5分钟,快速入门 Python JWT 接口认证
off999 2024-10-17 11:45 70 浏览 0 评论
来源:AirPython
作者:星安果
1. 前言
大家好,我是安果!
为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据正常及未过期才会返回数据,否则直接报错
本篇文章以 Django 为例,聊聊后端 JWT 接口认证的操作流程
2. JWT 介绍
JWT 全称为 JSON Web Token,是目前主流的跨域认证解决方案
数据结构由 3 部分组成,中间由「 . 」分割开
它们分别是:
- Header 头部
- Payload 负载
- Signature 签名
# JWT 数据的格式
# 组成方式:头部.负载.签名
Header.Payload.Signature
其中
Header 用于设置签名算法及令牌类型,默认签名算法为 「 HS256 」,令牌类型可以设置为「 JWT 」
Payload 用于设置需要传递的数据,包含:iss 签发人、exp 过期时间、iat 签发时间等
Signature 用于对 Header 和 Payload 进行签名,默认使用的签名算法为 Header 中指定的算法
# JWT 数据组成
# Header. Payload. Signature
# Header:{ "alg": "HS256","typ": "JWT"}
# Payload:iss、exp、iat等
# Signature:签名
Signature = HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
PS:base64UrlEncode 相比 Base64 算法,会将结果中的「 = 」省略、「 + 」替换成「 - 」、「 / 」替换成「 _ 」
3. 实战一下
首先,在虚拟环境中安装 JWT 依赖包
# 安装jwt依赖包
pip3 install pyjwt
然后,定义一个方法用于生成 JWT Token
需要注意的是,生成 JWT Token 时需要指定过期时间、加密方式等
import time
import jwt
from django.conf import settings
def generate_jwt_token(user):
"""
生成一个JWT Token
:param user:
:return:
"""
# 设置token的过期时间戳
# 比如:设置7天过期
timestamp = int(time.time()) + 60 * 60 * 24 * 7
# 加密生成Token
# 加密方式:HS256
return jwt.encode({"userid": user.pk, "exp": timestamp}, settings.SECRET_KEY,'HS256')
接着,编写一个认证类
该类继承于「 BaseAuthentication 」基类,重写内部函数「 authenticate() 」,对请求参数进行 JWT 解密,并进行数据库查询,只有认证通过才返回数据,否则抛出异常
import time
import jwt
from django.conf import settings
from django.contrib.auth import get_user_model
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication, get_authorization_header
User = get_user_model()
class JWTAuthentication(BaseAuthentication):
"""自定义认证类"""
keyword = 'jwt'
model = None
def get_model(self):
if self.model is not None:
return self.model
from rest_framework.authtoken.models import Token
return Token
"""
A custom token model may be used, but must have the following properties.
* key -- The string identifying the token
* user -- The user to which the token belongs
"""
def authenticate(self, request):
auth = get_authorization_header(request).split()
if not auth or auth[0].lower() != self.keyword.lower().encode():
return None
if len(auth) !=2:
raise exceptions.AuthenticationFailed("认证异常!")
# jwt解码
try:
jwt_token = auth[1]
jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256')
# 获取userid
userid = jwt_info.get("userid")
# 查询用户是否存在
try:
user = User.objects.get(pk=userid)
return user, jwt_token
except Exception:
raise exceptions.AuthenticationFailed("用户不存在")
except jwt.ExpiredSignatureError:
raise exceptions.AuthenticationFailed("抱歉,该token已过期!")
最后,在视图集 ViewSet 中,只需要在属性「 authentication_classes 」中指定认证列表即可
from rest_framework import viewsets
from .models import *
from .serializers import *
from .authentications import *
class GoodsViewSet(viewsets.ModelViewSet):
# 所有商品数据
queryset = Goods.objects.all()
# 序列化
serializer_class = GoodsSerializer
# JWT授权
authentication_classes = [JWTAuthentication]
4. 最后
在实际项目中,一般在登录的时候生成 JWT Token,后续接口中只需要在请求头中设置 JWT Token 即可正常返回数据
import requests
url = "***.***.****"
payload={}
headers = {
'AUTHORIZATION': 'jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM'
}
response = requests.request("GET", url, headers=headers, data=payload)
print(response.text)
如果你觉得文章还不错,请大家 点赞、分享、留言 下,因为这将是我持续输出更多优质文章的最强动力!
相关推荐
- Alist 玩家请进:一键部署全新分支 Openlist,看看香不香!
-
Openlist(其前身是鼎鼎大名的Alist)是一款功能强大的开源文件列表程序。它能像“万能钥匙”一样,解锁并聚合你散落在各处的云盘资源——无论是阿里云盘、百度网盘、GoogleDrive还是...
- 白嫖SSL证书还自动续签?这个开源工具让我告别手动部署
-
你还在手动部署SSL证书?你是不是也遇到过这些问题:每3个月续一次Let'sEncrypt证书,忘了就翻车;手动配置Nginx,重启服务,搞一次SSL得花一下午;付费证书太贵,...
- Docker Compose:让多容器应用一键起飞
-
CDockerCompose:让多容器应用一键起飞"曾经我也是一个手动启动容器的少年,直到我的膝盖中了一箭。"——某位忘记--link参数的运维工程师引言:容器化的烦恼与...
- 申请免费的SSL证书,到期一键续签
-
大家好,我是小悟。最近帮朋友配置网站HTTPS时发现,还有人对宝塔面板的SSL证书功能还不太熟悉。其实宝塔早就内置了免费的Let'sEncrypt证书申请和一键续签功能,操作简单到连新手都能...
- 飞牛NAS部署TVGate Docker项目,实现内网一键转发、代理、jx
-
前面分享了两期TVGate:Q大的转发代理工具TVGate升级了,操作更便捷,增加了新的功能跨平台内网转发神器TVGate部署与使用初体验现在项目已经开源,并支持Docker部署,本文介绍如何通...
- Docker Compose 编排实战:一键部署多容器应用!
-
当项目变得越来越复杂,一个服务已经无法满足需求时,你可能需要同时部署数据库、后端服务、前端网页、缓存组件……这时,如果还一个一个手动dockerrun,简直是灾难这就是DockerCompo...
- 深度测评:Vue、React 一键部署的神器 PinMe
-
不知道大家有没有这种崩溃瞬间:领导突然要看项目Demo,客户临时要体验新功能,自己写的小案例想发朋友圈;找运维?排期?还要走工单;自己买服务器?域名、SSL、Nginx、防火墙;本地起服务?断电、关...
- 超简单!一键启动多容器,解锁 Docker Compose 极速编排秘籍
-
想要用最简单的方式在本地复刻一套完整的微服务环境?只需一个docker-compose.yml文件,你就能一键拉起N个容器,自动组网、挂载存储、环境隔离,全程无痛!下面这份终极指南,教你如何用...
- 日志文件转运工具Filebeat笔记_日志转发工具
-
一、概述与简介Filebeat是一个日志文件转运工具,在服务器上以轻量级代理的形式安装客户端后,Filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并将来自...
- K8s 日志高效查看神器,提升运维效率10倍!
-
通常情况下,在部署了K8S服务之后,为了更好地监控服务的运行情况,都会接入对应的日志系统来进行检测和分析,比如常见的Filebeat+ElasticSearch+Kibana这一套组合...
- 如何给网站添加 https_如何给网站添加证书
-
一、简介相信大家都知道https是更加安全的,特别是一些网站,有https的网站更能够让用户信任访问接下来以我的个人网站五岁小孩为例子,带大家一起从0到1配置网站https本次配置的...
- 10个Linux文件内容查看命令的实用示例
-
Linux文件内容查看命令30个实用示例详细介绍了10个Linux文件内容查看命令的30个实用示例,涵盖了从基本文本查看、分页浏览到二进制文件分析的各个方面。掌握这些命令帮助您:高效查看各种文本文件内...
- 第13章 工程化实践_第13章 工程化实践课
-
13.1ESLint+Prettier代码规范统一代码风格配置//.eslintrc.jsmodule.exports={root:true,env:{node...
- 龙建股份:工程项目中标_龙建股份有限公司招聘网
-
404NotFoundnginx/1.6.1【公告简述】2016年9月8日公告,公司于2016年9月6日收到苏丹共和国(简称“北苏丹”)喀土穆州基础设施与运输部公路、桥梁和排水公司出具的中标通知书...
- 福田汽车:获得政府补助_福田 补贴
-
404NotFoundnginx/1.6.1【公告简述】2016年9月1日公告,自2016年8月17日至今,公司共收到产业发展补助、支持资金等与收益相关的政府补助4笔,共计5429.08万元(不含...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (77)
- python封装 (57)
- python写入txt (66)
- python读取文件夹下所有文件 (59)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)