0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

后端JWT接口认证的操作流程

科技绿洲 来源:Python实用宝典 作者:Python实用宝典 2023-10-31 11:20 次阅读

为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据正常及未过期才会返回数据,否则直接报错

本篇文章以 Django 为例,聊聊后端 JWT 接口认证的操作流程

2. JWT 介绍

JWT 全称为 JSON Web Token,是目前主流的跨域认证解决方案

数据结构由 3 部分组成,中间由「 **. ** 」分割开

它们分别是:

  • Header 头部
  • Payload 负载
  • Signature 签名
# JWT 数据的格式
# 组成方式:头部.负载.签名
Header.Payload.Signature

其中

Header 用于设置签名算法及令牌类型,默认签名算法为 「 HS256 」,令牌类型可以设置为「 JWT 」

Payload 用于设置需要传递的数据,包含:iss 签发人、exp 过期时间、iat 签发时间等

Signature 用于对 Header 和 Payload 进行签名,默认使用的签名算法为 Header 中指定的算法

# JWT 数据组成
# Header. Payload. Signature
# Header:{ "alg": "HS256","typ": "JWT"}
# Payload:iss、exp、iat等
# Signature:签名
Signature = HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

PS:base64UrlEncode 相比 Base64 算法,会将结果中的「 = 」省略、「 + 」替换成「 - 」、「 / 」替换成「 _ 」

3. 实战一下

首先,在虚拟环境中安装 JWT 依赖包

# 安装jwt依赖包
pip3 install pyjwt

然后,定义一个方法用于生成 JWT Token

需要注意的是,生成 JWT Token 时需要指定过期时间、加密方式等

import time
import jwt
from django.conf import settings

def generate_jwt_token(user):
    """
    生成一个JWT Token
    :param user:
    :return:
    """
    # 设置token的过期时间戳
    # 比如:设置7天过期
    timestamp = int(time.time()) + 60 * 60 * 24 * 7

    # 加密生成Token
    # 加密方式:HS256
    return jwt.encode({"userid": user.pk, "exp": timestamp}, settings.SECRET_KEY,'HS256')

接着,编写一个认证类

该类继承于「 BaseAuthentication 」基类,重写内部函数「 authenticate() 」,对请求参数进行 JWT 解密,并进行数据库查询,只有认证通过才返回数据,否则抛出异常

import time

import jwt
from django.conf import settings
from django.contrib.auth import get_user_model
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication, get_authorization_header

User = get_user_model()

class JWTAuthentication(BaseAuthentication):
    """自定义认证类"""

    keyword = 'jwt'
    model = None

    def get_model(self):
        if self.model is not None:
            return self.model
        from rest_framework.authtoken.models import Token
        return Token

    """
    A custom token model may be used, but must have the following properties.

    * key -- The string identifying the token
    * user -- The user to which the token belongs
    """

    def authenticate(self, request):
        auth = get_authorization_header(request).split()

        if not auth or auth[0].lower() != self.keyword.lower().encode():
            return None

        if len(auth) !=2:
            raise exceptions.AuthenticationFailed("认证异常!")

        # jwt解码
        try:
            jwt_token = auth[1]
            jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256')

            # 获取userid
            userid = jwt_info.get("userid")

            # 查询用户是否存在
            try:
                user = User.objects.get(pk=userid)
                return user, jwt_token
            except Exception:
                raise exceptions.AuthenticationFailed("用户不存在")
        except jwt.ExpiredSignatureError:
            raise exceptions.AuthenticationFailed("抱歉,该token已过期!")

最后,在视图集 ViewSet 中,只需要在属性「 authentication_classes 」中指定认证列表即可

from rest_framework import viewsets
from .models import *
from .serializers import *
from .authentications import *

class GoodsViewSet(viewsets.ModelViewSet):
    # 所有商品数据
    queryset = Goods.objects.all()

    # 序列化
    serializer_class = GoodsSerializer

    # JWT授权
    authentication_classes = [JWTAuthentication]

4. 最后

在实际项目中,一般在登录的时候生成 JWT Token,后续接口中只需要在请求头中设置 JWT Token 即可正常返回数据

import requests

url = "***.***.****"

payload={}
headers = {
  'AUTHORIZATION': 'jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM'
}

response = requests.request("GET", url, headers=headers, data=payload)
print(response.text)
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 接口
    +关注

    关注

    33

    文章

    8595

    浏览量

    151142
  • 数据
    +关注

    关注

    8

    文章

    7026

    浏览量

    89019
  • API
    API
    +关注

    关注

    2

    文章

    1500

    浏览量

    62005
  • 虚拟环境
    +关注

    关注

    0

    文章

    27

    浏览量

    8934
收藏 人收藏

    评论

    相关推荐

    Protal wifidog的认证流程

    服务器的portal接口,附带参数gw_id viii. 认证服务器的的portal接口根据业务流成显示广告业或者做其他的跳转 ix. 整个认证流程
    发表于 07-24 08:10

    沙特SABER认证操作流程

    沙特沙特SABER认证分PC(产品证书认证)和SC(验货证书)两部分,其中PC证书一年有效,一年内部需要重复去做,SC证书针对当票货物,每次出货都需要重新申请,以下是操作流程,希望对大
    发表于 12-18 15:30

    IPD流程操作细则

    IPD流程操作细则:IPD流程操作细则IPD流程操作指引--立项阶段工作
    发表于 05-07 23:00 102次下载

    数字后端设计流程

    数字后端流程 1. 数据准备。对于 CDN 的 Silicon Ensemble而言后端设计所需的数据主要有是Foundry厂提供的标准单元、宏单元和I/O Pad的库文件,它包括物理库、时序库及网表库,分别以.lef、
    发表于 10-28 10:31 40次下载

    IC设计前后端流程与EDA工具介绍

    本文首先介绍了ic设计的方法,其次介绍了IC设计前段设计的主要流程及工具,最后介绍了IC设计后端设计的主要流程及工具。
    发表于 04-19 18:04 1.2w次阅读

    如何才能保证JWT安全

    jwt是什么? JWTs是JSON对象的编码表示。JSON对象由零或多个名称/值对组成,其中名称为字符串,值为任意JSON值。JWT有助于在clear(例如在URL中)发送这样的信息,可以被信任
    的头像 发表于 09-29 15:09 3317次阅读

    MicroProfile JWT Auth MicroProfile的JWT RBAC规范

    microprofile-jwt-auth.zip
    发表于 05-07 10:04 0次下载
    MicroProfile <b class='flag-5'>JWT</b> Auth MicroProfile的<b class='flag-5'>JWT</b> RBAC规范

    jwt-auth基于ThinkPHP的jwt框架

    ./oschina_soft/gitee-jwt-auth.zip
    发表于 06-30 09:10 1次下载
    <b class='flag-5'>jwt</b>-auth基于ThinkPHP的<b class='flag-5'>jwt</b>框架

    SpringBoot 后端接口规范(上)

    一个后端接口大致分为四个部分组成: 接口地址(url)、接口请求方式(get、post等)、请求数据(request)、响应数据(response) 。虽然说后端接口的编写并没有统一规
    的头像 发表于 05-05 17:00 783次阅读
    SpringBoot <b class='flag-5'>后端接口</b>规范(上)

    SpringBoot 后端接口规范(中)

    一个后端接口大致分为四个部分组成: 接口地址(url)、接口请求方式(get、post等)、请求数据(request)、响应数据(response) 。虽然说后端接口的编写并没有统一规
    的头像 发表于 05-05 17:01 648次阅读
    SpringBoot <b class='flag-5'>后端接口</b>规范(中)

    SpringBoot 后端接口规范(下)

    一个后端接口大致分为四个部分组成:接口地址(url)、接口请求方式(get、post等)、请求数据(request)、响应数据(response)。虽然说后端接口的编写并没有统一规范要
    的头像 发表于 05-05 17:02 622次阅读

    ic设计前端到后端流程 ic设计的前端和后端的区别

    IC(Integrated Circuit)设计涉及两个主要的阶段:前端设计和后端设计。它们在IC设计流程中扮演着不同的角色和职责,具有以下区别
    的头像 发表于 08-15 14:49 4450次阅读

    JWT认证流程

    今天带大家来认识一下JWTJWT简介 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于 Json 的开放标准。JWT 的声明一般被用来在身份提供
    的头像 发表于 10-08 15:01 1267次阅读
    <b class='flag-5'>JWT</b>的<b class='flag-5'>认证</b><b class='flag-5'>流程</b>

    springboot前后端交互流程

    Boot 进行开发时,前后端交互是一个非常重要的部分,本文将详细介绍 Spring Boot 前后端交互的流程。 前后端交互的基本原理 在前后端
    的头像 发表于 11-22 16:00 2123次阅读

    什么是JWTJWT由哪些部分组成?JWT如何进行用户认证

    JWT(JSON Web Token)是一个开放的行业标准(RFC 7519),自身包含了身份验证所需要的所有信息,因此我们的服务器不需要存储用户Session信息。
    的头像 发表于 02-25 09:44 3785次阅读
    什么是<b class='flag-5'>JWT</b>?<b class='flag-5'>JWT</b>由哪些部分组成?<b class='flag-5'>JWT</b>如何进行用户<b class='flag-5'>认证</b>?