摘要:是目前最流行的跨域身份验证解决方案。由于是对称加密算法,所以可以轻松解密因此我们在负载部分不要将私密信息放置在里面,只需要把能验证唯一的标识信息添加就可以了。加密算法,必须设置为一个,或。验证标头同时也验证,一般不用本文参考
JWT(Json Web Token):是目前最流行的跨域身份验证解决方案。
此前我们使用的身份验证方式都是基于Session:
这种方式并没有什么不妥,但其实这里有三个缺点:
Session一般存储在redis中,而redis数据保存在内存中,随着用户的增多,内存消耗太大。
扩展性不好,用户每次验证都需要请求session服务器,增大了负载均衡能力,应用扩展受限。
因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
所以,我们需要一种既能实现相同要求并且还要比session存储更有效的身份验证方式。
JWT通过一种加密的方式,将加密后的数据保存返回给用户本地进行保存,我们称为token数据。其数据由三部分组成:
1、header声明类型和加密的算法:
{ "typ": "JWT", #固定值 "alg": "HS256" #加密算法 }
2、payload负载
这是有效信息的存放地方,其分为三部分:标准中注册的声明、公共声明、私有声明(用户信息)
标准中的注册声明(有需要在使用,不强制使用):
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共声明:公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.
私有声明:
{ "name": "jim", "id": "111111", "admin": true }
3、signature签名
需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。由于base64是对称加密算法,所以可以轻松解密:因此我们在负载部分不要将私密信息放置在里面,只需要把能验证唯一的标识信息添加就可以了。
有关base64,请参考:https://www.liaoxuefeng.com/w...
由于目前在学习DRF,所以我介绍一下怎样在DRF项目中使用JWT进行身份验证:
安装djangorestframework-jwt:
pip install djangorestframework-jwt
添加jwt认证类:
REST_FRAMEWORK = { "DEFAULT_PERMISSION_CLASSES": ( "rest_framework.permissions.IsAuthenticated", ), "DEFAULT_AUTHENTICATION_CLASSES": ( "rest_framework_jwt.authentication.JSONWebTokenAuthentication", "rest_framework.authentication.SessionAuthentication", "rest_framework.authentication.BasicAuthentication", ), }
添加jwt路由用于生成token:
from rest_framework_jwt.views import obtain_jwt_token urlpatterns = [ url(r"^自己的路由/", obtain_jwt_token), ]
然后我们就可以通过自己添加的路由并通过post添加username和password来获取到token了,在进行访问页面的时候我们只需要在请求头中添加一个:Authorization: JWT
当然我们可能不止只需要token数据,还需要用户的ID,昵称等信息,那么我们就需要手动生成token数据。
from rest_framework_jwt.settings import api_settings jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER payload = jwt_payload_handler(user) #这里的用户对象就是在登录视图中获取到的user token = jwt_encode_handler(payload)
当然我们前面已经说明payload中最好不要存储私密信息,所以我们在处理user前需要将不需要的字段删除:
del user.set_password("") #当然这样做肯定不科学,但是我们由于这里没有场景,所以我先这样做,有需要的同学可以私聊我。
然后我们可以将返回到前端的数据进行保存,方便下次访问携带:
前端响应中使用的代码格式
关于session和local存储:https://www.cnblogs.com/st-le...
sessionStorage.变量名 = 变量值 // 保存数据 sessionStorage.变量名 // 读取数据 sessionStorage.clear() // 清除所有sessionStorage保存的数据 localStorage.变量名 = 变量值 // 保存数据 localStorage.变量名 // 读取数据 localStorage.clear() // 清除所有localStorage保存的数据
最后利用localStorage与sessionStorage读取数据的方式在需要后端验证的地方添加token数据。
所有配置参考:
JWT_AUTH = { "JWT_ENCODE_HANDLER": "rest_framework_jwt.utils.jwt_encode_handler", #加密处理函数 "JWT_DECODE_HANDLER": "rest_framework_jwt.utils.jwt_decode_handler", #解密处理函数 "JWT_PAYLOAD_HANDLER": "rest_framework_jwt.utils.jwt_payload_handler", #指定自定义函数以生成令牌有效内容 "JWT_PAYLOAD_GET_USER_ID_HANDLER": "rest_framework_jwt.utils.jwt_get_user_id_from_payload_handler", #如果您的存储username方式与默认的有效负载处理程序不同,请实现此功能以username从有效负载中获取 "JWT_RESPONSE_PAYLOAD_HANDLER": #负责控制登录或刷新后返回的响应数据。覆盖以返回自定义响应 "rest_framework_jwt.utils.jwt_response_payload_handler", "JWT_SECRET_KEY": settings.SECRET_KEY, #使用系统全局的SECRET_KEY "JWT_GET_USER_SECRET_KEY": None, #这是JWT_SECRET_KEY的更强大版本。它是根据用户定义的,因此如果令牌被泄露,可以由所有者轻松更改。更改此值将使给定用户的所有令牌都无法使用。值应该是一个函数,接受用户作为唯一参数并返回它的密钥。 "JWT_PUBLIC_KEY": None, "JWT_PRIVATE_KEY": None, "JWT_ALGORITHM": "HS256", #加密算法,必须设置为一个RS256,RS384或RS512。 "JWT_VERIFY": True, "JWT_VERIFY_EXPIRATION": True, "JWT_LEEWAY": 0, "JWT_EXPIRATION_DELTA": datetime.timedelta(seconds=300), #设置有效期 "JWT_AUDIENCE": None, "JWT_ISSUER": None, #这是一个字符串,将根据iss令牌字段进行检查。默认是None(不要检查issJWT) "JWT_ALLOW_REFRESH": False, "JWT_REFRESH_EXPIRATION_DELTA": datetime.timedelta(days=7), #设置令牌刷新时间,默认为datetime.timedelta(days=7)(7天) "JWT_AUTH_HEADER_PREFIX": "JWT", #您可以修改需要与令牌一起发送的Authorization标头值前缀。默认值为JWT,用于令牌和授权标头的另一个常见值是Bearer。 "JWT_AUTH_COOKIE": None, #验证Authorization标头同时也验证cookie,一般不用 }
本文参考:https://lion1ou.win/2017/01/18/
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/43092.html
摘要:基于的身份验证可以替代传统的身份验证方法。例如可自定义示例如下该的签发者签发时间过期时间该时间之前不接收处理该面向的用户该唯一标识部分对应的签名为最终得到的的为说明对和进行编码后进行拼接。 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的...
摘要:在使用非对称加密算法进行签名的时候,还可以用于验证的发件人是否与中申明的发件人是同一个人。如果没有用非对称加密算法的话,把复制之后直接可以去官网在线解析。 这篇博客主要是简单介绍了一下什么是JWT,以及如何在Spring Boot项目中使用JWT(JSON Web Token)。 1.关于JWT 1.1 什么是JWT 老生常谈的开头,我们要用这样一种工具,首先得知道以下几个问题。 这...
阅读 1000·2022-07-19 10:19
阅读 1773·2021-09-02 15:15
阅读 993·2019-08-30 15:53
阅读 2632·2019-08-30 13:45
阅读 2619·2019-08-26 13:57
阅读 1962·2019-08-26 12:13
阅读 985·2019-08-26 10:55
阅读 524·2019-08-26 10:46