JWT验证

JWT(Json Web Token):是目前最流行的跨域身份验证解决方案。此前我们使用的身份验证方式都是基于Session:这种方式并没有什么不妥，但其实这里有三个缺点：Session一般存储在redis中，而redis数据保存在内存中，随着用户的增多，内存消耗太大。扩展性不好，用户每次验证都需要请求session服务器，增大了负载均衡能力，应用扩展受限。因为是基于cookie来进行用户识别的, cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击。所以，我们需要一种既能实现相同要求并且还要比session存储更有效的身份验证方式。JWT通过一种加密的方式，将加密后的数据保存返回给用户本地进行保存，我们称为token数据。其数据由三部分组成：1、header声明类型和加密的算法：{ ’typ’: ‘JWT’, #固定值 ‘alg’: ‘HS256’ #加密算法}2、payload负载这是有效信息的存放地方，其分为三部分：标准中注册的声明、公共声明、私有声明(用户信息)标准中的注册声明(有需要在使用，不强制使用)：iss: jwt签发者sub: jwt所面向的用户aud: 接收jwt的一方exp: jwt的过期时间，这个过期时间必须要大于签发时间nbf: 定义在什么时间之前，该jwt都是不可用的.iat: jwt的签发时间jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。公共声明：公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.私有声明：{ “name”: “jim”, “id”: “111111”, “admin”: true}3、signature签名需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。由于base64是对称加密算法，所以可以轻松解密：因此我们在负载部分不要将私密信息放置在里面，只需要把能验证唯一的标识信息添加就可以了。有关base64,请参考：https://www.liaoxuefeng.com/w…由于目前在学习DRF，所以我介绍一下怎样在DRF项目中使用JWT进行身份验证：安装djangorestframework-jwt：pip install djangorestframework-jwt添加jwt认证类：REST_FRAMEWORK = { ‘DEFAULT_PERMISSION_CLASSES’: ( ‘rest_framework.permissions.IsAuthenticated’, ), ‘DEFAULT_AUTHENTICATION_CLASSES’: ( ‘rest_framework_jwt.authentication.JSONWebTokenAuthentication’, ‘rest_framework.authentication.SessionAuthentication’, ‘rest_framework.authentication.BasicAuthentication’, ),}添加jwt路由用于生成token：from rest_framework_jwt.views import obtain_jwt_tokenurlpatterns = [ url(r’^自己的路由/’, obtain_jwt_token),]然后我们就可以通过自己添加的路由并通过post添加username和password来获取到token了，在进行访问页面的时候我们只需要在请求头中添加一个：Authorization: JWT <your_token>，就可以得到验证了。本文参考：https://lion1ou.win/2017/01/18/