乐趣区

关于python:5-分钟快速入门-Python-JWT-接口认证

1. 前言

为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据失常及未过期才会返回数据,否则间接报错

本篇文章以 Django 为例,聊聊后端 JWT 接口认证的操作流程

2. JWT 介绍
JWT 全称为 JSON Web Token,是目前支流的跨域认证解决方案

数据结构由 3 局部组成,两头由「.」宰割开

它们别离是:

  • Header 头部
  • Payload 负载
  • Signature 签名
# JWT 数据的格局
# 组成形式:头部. 负载. 签名
Header.Payload.Signature

其中

Header 用于设置签名算法及令牌类型,默认签名算法为「HS256」,令牌类型能够设置为「JWT」

Payload 用于设置须要传递的数据,蕴含:iss 签发人、exp 过期工夫、iat 签发工夫等

Signature 用于对 Header 和 Payload 进行签名,默认应用的签名算法为 Header 中指定的算法

# JWT 数据组成
# Header. Payload. Signature
# Header:{"alg": "HS256","typ": "JWT"}
# Payload:iss、exp、iat 等
# Signature:签名
Signature = HMACSHA256(base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

PS:base64UrlEncode 相比 Base64 算法,会将后果中的「=」省略、「+」替换成「–」、「/」替换成「_」

3. 实战一下
首先,在虚拟环境中装置 JWT 依赖包

# 装置 jwt 依赖包
pip3 install pyjwt

而后,定义一个办法用于生成 JWT Token

须要留神的是,生成 JWT Token 时须要指定过期工夫、加密形式等

import time
import jwt
from django.conf import settings

def generate_jwt_token(user):
    """
    生成一个 JWT Token
    :param user:
    :return:
    """
    # 设置 token 的过期工夫戳
    # 比方:设置 7 天过期
    timestamp = int(time.time()) + 60 * 60 * 24 * 7

    # 加密生成 Token
    # 加密形式:HS256
    return jwt.encode({"userid": user.pk, "exp": timestamp}, settings.SECRET_KEY,'HS256')

接着,编写一个认证类

该类继承于「BaseAuthentication」基类,重写外部函数「authenticate()」,对申请参数进行 JWT 解密,并进行数据库查问,只有认证通过才返回数据,否则抛出异样

import time

import jwt
from django.conf import settings
from django.contrib.auth import get_user_model
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication, get_authorization_header

User = get_user_model()

class JWTAuthentication(BaseAuthentication):
    """自定义认证类"""

    keyword = 'jwt'
    model = None

    def get_model(self):
        if self.model is not None:
            return self.model
        from rest_framework.authtoken.models import Token
        return Token

    """
    A custom token model may be used, but must have the following properties.

    * key -- The string identifying the token
    * user -- The user to which the token belongs
    """

    def authenticate(self, request):
        auth = get_authorization_header(request).split()

        if not auth or auth[0].lower() != self.keyword.lower().encode():
            return None

        if len(auth) !=2:
            raise exceptions.AuthenticationFailed("认证异样!")

        # jwt 解码
        try:
            jwt_token = auth[1]
            jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256')

            # 获取 userid
            userid = jwt_info.get("userid")

            # 查问用户是否存在
            try:
                user = User.objects.get(pk=userid)
                return user, jwt_token
            except Exception:
                raise exceptions.AuthenticationFailed("用户不存在")
        except jwt.ExpiredSignatureError:
            raise exceptions.AuthenticationFailed("道歉,该 token 已过期!")

最初,在视图集 ViewSet 中,只须要在属性「authentication_classes」中指定认证列表即可

from rest_framework import viewsets
from .models import *
from .serializers import *
from .authentications import *

class GoodsViewSet(viewsets.ModelViewSet):
    # 所有商品数据
    queryset = Goods.objects.all()

    # 序列化
    serializer_class = GoodsSerializer

    # JWT 受权
    authentication_classes = [JWTAuthentication]

4. 最初
在理论我的项目中,个别在登录的时候生成 JWT Token,后续接口中只须要在申请头中设置 JWT Token 即可失常返回数据

import requests

url = "***.***.****"

payload={}
headers = {'AUTHORIZATION': 'jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM'}

response = requests.request("GET", url, headers=headers, data=payload)
print(response.text)

最近整顿了几百 G 的 Python 学习材料,蕴含新手入门电子书、教程、源码等等,收费分享给大家!想要的返回“Python 编程学习圈”,发送“J”即可收费取得

退出移动版