jwt

目錄

• 認證規則圖
• 認證規則演變圖
• JWT認證
• drf-jwt插件

認證規則圖

django不分離

drf分類

認證規則演變圖

數據庫session認證：低效

緩存認證：高效

jwt認證：高效

緩存認證：不易併發

jwt認證：易併發

JWT認證

優勢

"""
1) 服務器不要存儲token，token交給每個客戶端本身存儲，服務器壓力小
2）服務器存儲的是 簽發和校驗token 兩段算法，簽發認證的效率高
3）算法完成各集羣服務器同步成本低，路由項目完成集羣部署（適應高併發）
"""

格式

"""
1) jwt token採用三段式：頭部.載荷.簽名
2）每一部分都是一個json字典加密形參的字符串
3）頭部和載荷採用的是base64可逆加密（前臺後臺均可以解密）
4）簽名採用hash256不可逆加密（後臺校驗採用碰撞校驗）
5）各部分字典的內容：
    頭部：基礎信息 - 公司信息、項目組信息、可逆加密採用的算法
    載荷：有用但非私密的信息 - 用戶可公開信息、過時時間
    簽名：頭部+載荷+祕鑰 不可逆加密後的結果
    注：服務器jwt簽名加密祕鑰必定不能泄露
    
簽發token：固定的頭部信息加密.當前的登錄用戶與過時時間加密.頭部+載荷+祕鑰生成不可逆加密
校驗token：頭部可校驗也能夠不校驗，載荷校驗出用戶與過時時間，頭部+載荷+祕鑰完成碰撞檢測校驗token是否被篡改
"""

drf-jwt插件

官網

https://github.com/jpadilla/django-rest-framework-jwt

安裝

>: pip install djangorestframework-jwt
    
    
解釋：    
from djangorestframework-jwt
點擊djangorestframework-jwt 定位rest_framework_jwt文件夾中
查找有models.py，可是裏面什麼都沒寫，因此說它沒有數據庫，因此不須要註冊
咱們只須要導入文件直接使用

而rest_framework這個模塊就須要註冊，由於數據庫有數據

rest_framework_jwt包中，咱們要使用的就是authentication.py和views.py
views.py中的類就是在咱們自定義類時要繼承的類

# ObtainJSONWebToken視圖類就是經過username和password獲得user對象而後簽發token
#經過帳號密碼簽發token,依賴auth組件的RBAC用戶權限六表
class ObtainJSONWebToken(JSONWebTokenAPIView):
    """
    API View that receives a POST with a user's username and password.

    Returns a JSON Web Token that can be used for authenticated requests.
    """
    serializer_class = JSONWebTokenSerializer
    
 #校驗token，若是經過原樣返回（沒啥用）
class VerifyJSONWebToken(JSONWebTokenAPIView):
    """
    API View that checks the veracity of a token, returning the token if it
    is valid.
    """
    serializer_class = VerifyJSONWebTokenSerializer

 
#根據一個合法的token,返回刷新後的token
class RefreshJSONWebToken(JSONWebTokenAPIView):
    """
    API View that returns a refreshed token (with new expiration) based on
    existing token

    If 'orig_iat' field (original issued-at-time) is found, will first check
    if it's within expiration window, then copy it to the new token
    """
    serializer_class = RefreshJSONWebTokenSerializer
    
    
三個函數：
obtain_jwt_token = ObtainJSONWebToken.as_view()
refresh_jwt_token = RefreshJSONWebToken.as_view()
verify_jwt_token = VerifyJSONWebToken.as_view()

登陸 - 簽發token：api/urls.py

from rest_framework_jwt.views import ObtainJSONWebToken, obtain_jwt_token
urlpatterns = [
    # url(r'^jogin/$', ObtainJSONWebToken.as_view()),
    url(r'^jogin/$', obtain_jwt_token),
]

#只要配置了路由就能夠作測試了

發送get請求，url(r'^jogin/$', obtain_jwt_token) 也就是ObtainJSONWebToken.as_view()響應

點擊ObtainJSONWebToken，發現裏面沒寫東西，走父類JSONWebTokenAPIView，沒有get方法

只有post方法

post方法中的serializer反序列化中校驗的

若是密碼正確，返回token

看點切分，有三段，反覆請求第一段不會變，第二段會變幾個字母也就是隻是過時時間日後移的時間變化，第三段瘋狂變化

換了登陸用戶第二段就變化大了

在數據庫api_user表中添加數據

首段就算是不一樣的用戶都不會改變

源碼：
class JSONWebTokenAPIView(APIView):
    """
    Base API View that various JWT interactions inherit from.
    """
    #將認證和權限禁用
    #登陸必定不能有認證和權限
    permission_classes = ()
    authentication_classes = ()

認證 - 校驗token：全局或局部配置drf-jwt的認證類 JSONWebTokenAuthentication

from rest_framework.views import APIView
from utils.response import APIResponse
# 必須登陸後才能訪問 - 經過了認證權限組件
from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
class UserDetail(APIView):
    authentication_classes = [JSONWebTokenAuthentication]  # jwt-token校驗request.user
    permission_classes = [IsAuthenticated]  # 結合權限組件篩選掉遊客
    def get(self, request, *args, **kwargs):
        return APIResponse(results={'username': request.user.username})

路由與接口測試

# 路由
url(r'^user/detail/$', views.UserDetail.as_view()),

# 接口：/api/user/detail/
# 認證信息：必須在請求頭的 Authorization 中攜帶 "jwt 後臺簽發的token" 格式的認證字符串

測試

jwt和頻率認證的代碼詳見 E:\ten_django\jwt E:\ten_django\rate_throttle