python+Django 下JWT的使用

 

前言:

JWT 是 json web token 的縮寫, token的做用你應該已經瞭解,用於識別用戶身份避免每次請求都須要驗證

用來解決先後端分離時的用戶身份驗證

在傳統的web項目中 咱們會在form表單中設置隱藏字段來提交token信息

可是在先後端分離時,咱們就沒法像網頁同樣直接放在表單裏,

須要先後端的配合才能完成token的驗證

簡單使用:

下面是使用itsdangerous模塊實現JWT的生成與解析

 

 

 

​x

 

 

 

 

import hashlib,time

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

​

# 用一個值做爲密鑰 固然你能夠用任何的字符串做爲密鑰 越複雜越安全

secret_key = "548D859ADA8B084E76730CCEFA052EE1"

​

# 除去密鑰外 再添加一個鹽值來提升安全性

salt_str = "this is salt string"

​

expires_in = 3600 # 控制token的有效時長 默認爲3600秒

# 實例化對應的對象傳入兩個參數,一個空的token就產生了,可是咱們要用token來識別用戶身份

# 你固然能夠把token和用戶的身份信息存到數據庫作對應

# 可是jwt已經考慮到了,因此你只須要在dump中添加用於識別用戶身份的數據便可

# 後期當用戶請求到達時,使用一樣的方法反解就能獲取到token中包含的數據

# 從而完成用戶身份的識別

​

s = Serializer(secret_key=secret_key,expires_in=expires_in,salt=salt_str,)

​

# 獲取token並在其中寫入用戶的身份信息

# s.dump() # 將token寫入指定文件 與json的dump意思相同

# 獲得最後的token數據 分返回類型爲字節 因此作一個解碼

# iat字段來自官方文檔 用於表示token的過時時間,用於客戶端作判斷,不是必須的

# 另外兩個字段是本身定義的

token = s.dumps({

    "uer_id":"100001",

    "role_id":"2",

    "iat":time.time(),

}).decode("utf-8")

​

# 獲得token 在用戶登陸成功時返回給客戶端

print(token)

​

# 客戶端利用任何手段來存儲token值,在請求數據時帶上token一塊兒請求

​

# =======================================================================

# 當客戶端帶上token來請求時咱們須要從中獲取用戶的身份信息

# 解析token時可能會發生異常,常見的如token過時,或token被篡改等等..

# 服務器須要作相應的檢查

 

 

Django中使用案例:

服務器端代碼:

文件:test/views.py

 

 

 

xxxxxxxxxx

 

 

 

 

from django.http import JsonResponse

from test1 import jwt_tool

​

# 登陸接口

def login(req):

    username = req.POST.get("username")

    password = req.POST.get("password")

    # 模擬登陸

    if username == "jerry" and password == "123":

        # 用戶標識id

        info = {"user_id":"10086"}

        #生成token

        token = jwt_tool.gen_token(info)

        # 返回數據

        data = {"msg":"登陸成功!","token":token,"code":1}

        return JsonResponse(data, safe=False)

    else:

        return JsonResponse({"msg":"登陸失敗!","code":-1}, safe=False,)

# 用於請求json數據的接口

def get_some_data(req):

    try:

    # 獲取token

        token = req.META["HTTP_TOKEN"]

        print(token)

    except:

        return JsonResponse({"msg": "缺乏token!"}, safe=False)

​

    # 解析token獲取用戶身份信息

    res = jwt_tool.parser_token(token)

    if res["code"] == 1:

        user_id = res["data"]["user_id"]

        return JsonResponse({"msg": "您的id爲:%s" % user_id,"data":"一些數據!"}, safe=False)

    else:

        return JsonResponse({"msg": "身份驗證失敗 請從新登陸!"}, safe=False)

 

 

客戶端代碼

文件:client_test.py

 

 

 

xxxxxxxxxx

 

 

 

 

import requests

​

# 模擬登陸

resp = requests.post("http://127.0.0.1:8000/login/",data={"username":"jerry","password":"123"})

res = resp.json()

​

​

# 取出返回的token

token = None

if res["code"] == 1:

    print("登陸成功!")

    token = res["token"]

else:

    print("登陸失敗!")

​

# 請求數據接口

resp1 = requests.get("http://127.0.0.1:8000/get_some_data/",headers={"token":token})

print(resp1.json())

 

 

源碼:

https://github.com/yangyuanhu/django-JWT.git