JWT验证

摘要：是目前最流行的跨域身份验证解决方案。由于是对称加密算法，所以可以轻松解密因此我们在负载部分不要将私密信息放置在里面，只需要把能验证唯一的标识信息添加就可以了。加密算法，必须设置为一个，或。验证标头同时也验证，一般不用本文参考

JWT(Json Web Token):是目前最流行的跨域身份验证解决方案。
此前我们使用的身份验证方式都是基于Session:

这种方式并没有什么不妥，但其实这里有三个缺点：

Session一般存储在redis中，而redis数据保存在内存中，随着用户的增多，内存消耗太大。

扩展性不好，用户每次验证都需要请求session服务器，增大了负载均衡能力，应用扩展受限。

因为是基于cookie来进行用户识别的, cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击。

所以，我们需要一种既能实现相同要求并且还要比session存储更有效的身份验证方式。

JWT通过一种加密的方式，将加密后的数据保存返回给用户本地进行保存，我们称为token数据。其数据由三部分组成：

1、header声明类型和加密的算法：

{
  "typ": "JWT",    #固定值
  "alg": "HS256"    #加密算法
}

2、payload负载
这是有效信息的存放地方，其分为三部分：标准中注册的声明、公共声明、私有声明(用户信息)
标准中的注册声明(有需要在使用，不强制使用)：
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间，这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前，该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。
公共声明：公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.
私有声明：

{
  "name": "jim",
  "id": "111111",
  "admin": true
}

3、signature签名
需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。由于base64是对称加密算法，所以可以轻松解密：因此我们在负载部分不要将私密信息放置在里面，只需要把能验证唯一的标识信息添加就可以了。
有关base64,请参考：https://www.liaoxuefeng.com/w...
由于目前在学习DRF，所以我介绍一下怎样在DRF项目中使用JWT进行身份验证：
安装djangorestframework-jwt：

pip install djangorestframework-jwt

添加jwt认证类：

REST_FRAMEWORK = {
    "DEFAULT_PERMISSION_CLASSES": (
        "rest_framework.permissions.IsAuthenticated",
    ),
    "DEFAULT_AUTHENTICATION_CLASSES": (
        "rest_framework_jwt.authentication.JSONWebTokenAuthentication",
        "rest_framework.authentication.SessionAuthentication",
        "rest_framework.authentication.BasicAuthentication",
    ),
}

添加jwt路由用于生成token：

from rest_framework_jwt.views import obtain_jwt_token

urlpatterns = [
    url(r"^自己的路由/", obtain_jwt_token),
]

然后我们就可以通过自己添加的路由并通过post添加username和password来获取到token了，在进行访问页面的时候我们只需要在请求头中添加一个：Authorization: JWT ，就可以得到验证了。
当然我们可能不止只需要token数据，还需要用户的ID,昵称等信息，那么我们就需要手动生成token数据。

from rest_framework_jwt.settings import api_settings
    
    jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
    jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
    
    payload = jwt_payload_handler(user)    #这里的用户对象就是在登录视图中获取到的user
    token = jwt_encode_handler(payload)

当然我们前面已经说明payload中最好不要存储私密信息，所以我们在处理user前需要将不需要的字段删除：

del user.set_password("")    #当然这样做肯定不科学，但是我们由于这里没有场景，所以我先这样做，有需要的同学可以私聊我。

然后我们可以将返回到前端的数据进行保存，方便下次访问携带：
前端响应中使用的代码格式
关于session和local存储：https://www.cnblogs.com/st-le...

sessionStorage.变量名 = 变量值   // 保存数据
sessionStorage.变量名  // 读取数据
sessionStorage.clear()  // 清除所有sessionStorage保存的数据

localStorage.变量名 = 变量值   // 保存数据
localStorage.变量名  // 读取数据
localStorage.clear()  // 清除所有localStorage保存的数据

最后利用localStorage与sessionStorage读取数据的方式在需要后端验证的地方添加token数据。
所有配置参考：

JWT_AUTH = {
    "JWT_ENCODE_HANDLER":
    "rest_framework_jwt.utils.jwt_encode_handler",    #加密处理函数

    "JWT_DECODE_HANDLER":
    "rest_framework_jwt.utils.jwt_decode_handler",    #解密处理函数

    "JWT_PAYLOAD_HANDLER":
    "rest_framework_jwt.utils.jwt_payload_handler",    #指定自定义函数以生成令牌有效内容

    "JWT_PAYLOAD_GET_USER_ID_HANDLER":
    "rest_framework_jwt.utils.jwt_get_user_id_from_payload_handler",    #如果您的存储username方式与默认的有效负载处理程序不同，请实现此功能以username从有效负载中获取

    "JWT_RESPONSE_PAYLOAD_HANDLER":        #负责控制登录或刷新后返回的响应数据。覆盖以返回自定义响应
    "rest_framework_jwt.utils.jwt_response_payload_handler",

    "JWT_SECRET_KEY": settings.SECRET_KEY,    #使用系统全局的SECRET_KEY
    "JWT_GET_USER_SECRET_KEY": None,    #这是JWT_SECRET_KEY的更强大版本。它是根据用户定义的，因此如果令牌被泄露，可以由所有者轻松更改。更改此值将使给定用户的所有令牌都无法使用。值应该是一个函数，接受用户作为唯一参数并返回它的密钥。
    "JWT_PUBLIC_KEY": None,
    "JWT_PRIVATE_KEY": None,
    "JWT_ALGORITHM": "HS256",    #加密算法，必须设置为一个RS256，RS384或RS512。
    "JWT_VERIFY": True,
    "JWT_VERIFY_EXPIRATION": True,
    "JWT_LEEWAY": 0,
    "JWT_EXPIRATION_DELTA": datetime.timedelta(seconds=300),    #设置有效期
    "JWT_AUDIENCE": None,
    "JWT_ISSUER": None,    #这是一个字符串，将根据iss令牌字段进行检查。默认是None（不要检查issJWT）
    "JWT_ALLOW_REFRESH": False,
    "JWT_REFRESH_EXPIRATION_DELTA": datetime.timedelta(days=7),    #设置令牌刷新时间，默认为datetime.timedelta(days=7)（7天）

    "JWT_AUTH_HEADER_PREFIX": "JWT",    #您可以修改需要与令牌一起发送的Authorization标头值前缀。默认值为JWT，用于令牌和授权标头的另一个常见值是Bearer。

    "JWT_AUTH_COOKIE": None,    #验证Authorization标头同时也验证cookie，一般不用

}

本文参考：https://lion1ou.win/2017/01/18/