉游客
    def get(self, request, *args, **kwargs):
        return APIResponse(results={'username': request.user.username})

路由與接口測試

# 路由
url(r'^user/detail/$', views.UserDetail.as_view()),

# 接口：/api/user/detail/
# 認證信息：必須在請求頭的 Authorization 中攜帶 "jwt 后台簽發的token" 格式的認證字符串

測試

jwt和頻率認證的代碼詳見

https://www.cnblogs.com/yanjiayi098-001/p/11930447.html