开发组在开发过程中,都不可避免地遇到了一些困难或问题,但都最终想出办法克服了。我们认为这样的经验是有必要记录下来的,因此就有了【技术博客】。

# JWT的认证机制Django项目中应用

这篇技术博客基于软件工程课程的VisualPytorch之上。本文小部分参考了https://jwt.io/introduction/

前言-JWT是什么,为什么用JWT

在做绝大部分数据库系统时(网站、小程序),登录注册肯定是一个绕不开的功能。一般来说传统的解决方案是基于session机制的认证,也就是客户端发送用户名密码给服务器,服务器端验证后创建一个session,把session的id返回客户端,客户端每次请求时带着session的id以此作为验证。

从我的视角来看主要存在两个问题:

(1) 给服务器压力大

session一般保存在内存中,当然比较大的应用保存在Redis这类数据库中,通过session_id来做认证增加了访存次数,影响性能。

(2) 单点登录的问题

如果你的应用需要支持通过微信号、QQ号登录,session_id的方式显然很成问题,毕竟你不可能拿到腾讯的数据库里的内容。

这里就考虑了使用JWT机制来进行认证。JWT全称是JSON WEB TOKEN,如果使用JWT进行认证,服务器端不需要保存信息,因为JWT将信息加密到了token里。用户只需要每次请求的时候带着token即可,服务器会自己解密。

需要补充的一点是,JWT和session机制并不冲突,如果你的应用对于session有需求,可以使用JWT做认证,session做其他需求。

如果想比较详细地了解JWT,可以参考RFC7519

Django中JWT解决方案

有一个基于Django Restful接口的包可以用

pip install djangorestframework-jwt

详细使用方法参照官方文档

该中间件主要提供了三个接口

#获得token

from rest_framework_jwt.views import obtain_jwt_token

#刷新token

from rest_framework_jwt.views import refresh_jwt_token

#验证token

from rest_framework_jwt.views import verify_jwt_token

登录时调用obtain_jwt_token即可。

而对于需要验证用户权限的接口,需要在settings.py中添加

 'DEFAULT_AUTHENTICATION_CLASSES': [

        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',

        'rest_framework.authentication.SessionAuthentication',

        'rest_framework.authentication.BasicAuthentication'

    ]

随后在接口层中增加需要的权限即可自动利用jwt来验证(不需要调用上文提到的verify_jwt_token),例如

permission_classes = (permissions.IsAuthenticated,)

如何修改验证登录方式

这个其实和JWT无关,和Django有关,但既然都是一个项目下的,不妨多写一下,以防有需求。

方法重写Django中User的的后端类中的authenticate方法,并且在settings.py中添加

AUTHENTICATION_BACKENDS = [

    'user.utils.UserAuthBackend',  # 修改auth认证后端类,这里要写你自己新写的验证类

]

我重写验证方法的代码如下,仅供参考

from django.contrib.auth.backends import ModelBackend

from .models import User

from django.db.models import Q

class UserAuthBackend(ModelBackend):

    def authenticate(self, request, username=None, password=None, **kwargs):

        # 邮箱或用户名登录

        try:

            user = User.objects.get(Q(username=username) | Q(email=username))

        except User.DoesNotExist:

            return None

        else:

            if user.check_password(password) and self.user_can_authenticate(user):

                return user

关与token有效时间与刷新

这个中间价的默认设置一个token有效时间为300s,token与其子孙token的过期时间为7天。

也就是说每隔300s都必须刷新当前的token,而隔7天的话刷新也无用必须重新获取。

需要更改设置可以参考官方文档。

【技术博客】JWT的认证机制Django项目中应用的更多相关文章

  1. [技术博客]阿里云签名机制字符串的C语言实现

    [技术博客]阿里云签名机制字符串的C语言实现 问题描述见:阿里云签名机制 话不多说,上字符串函数转化函数代码 bool AlicloudRequest::sendV2Request() { if( q ...

  2. [技术博客] 用户验证码验证机制---redis缓存数据库的使用

    目录 问题引入 初识redis 实际应用 作者:马振亚 问题引入 在这次的开发过程中,我们的需求中有一个是普通用户可以通过特定的机制申请成为社长.因为只有部分人才能验证成功,所以这个最开始想了两种思路 ...

  3. 【技术博客】Django中文件下载的实现

    开发组在开发过程中,都不可避免地遇到了一些困难或问题,但都最终想出办法克服了.我们认为这样的经验是有必要记录下来的,因此就有了[技术博客]. Django中文件下载的实现 1.背景 在VisualPy ...

  4. [技术博客] Django中文件的保存与访问

    [技术博客] Django中文件的保存与访问 在TextMarking项目开发中,数据库需要保存用户上传的文本文档. 原型设计:用户点击上传文本->保存文本->文本发送到后端保存为文件. ...

  5. [技术博客]ubuntu+nginx+uwsgi+Django+https的部署

    ubuntu+nginx+uwsgi+Django+https部署文档 配置机器介绍 操作系统:Ubuntu 18.04.2 LTS 64位 python版本:Python 3.6.7 Django版 ...

  6. [技术博客]使用pylint实现django项目的代码风格检查

    使用pylint实现django项目的代码风格检查 前言 ​ 一个项目大多都是由一个团队来完成,如果没有统一的代码规范,那么每个人的代码的风格必定会有很大的差别.且不说会存在多个人同时开发同一模块的情 ...

  7. ******IT公司面试题汇总+优秀技术博客汇总

    滴滴面试题:滴滴打车数据库如何拆分 前端时间去滴滴面试,有一道题目是这样的,滴滴每天有100万的订单,如果让你去设计数据库,你会怎么去设计? 当时我的想法是根据用户id的最后一位对某个特殊的值取%操作 ...

  8. 【转】【技术博客】Spark性能优化指南——高级篇

    http://mp.weixin.qq.com/s?__biz=MjM5NjQ5MTI5OA==&mid=2651745207&idx=1&sn=3d70d59cede236e ...

  9. [转]有哪些值得关注的技术博客(Java篇)

    有哪些值得关注的技术博客(Java篇)   大部分程序员在自学的道路上不知道走了多少坑,这个视频那个网站搞得自己晕头转向.对我个人来说我平常在学习的过程中喜欢看一些教程式的博客.这些博客的特点: 1. ...

随机推荐

  1. React组件中对子组件children进行加强

    React组件中对子组件children进行加强 问题 如何对组件的children进行加强,如:添加属性.绑定事件,而不是使用<div>{this.props.children}< ...

  2. 2. vue基础-vue-cli(vue脚手架)

    1. 作用 ​ 快速创建一个基于webpack模板的项目 2. 安装工具 安装webpack:使用npm全局安装webpack,打开命令行工具,输入 npm install webpack -g,安装 ...

  3. Servlet HttpServletResponse对象、HttpServletRequest对象

    HttpServletResponse对象(response)的常用方法 setCharacterEncoding("utf-8")    //设置响应的编码字符集 setCont ...

  4. Vue 中 $nextTick() 的应用

    Vue 在更新 DOM 时是异步执行的. 只要侦听到数据变化,Vue 将开启一个队列,并缓冲在同一事件循环中发生的所有数据变更.如果同一个 watcher 被多次触发,只会被推入到队列中一次.这种在缓 ...

  5. vue 指令中el 的 parentNode 为空的问题

    在项目中,突然发现在用vue指令的时候,发现元素el的父元素parentNode变成了null. 代码: if (el.parentNode && !Vue.prototype.$_h ...

  6. pandas 之 多层索引

    In many applications, data may be spread across a number of files or datasets or be arranged in a fo ...

  7. Go入门:创建第一个Go工程

    前言 我是一名iOS开发. 因为公司后台都用的Go. 因为对服务端不了解. 所以想自己学习学习. 环境 因为自己的电脑是mac.然后在阿里云买的是centOS的服务器. 所以下面搭建的环境都是在cen ...

  8. ansible之yum模块

    > YUM (/usr/lib/python2.7/site-packages/ansible/modules/packaging/os/yum.py) Installs, upgrade, d ...

  9. php命令模式(command pattern)

    ... <?php /* The command pattern decouples the object that executes certain operations from objec ...

  10. 【转】Linux虚拟网络基础——tap

    原文:https://blog.csdn.net/chengqiuming/article/details/80071073 ------------------------------------- ...