django应用JWT(JSON Web Token)实战

文章目录

    • 一、什么是JWT
    • 二、为什么使用JWT
    • 三、在django项目中如何应用JWT
      • 1、安装djangorestframework-simplejwt库:
      • 2、在settings.py中配置JWT认证:
      • 3、在urls.py中配置JWT的获取和刷新路由:
    • 四、JWT如何使用
      • 1、调用生成JWT的接口获取JWT
      • 2、客户端保存JWT在调用接口时带上获取的JWT

在前后端分离的项目中,前后端进行身份验证通常用JWT来进行,JWT 提供了一个理想的认证解决方案,用来保护 RESTful API,确保只有经过认证的用户才能访问受保护的资源。基于前端框架(如React, Angular, Vue.js)的单页面应用 (SPA),开发者通过使用 JWT可以获得一种简单、安全、高效的方式来处理用户认证和授权的问题。本文通过django项目的实战来说明如何应用和使用JWT。

一、什么是JWT

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络各方之间以安全且紧凑的形式传输信息。JWT 是一个小型的凭证,通常用于身份验证和授权场景。JWT 由三部分组成:头部 (Header)、负载 (Payload) 和签名 (Signature)。
JWT信息由3段构成,它们之间用圆点“.”连接,格式如下:

aaaaaa.bbbbbb.cccccc

一个典型的JWT如下所示:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiZXhwIjoxNzI2OTcyMDc2LCJpYXQiOjE3MjY5NzAyNzYsImp0aSI6IjMyMTFiZjdmZDlhZTRmNTBhMDNmOGM2NjcwNDM2NjFiIiwidXNlcl9pZCI6Mn0.Ej6US4Uk-sSNm9P8kTU_cDAzBpO4I-BLhPstp5sG00Q
  • 头部 (Header):包含了关于 JWT 类型的信息以及所使用的签名算法。
  • 负载 (Payload):是 JWT 的主体部分,包含了实际需要声明的数据。这些数据通常包括用户ID、用户名、角色等信息。
  • 签名 (Signature):用于验证 JWT 的发送者就是它声称的发送者,同时也确保了 JWT 在传输过程中没有被篡改。

二、为什么使用JWT

使用 JWT 的原因主要有以下几点:

  • 安全性:JWT 通过签名来保证数据的完整性和防篡改性。如果有人试图修改 JWT 内容,签名会失效,接收方可以检测到这一行为。
  • 无状态性:JWT 是自包含的,这意味着不需要在服务器上保存会话状态。每个 JWT 都包含了所有必要的信息,从而减少了对服务器端存储的需求。
  • 跨域支持:JWT 可以轻松地在不同的域之间共享,这使得它非常适合微服务架构和分布式系统。
  • 性能提升:由于 JWT 是自包含的,所以服务器可以快速地验证 JWT,而无需查询数据库来获取用户信息,这提高了应用的响应速度。
  • 易于缓存和扩展:JWT 可以被缓存,并且因为它们是无状态的,所以可以很容易地扩展到多个服务器,而无需担心会话复制问题。
  • CSRF 防护:使用 JWT 可以帮助缓解跨站请求伪造(CSRF)攻击的风险,因为 JWT 不依赖于 cookie,也就不会随同 HTTP 请求自动发送。

总的来说,JWT 提供了一种高效、安全的方式来处理用户认证和授权,尤其是在需要跨域操作或构建无状态服务的情况下。

三、在django项目中如何应用JWT

JWT(JSON Web Token)是一种用于在网络应用中安全地传输信息的令牌。它通常用于身份验证和授权,特别是在单页应用(SPA)和API服务中。在Django中应用JWT,可以使用 djangorestframework-simplejwt。

1、安装djangorestframework-simplejwt库:

pip install djangorestframework-simplejwt

2、在settings.py中配置JWT认证:

在INSTALLED_APPS中添加rest_framework_simplejwt的应用

INSTALLED_APPS = ['blog','django.contrib.admin','django.contrib.auth','django.contrib.contenttypes','django.contrib.sessions','django.contrib.messages','django.contrib.staticfiles','rest_framework','rest_framework_simplejwt',  # 添加 simplejwt 应用'django_filters',  # 注册条件查询'mdeditor',  # 注册markdown的应用'drf_yasg2',  # 接口文档
]

添加REST_FRAMEWORK的默认认证类为JWT认证

REST_FRAMEWORK = {'DEFAULT_AUTHENTICATION_CLASSES': ['rest_framework_simplejwt.authentication.JWTAuthentication',],
}

添加SIMPLE_JWT的相关配置

# JWT 相关设置
SIMPLE_JWT = {'ACCESS_TOKEN_LIFETIME': timedelta(minutes=30),  # 访问令牌的有效时间'REFRESH_TOKEN_LIFETIME': timedelta(days=1),  # 刷新令牌的有效时间'ROTATE_REFRESH_TOKENS': False,  # 是否允许刷新令牌循环'BLACKLIST_AFTER_ROTATION': True,  # 刷新令牌后是否加入黑名单'UPDATE_LAST_LOGIN': False,  # 登录时是否更新最后登录时间'ALGORITHM': 'HS256',  # 签名算法'SIGNING_KEY': SECRET_KEY,  # 签名密钥'VERIFYING_KEY': None,  # 验证密钥'AUDIENCE': None,  # 观众'ISSUER': None,  # 发行人'JWK_URL': None,  # JWK URL'LEEWAY': 0,  # 宽限期'AUTH_HEADER_TYPES': ('Bearer',),  # 授权头类型'AUTH_HEADER_NAME': 'HTTP_AUTHORIZATION',  # 授权头名称'USER_ID_FIELD': 'id',  # 用户 ID 字段'USER_ID_CLAIM': 'user_id',  # 用户 ID 声明'USER_AUTHENTICATION_RULE': 'rest_framework_simplejwt.authentication.default_user_authentication_rule','AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),  # 认证令牌类'TOKEN_TYPE_CLAIM': 'token_type',  # 令牌类型声明'TOKEN_USER_CLASS': 'rest_framework_simplejwt.models.TokenUser','SLIDING_TOKEN_REFRESH_EXP_CLAIM': 'refresh_exp',  # 滑动令牌刷新过期声明'SLIDING_TOKEN_LIFETIME': timedelta(minutes=5),  # 滑动令牌有效时间'SLIDING_TOKEN_REFRESH_LIFETIME': timedelta(days=1),  # 滑动令牌刷新有效时间
}

3、在urls.py中配置JWT的获取和刷新路由:

from django.urls import path
from rest_framework_simplejwt.views import (TokenObtainPairView, TokenRefreshView)
urlpatterns = [path('token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),path('token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),# 其他路由...
]

4、在视图中需要认证的地方使用JWT认证
如下modelviweset中使用,对于查询方法如list,retrieve不做鉴权,对于其他方法需要鉴权。

def get_permissions(self):"""Instantiates and returns the list of permissions that this view requires."""if self.action in ['list', 'retrieve']:# 对于list方法,返回AllowAny权限类,表示不需要鉴权permission_classes = [AllowAny, ]else:# 对于其他方法,返回IsAuthenticated权限类,表示需要用户已认证permission_classes = [IsAuthenticated, ]return [permission() for permission in permission_classes]

四、JWT如何使用

通过上面的应用后,使用接口调用遇到需要鉴权的会提示需要认证。
如当我们调用删除接口时,如果没有获得鉴权,接口会返回需要认证的信息。
在这里插入图片描述

那如何通过JWT进行认证呢?
JWT进行认证过程

下面通过postman来应用JWT的使用过程。

1、调用生成JWT的接口获取JWT

在这里插入图片描述

2、客户端保存JWT在调用接口时带上获取的JWT

在这里插入图片描述

至此,本文介绍了什么时JWT,为什么要使用JWT,通过django实现JWT,介绍了JWT的使用流程,最后以一个具体API接口实例的调用来说明JWT如何使用。后续将介绍VUE从前端登录获取JWT到JWT认证的实例。

博客地址:http://xiejava.ishareread.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.xdnf.cn/news/1542267.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章

C/C++内存管理 ——

C/C++内存管理 ——

目录 五、C/C内存管理 1、C/C内存分布 2、C语言中动态内存管理方式:malloc/calloc/realloc/free 3、C内存管理方式 1.new/delete操作内置类型 2.new和delete操作自定义类型 4、operator new与operator delete函数 5、new和delete的实现原理 1.内置类…
阅读更多...
十六 未来信息综合技术(考点篇)试题

十六 未来信息综合技术(考点篇)试题

SaaS:软件即服务,PaaS:平台即服务,LaaS:基础设施即服务。 SaaS:偏向于提供各种软件接口来提供相关的服务;PaaS:偏向于吧一些基础的功能整合成一个平台,把整个平台或部分…
阅读更多...
【人工智能】Linux系统Mamba安装流程

【人工智能】Linux系统Mamba安装流程

在编译安装 mamba 之前,你需要确保已安装正常的PyTorch环境。 # 安装必要的系统依赖 sudo apt update sudo apt install build-essential # 安装mamba依赖 pip install packaging wheel # 克隆仓库 git clone https://github.com/Dao-AILab/causal-conv1d.git git …
阅读更多...
【python】修改字典的内容

【python】修改字典的内容

person {"name": "John", "age": 30, "city": "New York"} print("最开始的信息:",person)def process_person_info(person):# 检查对象中是否包含所有必要的键if name in person and age in person …
阅读更多...
计算机人工智能前沿进展-大语言模型方向-2024-09-22

计算机人工智能前沿进展-大语言模型方向-2024-09-22

计算机人工智能前沿进展-大语言模型方向-2024-09-21 引言: 全球最热销的国产游戏-《黑神话: 悟空》不仅给世界各地玩家们带来愉悦,而且对计算机人工智能研究也带来新的思考。在本期的论文速读中,我们带来一篇关于视觉语言模型(VLMs&#xf…
阅读更多...
Java只有国人在搞了?

Java只有国人在搞了?

从Java诞生到现在,在全球一直属于最大的开发平台,拥有着世界上最多的开发者和最活跃的社区。你说Java只有国人在搞就有点过分了,Java中常用的主流框架全是外国人写的,虽说阿里也为Java做了很多贡献,但你还真没有资格说…
阅读更多...
英伟达RTX 4090即将在10月份停产,RTX 50震撼来袭,你准备好了吗?

英伟达RTX 4090即将在10月份停产,RTX 50震撼来袭,你准备好了吗?

据多家媒体报道,英伟达(NVIDIA)及其合作伙伴计划于2024年10月停止生产其旗舰级显卡GeForce RTX 4090及其衍生型号RTX 4090D。尽管该计划尚未得到官方正式确认,但多家媒体和供应链消息均指出,这一决定旨在为即将到来的新…
阅读更多...
vscode 配置rust格式化的正确方法

vscode 配置rust格式化的正确方法

vscode 配置rust格式化的正确方法: 在settings.json里输入: "[rust]": {"editor.defaultFormatter": "rust-lang.rust-analyzer","editor.formatOnSave": true}
阅读更多...
golang学习笔记6-更方便的转换、自定义包及网络部署【推荐收藏】

golang学习笔记6-更方便的转换、自定义包及网络部署【推荐收藏】

在上一个笔记中,我讲了基本数据类型的转换。不难发现,string和基本类型的互转比较麻烦,所以我自定义了一个包strtrans,封装了四个函数:ToString(),ToInt(),ToFloat(),ToBool()。其中ToString()适用于整数型&#xff0c…
阅读更多...
关于字节 c++

关于字节 c++

字节的介绍 字节是计算机中最小的存储单位,通常由8个二进制位组成,用来存储一个字符。在C中,字节也是基本数据类型之一,用关键字"byte"来表示。字节主要用于存储一些较小的数据,如整数、字符等。字节的大小…
阅读更多...
UE5入门

UE5入门

1.快捷键 工欲善其事,必先利其器,所以学习UE关卡编辑器快捷键必不可少 1.1Actor 选中actor , Q:选择模式 W:平移 E:旋转 R:缩放 CtrlB:打开Actor文件位置 F:聚焦 Ctr…
阅读更多...
RP2040 C SDK GPIO和IRQ 唤醒功能使用

RP2040 C SDK GPIO和IRQ 唤醒功能使用

RP2040 C SDK GPIO和中断功能使用 📑RP2040 中断功能简介 Each core is equipped with a standard ARM Nested Vectored Interrupt Controller (NVIC) which has 32 interrupt inputs. Each NVIC has the same interrupts routed to it, with the exception of the…
阅读更多...
Python办公自动化教程(002):PDF的拆分与合并

Python办公自动化教程(002):PDF的拆分与合并

1、PyPDF2 介绍 介绍: PyPDF2是一个用于处理PDF文件的Python库,它提供了丰富的功能来读取、编辑、合并、拆分PDF文档,以及提取文本、图像和其他内容。 功能: 读取PDF:PyPDF2可以轻松地打开和读取PDF文件,获…
阅读更多...
计算机丢失mfc110.dll是什么原因与有哪些解决方法详解

计算机丢失mfc110.dll是什么原因与有哪些解决方法详解

丢失动态链接库文件(DLL)是比较常见的一种情况,其中之一就是“计算机丢失mfc110.dll”。这个问题通常是由于系统文件损坏或缺失引起的,给计算机的正常运行带来了困扰。为了解决这个问题,我总结了以下几种方法&#xff…
阅读更多...
1512. 好数对的数目

1512. 好数对的数目

目录 一&#xff1a;题目&#xff1a; 二&#xff1a;代码&#xff1a; 三&#xff1a;结果&#xff1a; 一&#xff1a;题目&#xff1a; 给你一个整数数组 nums 。 如果一组数字 (i,j) 满足 nums[i] nums[j] 且 i < j &#xff0c;就可以认为这是一组 好数对 。 返…
阅读更多...
状态模式:将对象行为与状态解耦

状态模式:将对象行为与状态解耦

状态模式&#xff08;State Pattern&#xff09;是一种行为设计模式&#xff0c;它允许对象在其内部状态改变时改变其行为&#xff0c;使对象看起来好像修改了其类。 状态模式的核心思想是将对象的行为封装在不同的状态对象中&#xff0c;每个状态对象都代表了对象在某一特定状…
阅读更多...
校园美食探索者:Spring Boot开发的分享平台

校园美食探索者:Spring Boot开发的分享平台

第二章 系统分析 2.1 可行性分析 可行性分析的目的是确定一个系统是否有必要开发、确定系统是否能以最小的代价实现。其工作主要有三个方面&#xff0c;分别是技术、经济和社会三方面的可行性。我会从这三个方面对网上校园周边美食探索及分享平台进行详细的分析。 2.1.1技术可行…
阅读更多...
Redis数据结构之list列表

Redis数据结构之list列表

一.list列表 列表相当于数组或者顺序表 它里面的元素是有序的&#xff0c;也就是可以通过下标进行访问。这里的有序的含义是要根据上下文区分的&#xff0c;有的时候&#xff0c;有序指的是升序/降序&#xff0c;有的时候有序指的是顺序很关键&#xff0c;俩个元素交换后就不…
阅读更多...
<<编码>> 第 16 章 存储器组织(4)--内存 示例电路

<<编码>> 第 16 章 存储器组织(4)--内存 示例电路

内存内部结构 info::操作说明 译码器用于写入, 操作同上 选择器用于输出, 操作同上 地址信号同时控制译码器和选择器, 注意地址的高位在右(比如 001 实际是 100, 选择的是 Q6 和 I6) 缺省情况下, 内部数据全是 0. 读者可先通过译码器写入, 再通过选择器输出 primary::在线交…
阅读更多...
YOLO原理实现

YOLO原理实现

YOLO&#xff08;You Only Look Once&#xff09;是一个标志性的目标检测模型&#xff0c;可以快速分类并定位图像中的多个对象。本文总结了YOLO模型中所有关键的数学操作。 第一步&#xff1a;定义输入 要使用YOLO模型&#xff0c;首先必须将RGB图像转换为448 x 448 x 3的张…
阅读更多...
最新文章

Copyright @ 2022~2023