一. jwt token校验源码简析

1.1 前言

　　之前使用jwt签发了token，里面的头部包含了加密的方式、是否有签名等，而载荷中包含用户名、用户主键、过期时间等信息，最后的签名还使用了摘要算法进行不可逆的加密。

　　同时检验签名时还需进行签名的碰撞检测，判断该token是否合法。jwt提供了一个校验token的认证方法，使用时只需要CBV中进行局部身份验证配置即可。使用如下：

from rest_framework_jwt.authentication import JSONWebTokenAuthentication

class 类名(JSONWebTokenAuthentication):

    authentication_classes = [JSONWebTokenAuthentication]

　　不过自身的校验还存在一些缺陷，不能完全满足的需求，这时候我们可以继承该类后重写其中校验token的方法，具体是什么方法，我们接着往下看。

1.2 jwt的authenticate方法

　　以前走过APIView的源码，从源码得知身份校验走的是类中的authenticate的方法。定位至JSONWebTokenAuthentication，依据属性的查找顺序找到authenticate方法：

　　可以看出主要的方法是以上三个，接下来一一点进去瞅瞅（遵循属性查找顺序），首先是get_jwt_value(request)方法：

　　看看get_jwt_value中的get_authorization_header方法：

　　回到authenticate方法，此时jwt_value的值要么是None，要么是token：

　　再看看重点的校验token的方法jwt_decode_handler(jwt_value)：

　　上述jwt.decode返回的载荷，有兴趣可以点进去看看源码，这里直接略过。

　　往下看看authenticate_credentials(payload)方法：

　　该函数返回一个user对象，最终由authenticate方法返回该user对象及token。不过试验时发现get_jwt_value方法返回的是None而不是token时，authenticate方法return None，这时也能通过校验，所以我们可以重写authenticate方法，对get_jwt_value中用于取头部token信息的get_authorization_header返回的值进行判断，增加健壮性。

import jwt

from rest_framework.exceptions import AuthenticationFailed

from rest_framework_jwt.authentication import jwt_decode_handler

from rest_framework_jwt.authentication import get_authorization_header

from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication

class JSONWebTokenAuthentication(BaseJSONWebTokenAuthentication):

        def authenticate(self, request):

            # 采用drf获取token的手段 - HTTP_AUTHORIZATION - Authorization

            token = get_authorization_header(request)

            if not token:

                raise AuthenticationFailed('Authorization 字段是必须的')

            # 可以添加反扒措施：原功能是token有前缀

            # drf-jwt认证校验算法

            try:

                payload = jwt_decode_handler(token)

            except jwt.ExpiredSignature:

                raise AuthenticationFailed('签名过期')

            except jwt.InvalidTokenError:

                raise AuthenticationFailed('非法用户')

            user = self.authenticate_credentials(payload)

            # 将认证结果丢该drf

            return user, token

AUTHENTICATION_BACKENDS = ['user.utils.JWTModelBackend']

二. jwt的RefreshJSONWebToken

　　jwt生成token后，因为token有个过期时间，而这个时间默认是五分钟，之后客户端携带token重新访问时，会调用jwt的RefreshJSONWebToken中的RefreshJSONWebTokenSerializer类中的validate方法，来刷新客户端的token，而刷新的时间也是有上限的，默认是七天，可以在项目下的配置中自定义。

# 配置的默认过期时间

'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300)

# token刷新的最大时间间隔，默认七天

'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7)

　　如自定义过期时间：

import datetime

JWT_AUTH = {

    # 过期时间

    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),

}

　　接下来看看RefreshJSONWebTokenSerializer的源码。

　　让我们看看validate方法：

　　validate方法源码如下：

def validate(self, attrs):

    token = attrs['token']

    payload = self._check_payload(token=token)

    user = self._check_user(payload=payload)

    # Get and check 'orig_iat'

    orig_iat = payload.get('orig_iat')

    if orig_iat:

        # Verify expiration

        refresh_limit = api_settings.JWT_REFRESH_EXPIRATION_DELTA

        if isinstance(refresh_limit, timedelta):

            refresh_limit = (refresh_limit.days * 24 * 3600 +

                             refresh_limit.seconds)

        expiration_timestamp = orig_iat + int(refresh_limit)

        now_timestamp = timegm(datetime.utcnow().utctimetuple())

        if now_timestamp > expiration_timestamp:

            msg = _('Refresh has expired.')

            raise serializers.ValidationError(msg)

    else:

        msg = _('orig_iat field is required.')

        raise serializers.ValidationError(msg)

    new_payload = jwt_payload_handler(user)

    new_payload['orig_iat'] = orig_iat

    return {

        'token': jwt_encode_handler(new_payload),

        'user': user

    }

django-jwt token校验源码简析的更多相关文章

SpringMVC学习（一）——概念、流程图、源码简析
学习资料:开涛的<跟我学SpringMVC.pdf> 众所周知,springMVC是比较常用的web框架,通常整合spring使用.这里抛开spring,单纯的对springMVC做一下总 ...
Flink源码阅读（一）——Flink on Yarn的Per-job模式源码简析
一.前言个人感觉学习Flink其实最不应该错过的博文是Flink社区的博文系列,里面的文章是不会让人失望的.强烈安利:https://ververica.cn/developers-resource ...
0002 - Spring MVC 拦截器源码简析：拦截器加载与执行
1.概述 Spring MVC中的拦截器(Interceptor)类似于Servlet中的过滤器(Filter),它主要用于拦截用户请求并作相应的处理.例如通过拦截器可以进行权限验证.记录请求信息的日 ...
OpenStack之Glance源码简析
Glance简介 OpenStack镜像服务器是一套虚拟机镜像发现.注册.检索. glance架构图: Glance源码结构: glance/api:主要负责接收响应镜像管理命令的Restful请求, ...
DRF之APIView源码简析
一. 安装djangorestframework 安装的方式有以下三种,注意,模块就叫djangorestframework. 方式一:pip3 install djangorestframework ...
AFNetworking源码简析
AFNetworking基本是苹果开发中网络请求库的标配,它是一个轻量级的网络库,专门针对iOS和OS X的网络应用设计,具有模块化的架构和丰富的APIs接口,功能强大并且使用简单,深受苹果应用开发人 ...
spring ioc源码简析
ClassPathXmlApplicationContext 首先我们先从平时启动spring常用的ClassPathXmlApplicationContext开始解析 ApplicationCont ...
源码简析XXL-JOB的注册和执行过程
一,前言 XXL-JOB是一个优秀的国产开源分布式任务调度平台,他有着自己的一套调度注册中心,提供了丰富的调度和阻塞策略等,这些都是可视化的操作,使用起来十分方便. 由于是国产的,所以上手还是比较快的 ...
ElementUI 源码简析——源码结构篇
ElementUI 作为当前运用的最广的 Vue PC 端组件库,很多 Vue 组件库的架构都是参照 ElementUI 做的.作为一个有梦想的前端(咸鱼),当然需要好好学习一番这套比较成熟的架构. ...

随机推荐

2000字谏言，给那些想学Python的人，建议收藏后细看！
1. 这几天陆续收到很多读者.球友的留言.私信,说要怎么学Python?有没有基础的,偏小白的学习方法?我的回答是:等我统一答复. 小胖从不食言,今天就来说说我觉得一个零基础.想转行.一直不得法的人应 ...
查漏补缺：Linux进程与线程的区别
1.概念的区别进程:是具有独立功能的程序在一个数据集合上运行的过程,是系统进行资源分配的基本单位,也是调度运行的基本单位.一个进程中可以包含多个线程. 线程:是进程的一个实体,是CPU调度和分派的基 ...
Web 项目刚要打包，却找不到项目资源？
编程无小事,不管是语言层面还是工具层面,都要熟悉,方能在编程中过程中众享丝滑,不然就随处卡顿,耗费时间不说,还没有任何成就感.撸码过程中用 Idea 也很多年了,工具或环境遇到问题,问下度娘就完事了, ...
C#面向对象--属性
一.属性(Property)作为类和结构的成员,是对字段的一种封装方式,实际上是一种特殊的方法,被称为访问器(Accessor),从而隐藏实现和验证代码,有助于提高字段读取和赋值的安全性和灵活性: 1 ...
Python使用input方法输入字母显示NameError
如图,每次用input方法,输入数字正常,但是输入字母就会报错. 到网上查找资料之后,明白了原来在python2.7中应该用raw_input. 修改之后,代码就正常了.
java反序列化-ysoserial-调试分析总结篇(3)
前言: 这篇文章主要分析commoncollections3,这条利用链如yso描述,这个与cc1类似,只是反射调用方法是用的不是invokeTransformer而用的是InstantiateTra ...
【Mood】在COVID-19疫情中
看完网课(这还得从一只蝙蝠说起...),本来准备刷几道题. 还是来记录下这次事件吧. 2月1号,病毒感染人数破万. 接下来4天(今日6号)疫情走向爆发期. 每日平均新增发病人数达到了3000~4000 ...
sql -- 获取连续签到的用户列表
签到表: 需求:统计连续签到的用户 1.根据用户和日期分组 select user_name, sign_date from user_sign group by user_name, sign_d ...
py函数式编程
函数式编程把计算视为函数而非指令,纯函数式编程不需要变量,没有副作用,测试简单,python支持的函数式编程不是纯函数式编程,允许有变量存在,支持高阶函数,支持闭包,有限度的支持匿名函数变量可以指向 ...