给django添加jwt授权

最新推荐文章于 2024-10-19 14:53:08 发布
原创 最新推荐文章于 2024-10-19 14:53:08 发布 · 360 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt #django #python

本文详细介绍了如何在Django项目中实现JWT(JSON Web Token)认证流程,包括安装pyjwt库、创建与解析token的方法,以及如何使用装饰器进行权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

部分内容参考于jwt认证流程

代码实现(持续更新中):Gitee

安装

首先安装pyjwt:

pip3 install pyjwt

使用

创建token

在根目录目录新建util文件夹,新建jwt_auth.py,代码如下:

import jwt
import datetime
from django.conf import settings
from jwt import exceptions

JWT_SALT = settings.SECRET_KEY


def create_token(payload, timeout=20):
    """
    :param payload:  例如:{'user_id':1,'username':'wupeiqi'}用户信息
    :param timeout: token的过期时间,默认20分钟
    :return:
    """
    headers = {
        'typ': 'jwt',
        'alg': 'HS256'
    }
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    result = jwt.encode(payload=payload, key=JWT_SALT, algorithm="HS256", headers=headers).decode('utf-8')
    return result


def parse_payload(token):
    """
    对token进行和发行校验并获取payload
    :param token:
    :return:
    """
    result = {'status': False, 'data': None, 'error': None}
    try:
        verified_payload = jwt.decode(token, JWT_SALT, True)
        result['status'] = True
        result['data'] = verified_payload
    except exceptions.ExpiredSignatureError:
        result['error'] = 'token已失效'
    except jwt.DecodeError:
        result['error'] = 'token认证失败'
    except jwt.InvalidTokenError:
        result['error'] = '非法的token'
    return result

其中JWT_SALT是加密需要用到的盐,我这里取的是Django的默认的SECRET

在你的登录接口使用create_token方法:

# 登录获取token
@require_http_methods(["POST"])
@method_decorator(csrf_exempt, name='dispatch')
def login(request):
    response = {}
    try:
        data = json.loads(request.body)
        user = data.get('username')
        pwd = hashlib.sha1(data.get('password').encode('utf-8')).hexdigest()
        user_obj = Creater.objects.filter(name=user,password=pwd).first()
        if not user_obj:
            response['msg'] = '用户账户或密码错误'
            response['error_num'] = 1
            return JsonResponse(response)
        token = create_token({'username': user})
        user_obj.token = token
        user_obj.save()
        response['token'] = token
        response['msg'] = 'SUCCESS'
        response['error_num'] = 0          
    except Exception as e:
        response['msg'] = str(e)
        response['error_num'] = 1
    return JsonResponse(response)

思路:显示从数据库中获取信息判断用户是否存在,如果存在,执行token = create_token({'username': user}),并将token存入数据库中

解析token

我们需要用到util中的另一个方法parse_payload,我打算用装饰器的方式写,这样可以区分一些路由需要权限与否,首先在根目录新建decorator文件夹,新建jwt.py,代码如下:

from django.conf import settings
from django.http import JsonResponse
from django.contrib.auth import get_user_model
from django.core.exceptions import PermissionDenied
from utils.jwt_auth import parse_payload
  
 
def auth_permission_required():
    def decorator(view_func):
        def _wrapped_view(request, *args, **kwargs):
                try:
                    authorization = request.META.get('HTTP_AUTHORIZATION', '')
                    auth = authorization.split()
                except AttributeError:
                    return JsonResponse({"code": 401, "message": "No authenticate header"})
 
                # 用户通过API获取数据验证流程
                if not auth:
                    return JsonResponse({'error': '未获取到Authorization请求头', 'status': False})
                if auth[0].lower() != 'bearer':
                    return JsonResponse({'error': 'Authorization请求头中认证方式错误', 'status': False})
                if len(auth) == 1:
                    return JsonResponse({'error': "非法Authorization请求头", 'status': False})
                elif len(auth) > 2:
                    return JsonResponse({'error': "非法Authorization请求头", 'status': False})
                token = auth[1]
                result = parse_payload(token)
                if not result['status']:
                    return JsonResponse(result)
 
                return view_func(request, *args, **kwargs)
 
        return _wrapped_view
 
    return decorator

定义了装饰器就可以在view中引入它,在你需要权限验证的地方加上就可以了:

# 创建文章
@require_http_methods(["POST"])
@method_decorator(csrf_exempt, name='dispatch')
@auth_permission_required()
def create_article(request):
    response = {}
    try:
        data = json.loads(request.body)
        category = Category.objects.get(name=data.get('category'))
        name = Creater.objects.get(name=data.get('name'))
        article = Article()
        article.title = data.get('title')
        article.content = data.get('content')
        article.category = category
        article.name = name
        article.save()
        response['msg'] = 'success'
        response['error_num'] = 0
    except Exception as e:
        response['msg'] = str(e)
        response['error_num'] = 1

    return JsonResponse(response)
django添加jwt
lvbu89757的博客
06-28 1268
下载jwt包 在终端中进入当前项目的虚拟环境,键入 pip install djangorestframework-jwt pip install jwt 下载jwtJWT作用 每个用户在访问一些只有自己才能访问到的界面时,我们需要给一个凭证让这个用户的访问能够找到数据库中他自己的数据,但是这个凭证如果不加密,用户安全就得不到保障,这就是jwt的作用了。 jwt官方文档 简单配置JWT使之可...
django中的权限认证token和jwt实操记录
qq_32656561的博客
08-11 2311
建立项目 假定已经创建好虚拟环境,虚拟环境内安装了: asgiref 3.2.10 Django 3.1 djangorestframework 3.11.1 pip 20.0.2 PyJWT 1.7.1 pytz 2020.1 setuptools 46.1.3 sqlparse 0.3.1 wheel
使用django的rest_framework_jwt实现权限认证
qq_45632139的博客
05-22 1392
1、JWT简介 JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(Self-contained) 负载中包含了所有用户所需要的信息,避免了多次查询数据库 2.JWT的组成 一个JWT由三个部分组成:header,
django rest jwt vue 跨域问题
weixin_36646275的博客
10-25 254
开发十年,就只剩下这套Java开发体系了 >>>    ...
django_rest-vuejs-auth:使用JWT令牌,Vuejs(前端)和Django-Rest(后端)的身份验证项目
02-04
使用JWT令牌,Vue.js(前端)和Django-Rest(后端)的身份验证项目。 流: 用户在客户端(Vue.js)输入其凭据。 该信息将转发到后端API。 如果信息有效,则生成访问和刷新令牌,然后将其发送回客户端。 令牌存储在Vue.js store(Vuex)上。 “ / mods /”是后端的路径,是示例受保护的视图。 它只能处理GET请求。 客户端必须发送带有GET请求的访问令牌,以证明用户已通过身份验证才能查看此路径。 客户端上的“ / downloads /”路由显示从后端的“ / mods /”路径获取的数据。 这是使用axios完成的。 如果服务器返回401(表示访
django应用JWT(JSON Web Token)实战
学而思(xiejava的blog)
09-22 3124
在前后端分离的项目中,前后端进行身份验证通常用JWT来进行,JWT 提供了一个理想的认证解决方案,用来保护 RESTful API,确保只有经过认证的用户才能访问受保护的资源。基于前端框架(如React, Angular, Vue.js)的单页面应用 (SPA),开发者通过使用 JWT可以获得一种简单、安全、高效的方式来处理用户认证和授权的问题。本文通过django项目的实战来说明如何应用和使用JWT
如何在 Django 中实现 JWT 认证
weixin_62335293的博客
07-21 508
如何在 Django 中实现 JWT 认证
Django如何使用jwt获取用户信息
09-17
Django使用JWT获取用户信息主要是通过JWT库进行配置,设置认证类,创建登录视图来获取JWT,然后在前端通过拦截器在每次请求中添加JWT作为认证信息。这种方式避免了传统Cookie和Session在分布式环境中的问题,提高了...
Django-JWT的使用
蟹老板的博客
01-29 1095
JWT应用: 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资.
Django drf jwt token认证前后端使用流程
cm_panpan的博客
10-19 1545
后端使用处理 JWT 认证,配置好相关路由和权限保护。前端通过登录接口获取和,然后在调用受保护 API 时,在请求头中携带。当过期时,前端可以使用获取新的。这样,前后端就可以通过 JWT 来实现安全的认证和授权流程。
Django REST Framework完整教程-认证与权限-JWT的使用
插件开发
10-18 4630
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 写入权限只允许给 article 的作者。
Django从零开始——Simple JWT鉴权变的如此简单
Ryuuku的博客
11-08 1535
要求 Python(3.7、3.8、3.9) Django (2.2, 3.1, 3.2) Django REST 框架(3.10、3.11、3.12) 安装 使用 pip 安装简单的 JWT: pip install djangorestframework-simplejwt 然后,django 项目settings.py中,添加 rest_framework_simplejwt.authentication.JWTAuthentication到身份验证类列表中: REST_FRAMEWORK =
.Net Core之JWT授权
虚幻私塾
03-03 1596
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一、什么是JWT 文章参考:https://www.leo96.com/article/detail/55 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义 了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经
Django中使用jwt--超详细
pygodnet的博客
12-15 5840
一:什么是jwt? jwt被广泛用于各类鉴权中,其中jwt token如下所示: b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkaW1uIn0.MeQOdDiiI39mBpgbFNnBVNdJMDhUpRTxziPeFJKB2fA' jwt token   JWT生成的Token是一个用两个点(.)分割的长字符串   点分割成的三部分分别是Header头部,Payload负载,Signature签名:Header.Payload.Sig
Day 28 JWT认证相关
A1L__的博客
11-17 1086
Day 28 JWT认证相关 一、JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证,我们不再shiyongsession认证机制,而使用Json Web Token认证机制。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服
django实现JWT
ZJX_959的博客
09-18 756
json web token的结构 jwt的结构由三个部分组成: Header Payload Signature header头的格式如下 headers = { #typ 属性表示令牌类型,这里就是 JWT。 'typ': ' jwt', # alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256 就是 HMAC SHA256 算法 'alg
django自带的权限系统和User和jwt
python的神奇之旅
01-03 1147
权限系统说明 -- django 自带的user数据迁移后会产生几个表auth_group、auth_group_permissions、auth_permission、user_user、user_user_groups、user_user_user_permissions -- 权限系统分为user、group、permission、model。可以设置group/user对每张表的权限设置 -- jwt和user的权限分开验证,jwt对token进行验证,user需要通过表查询进行验证(还没查到
JWT 授权校验技术
YangangwuWuyangang的专栏
12-11 261
https://blog.csdn.net/sxdtzhaoxinguo/article/details/77965226
Django实现API配合JWT进行用户验证的方法
热门推荐
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目中通过 JWT 实现 API 认证控制。从 Session 与 JWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
django-ninja jwt
最新发布
04-16
### 集成JWT认证到Django-Ninja 在现代Web开发中,JSON Web Tokens (JWT) 是一种广泛使用的身份验证机制。对于 `django-ninja` 这一轻量级API框架来说,集成JWT可以显著增强其安全性并简化用户会话管理。 #### 使用PyJWT库实现JWT认证 为了在 `django-ninja` 中启用JWT支持,通常需要依赖于第三方库如 `PyJWT` 或者更高级别的封装工具如 `djangorestframework-simplejwt` 来处理令牌的生成和解析过程[^1]。 以下是具体实现方法: 1. **安装必要的包** 开始之前,请确保已安装所需的Python包: ```bash pip install djangorestframework_simplejwt pyjwt django-ninja ``` 2. **配置settings.py** 将以下内容添加至项目的 `settings.py` 文件中以便激活Simple JWT作为默认的身份验证类之一: ```python INSTALLED_APPS += ['rest_framework', 'rest_framework_simplejwt'] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_simplejwt.authentication.JWTAuthentication', ) } ``` 3. **创建自定义Auth方案** 创建一个新的文件夹结构用于存放自定义的身份验证逻辑, 并在此基础上扩展原有的功能来适配ninja的需求. ```python import jwt from datetime import timedelta, datetime from ninja.security import HttpBearer SECRET_KEY = "your_secret_key" class CustomAuth(HttpBearer): def authenticate(self, request, token): try: payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256']) return {"id":payload['user_id']} except Exception as e: raise ValueError(f"Invalid Token {e}") auth_scheme = CustomAuth() ``` 4. **保护路由资源** 当前已经具备了基本的能力去校验传入请求中的token有效性,在实际应用过程中可以通过装饰器的形式指定哪些接口需要经过授权才能访问。 ```python from ninja import Router router = Router(auth=auth_scheme) @router.get("/protected/") def protected(request): return f"Protected endpoint - User ID:{request.auth['id']}" ``` 以上步骤展示了如何利用现有的DRF组件快速搭建起一套基于JWT的工作流,并将其无缝嵌入到Ninja API当中[^2]。 ```python import jwt from datetime import timedelta, datetime from ninja.security import HttpBearer SECRET_KEY = "supersecret" class AuthBearer(HttpBearer): def authenticate(self, request, token): try: decoded_payload = jwt.decode( token, SECRET_KEY, algorithms=["HS256"] ) expiration_time = datetime.fromtimestamp(decoded_payload["exp"]) if expiration_time < datetime.utcnow(): return None return {'sub':decoded_payload['sub'], 'role':'admin'} except Exception as ex: print(ex) return None auth_bearer = AuthBearer() @router.post('/login') def login(request, username:str, password:str): # Assume we have some logic here validating credentials... issued_at = int(datetime.now().timestamp()) expires_in_seconds = 86400 # One day validity period. exp = issued_at + expires_in_seconds encoded_jwt = jwt.encode({ 'iss': 'myserver', 'aud': 'webapp', 'iat':issued_at , 'exp': exp, 'sub':username}, key=SECRET_KEY , algorithm='HS256') return {"access_token":encoded_jwt,"expires_in":expires_in_seconds} ``` ### 注意事项 尽管上述代码片段提供了一个简单的解决方案,但在生产环境中部署时还需要考虑更多因素比如刷新策略、黑名单维护以及跨域资源共享等问题[^3]. 相关问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值