主頁 > 知識(shí)庫 > Django中的JWT身份驗(yàn)證的實(shí)現(xiàn)

Django中的JWT身份驗(yàn)證的實(shí)現(xiàn)

熱門標(biāo)簽:荊州云電銷機(jī)器人供應(yīng)商 外呼不封號(hào)系統(tǒng) 悟空智電銷機(jī)器人6 電信營業(yè)廳400電話申請(qǐng) 遼寧400電話辦理多少錢 幫人做地圖標(biāo)注收費(fèi)算詐騙嗎 溫州旅游地圖標(biāo)注 江蘇房產(chǎn)電銷機(jī)器人廠家 蘇州電銷機(jī)器人十大排行榜

1.認(rèn)證與授權(quán)

1.驗(yàn)證:身份驗(yàn)證是驗(yàn)證個(gè)人或設(shè)備標(biāo)識(shí)的過程。身份驗(yàn)證過程之一是登錄過程。注冊(cè)網(wǎng)站后,您的信息(ID,密碼,名稱,電子郵件等)將存儲(chǔ)在其數(shù)據(jù)庫中。之后,您無需創(chuàng)建帳戶即可提供信息。相反,您只需要提供用戶名和密碼來驗(yàn)證您的身份,網(wǎng)站就會(huì)自動(dòng)知道您正在訪問。

2.授權(quán):授權(quán)是用于確定用戶特權(quán)或訪問級(jí)別的安全機(jī)制。在許多社區(qū)網(wǎng)站上,只有上傳帖子和管理員的人才能刪除它。當(dāng)其他人嘗試刪除帖子時(shí),網(wǎng)站應(yīng)該拋出錯(cuò)誤(但是在許多情況下,他們甚至看不到刪除按鈕)。因此,對(duì)于每個(gè)請(qǐng)求,用戶都需要證明自己具有權(quán)限。

2.什么是JWT

JSON Web令牌(JWT)是一種開放標(biāo)準(zhǔn)(RFC 7519),它定義了一種緊湊且自包含的方式,用于在各方之間安全地將信息作為JSON對(duì)象進(jìn)行傳輸。您可以使用JWT對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證和授權(quán)。

JWT由三個(gè)串聯(lián)的Base64url編碼的字符串(標(biāo)頭,有效負(fù)載和簽名)組成,并用點(diǎn)號(hào)(,)分隔。標(biāo)頭包含有關(guān)令牌和加密算法類型的元數(shù)據(jù)。簽名用于驗(yàn)證令牌的可信度。有效負(fù)載包含用于身份驗(yàn)證和授權(quán)的所有必要數(shù)據(jù)。

3.存儲(chǔ)JWT

當(dāng)用戶登錄時(shí),服務(wù)器將創(chuàng)建JWT并將其發(fā)送到客戶端。然后,客戶端將其存儲(chǔ)到會(huì)話存儲(chǔ)或本地存儲(chǔ)。每次客戶端向服務(wù)器端發(fā)送需要身份驗(yàn)證或授權(quán)的請(qǐng)求時(shí),都會(huì)在授權(quán)標(biāo)頭上發(fā)送JWT。易受XSS(跨站點(diǎn)腳本)攻擊:會(huì)話和本地存儲(chǔ)可通過JavaScript訪問。惡意第三方可以將其JS注入網(wǎng)站,從而可以向API發(fā)出請(qǐng)求。

服務(wù)器將JWT存儲(chǔ)在Cookie中,并使用存儲(chǔ)在Cookie中的JWT驗(yàn)證用戶。Cookies容易受到CSRF的攻擊,因?yàn)樗鼈冸S每個(gè)請(qǐng)求一起發(fā)送。因此,惡意的第三方可以輕松地提出意想不到的請(qǐng)求。

4.Django中的JWT

# settings.py
SECRET_KEY = 'abcde1234',
JWT_ALGORITHM = 'HS256'
# user/views.py
import json
from datetime import datetime, timdelta
from django.conf import settings
from django.http import JsonResponse
from django.views import View

import bcrypt
import jwt
from .models import User
from token_utils import user_token

class UserSignInView(View):
    def post(self, request):
        try:
            data = json.loads(request.body)
            username = data['username']
            pw_input = data['password']
            user = User.objects.filter(username=username).first()

            if user is None:
                return JsonResponse({"message": "INVALID_USERNAME"}, status=401)
            if bcrypt.checkpw(pw_input.encode('utf-8'),
                              user.password.encode('utf-8')):
                key = settings.SECRET_KEY
                algorithm = settings.JWT_ALGORITHM
                token = jwt.encode(
                    {
                        'iss': 'me',
                        'id': user.id,
                        'exp': datetime.utcnow() + timedelta(days=14)
                    }, key, algorithm=algorithm).decode('utf-8')

                response = JsonResponse(
                    {
                        'message': 'SUCCESS'
                    }, status=200
                )

                # 當(dāng)使用本地/會(huì)話存儲(chǔ)而不是Cookie時(shí),只需在JsonResponse中發(fā)送令牌
                if data.get('remember_me') is not None:
                    max_age = 14*24*60*60 # 14 days
                    expires = datetime.strftime(
                        datetime.utcnow() + timedelta(seconds=max_age),
                        "%Y-%m-%d %H:%M:%S"
                    )
                    response.set_cookie(
                        'token',
                        token,
                        max_age=max_age,
                        expires=expires,
                        httponly=True
                    )
                    return response
            return JsonResponse({"message": "WRONG_PASSWORD"}, status=401)

        except KeyError as e:
            return JsonResponse({'message': f'KEY_ERROR: {e}'}, status=400)
        except ValueError as e:
            return JsonResponse({'message': f'VALUE_ERROR: {e}'}, status=400)

# token_utils.py
import json
from django.conf import settings
from django.http import JsonResponse
import jwt
from user.models import User

def user_token(func):
    def wrapper(self, request, *args, **kwargs):
        try:
            token = request.COOKIES.get('token')
            # token = request.headers.get('token')

            key = settings.SECRET_KEY
            algorithm = settings.JWT_ALGORITHM

            if token is None:
                return JsonResponse({"message": "INVALID_TOKEN"}, status=401)

            decode = jwt.decode(token, key, algorithm=algorithm)
            request.user = User.objects.get(id=decode['id'])

        except jwt.ExpiredSignatureError:
            return JsonResponse({"message": "EXPIRED_TOKEN"}, status=400)
        return func(self, request, *args, **kwargs)
    return wrapper

到此這篇關(guān)于Django中的JWT身份驗(yàn)證的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Django JWT身份驗(yàn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

您可能感興趣的文章:
  • django drf框架中的user驗(yàn)證以及JWT拓展的介紹
  • 微信小程序登錄對(duì)接Django后端實(shí)現(xiàn)JWT方式驗(yàn)證登錄詳解

標(biāo)簽:濟(jì)南 臺(tái)灣 黃山 景德鎮(zhèn) 三沙 欽州 喀什 宿遷

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Django中的JWT身份驗(yàn)證的實(shí)現(xiàn)》,本文關(guān)鍵詞  Django,中的,JWT,身份,驗(yàn)證,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Django中的JWT身份驗(yàn)證的實(shí)現(xiàn)》相關(guān)的同類信息!
  • 本頁收集關(guān)于Django中的JWT身份驗(yàn)證的實(shí)現(xiàn)的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章