14.Django-JWT

1、基於JWT的Token登陸認證

1. JWT簡介

json Web Token（縮寫JWT）是目前最流行的跨域認證解決方案

session登陸的認證方案是看，用戶從客戶端傳遞用戶名和密碼登陸信息，服務端認證後將信息儲存在session中，將session_id放入cookie中，之後訪問其餘頁面，服務器都會帶着cookie，服務端會自動從cookie中獲取session_id,在從session中獲取認證信息。

JWT的解決方案是，將認證信息返回個客戶端，儲存在客戶端，下次訪問其餘頁面，須要從客戶端傳遞認證信息回服務器端。

---

2. JWT原理

JWT原理就是，服務器認證後，生成一個json格式的對象 ，發送個客戶端，

{
    "用戶名": "admin",
    "角色": "超級管理員",
    "到期時間": "2019-07-13 00:00:00"
}

之後，客戶端域服務器通訊的時候，都要發回這個json對象，服務器徹底靠這個對象認定用戶身份，（但確定不會像上面那樣，那麼簡單的發送一個對象）這樣的話，session中就沒有數據了，後面更容易實現擴展

---

3. JWT的數據結構

JWT分爲三個部分，header（頭部） payload （負載） signature （簽名）

一個完整的JWT數據是這樣的

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImp0aSI6IjNmMmc1N2E5MmFhIn0.
eyJpYXQiOjE1NjI4MzM0MDgsImlzcyI6Imh0dHA6XC9cL3d3dy5weWcuY29tIiwiYXVkIjoiaHR0cDpcL1wvd3d3LnB5Zy5jb20iLCJuYmYiOjE1NjI4MzM0MDcsImV4cCI6MTU2MjkxOTgwOCwianRpIjoiM2YyZzU3YTkyYWEiLCJ1c2VyX2lkIjoxfQ.
NFq1qQ-Z5c4pwit8ZkyWEwX6SBXmnHJcc6ZDgSD5nhU

中間是有三個點的，分別就是 頭部 負載 和簽名 （點在每一行的最後）

3.1 頭部 是一個json對象 做用是描述JWT元數據，通常是這樣的

{
    "alg": "HS256",      //表示簽名的算法默認是 HMAC SHA256（寫成 HS256）
    "typ": "JWT"         //表示這個令牌（token）的類型（type），JWT 令牌統一寫爲JWT
}

最後，將上面的 JSON 對象使用 Base64URL 算法（詳見後文）轉成字符串。

3.2 負載 也是一個 JSON 對象 ，用來存放實際須要傳遞的數據。JWT 規定了7個官方字段，供選用

除了官方字段，你還能夠在這個部分定義私有字段

這個 JSON 對象也要使用 Base64URL 算法轉成字符串（防止除了用戶的人看見嘛）。

注意：JWT 默認是不加密的，任何人均可以讀到，因此不要把祕密信息放在這個部分。（雖然加密了，防止解密的壞人解密後修改在加密）

3.3 簽名 是對前兩部分的簽名（能夠理解成在加密一份），防止數據篡改。

首先，須要指定一個密鑰（本身設置），這個密鑰只有服務器才知道，不能泄露給用戶。

使用 Header 裏面指定的簽名算法（默認是 HMAC SHA256）產生簽名

如：HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)     //使用Header 裏面指定的簽名算法  將頭部和負載部用逗號拼接起來，在加上本身設置的祕鑰

那麼簽名就出來的。

簽名出來後，如今有了 頭部的字符串，和負載的字符串 ，還有簽名的，在將這三個字符串用 . 拼接出來，就能夠將這個拼接好的字符串，返回給客戶端的

JWT數據就返回得了客戶端，須要注意的是，頭部和負載部，是用base64URL轉成字符串的，簽名是用頭部指定的算法轉成字符串的 不用弄混掉

4. JWT 的使用方式

客戶端，接受到了服務器返回的jwt，能夠儲存到cookie中，也能夠儲存在 localStorage。

此後，客戶端每次與服務器通訊，都要帶上這個 JWT。你能夠把它放在 Cookie 裏面自動發送，可是這樣不能跨域，因此更好的作法是放在 HTTP 請求的頭信息Authorization字段裏面。

一旦咱們使用的JWT，JWT的類別人封裝好的，會自動將生成的token放入響應頭中去，而後再次去訪問頁面的時候會帶着響應回來token去訪問頁面

JWT在請求頭中發送，如：會多了個請求頭

Authorization: Bearer <token>

而後，在服務器中，須要驗證這個token，是否有效

2、Django---使用jwt中的token鑑權機制完成狀態保持的步驟

1. 安裝包 djangorestframework-jwt

pip install djangorestframework-jwt

2. 配置drf, jwt過時時間

REST_FRAMEWORK = {
    ''''''
    # 身份認證的方式:JWT session
    'DEFAULT_AUTHENTICATION_CLASSES': (
        # 先後端分離使用jwt驗證
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        # 訪問admin後臺使用session
        'rest_framework.authentication.SessionAuthentication',
    ),
}
# 過時時間爲10小時
JWT_AUTH = {
    # timedelta 時間差
    'JWT_EXPIRATION_DELTA': datetime.timedelta(hours=10),
}

3. 在建立use對象的時候手動生成token

# 須要生成token
from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
 
payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)  # header.payload.signature

4. 在序列化中定義只輸出的token屬性

token = serializers.CharField(read_only=True)

5. 爲user添加token屬性才能輸出到客戶端

user.token = token