开发组在开发过程中,都不可避免地遇到了一些困难或问题,但都最终想出办法克服了。我们认为这样的经验是有必要记录下来的,因此就有了【技术博客】。

# JWT的认证机制Django项目中应用

这篇技术博客基于软件工程课程的VisualPytorch之上。本文小部分参考了https://jwt.io/introduction/

前言-JWT是什么,为什么用JWT

在做绝大部分数据库系统时(网站、小程序),登录注册肯定是一个绕不开的功能。一般来说传统的解决方案是基于session机制的认证,也就是客户端发送用户名密码给服务器,服务器端验证后创建一个session,把session的id返回客户端,客户端每次请求时带着session的id以此作为验证。

从我的视角来看主要存在两个问题:

(1) 给服务器压力大

session一般保存在内存中,当然比较大的应用保存在Redis这类数据库中,通过session_id来做认证增加了访存次数,影响性能。

(2) 单点登录的问题

如果你的应用需要支持通过微信号、QQ号登录,session_id的方式显然很成问题,毕竟你不可能拿到腾讯的数据库里的内容。

这里就考虑了使用JWT机制来进行认证。JWT全称是JSON WEB TOKEN,如果使用JWT进行认证,服务器端不需要保存信息,因为JWT将信息加密到了token里。用户只需要每次请求的时候带着token即可,服务器会自己解密。

需要补充的一点是,JWT和session机制并不冲突,如果你的应用对于session有需求,可以使用JWT做认证,session做其他需求。

如果想比较详细地了解JWT,可以参考RFC7519

Django中JWT解决方案

有一个基于Django Restful接口的包可以用

pip install djangorestframework-jwt

详细使用方法参照官方文档

该中间件主要提供了三个接口

#获得token

from rest_framework_jwt.views import obtain_jwt_token

#刷新token

from rest_framework_jwt.views import refresh_jwt_token

#验证token

from rest_framework_jwt.views import verify_jwt_token

登录时调用obtain_jwt_token即可。

而对于需要验证用户权限的接口,需要在settings.py中添加

 'DEFAULT_AUTHENTICATION_CLASSES': [

        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',

        'rest_framework.authentication.SessionAuthentication',

        'rest_framework.authentication.BasicAuthentication'

    ]

随后在接口层中增加需要的权限即可自动利用jwt来验证(不需要调用上文提到的verify_jwt_token),例如

permission_classes = (permissions.IsAuthenticated,)

如何修改验证登录方式

这个其实和JWT无关,和Django有关,但既然都是一个项目下的,不妨多写一下,以防有需求。

方法重写Django中User的的后端类中的authenticate方法,并且在settings.py中添加

AUTHENTICATION_BACKENDS = [

    'user.utils.UserAuthBackend',  # 修改auth认证后端类,这里要写你自己新写的验证类

]

我重写验证方法的代码如下,仅供参考

from django.contrib.auth.backends import ModelBackend

from .models import User

from django.db.models import Q

class UserAuthBackend(ModelBackend):

    def authenticate(self, request, username=None, password=None, **kwargs):

        # 邮箱或用户名登录

        try:

            user = User.objects.get(Q(username=username) | Q(email=username))

        except User.DoesNotExist:

            return None

        else:

            if user.check_password(password) and self.user_can_authenticate(user):

                return user

关与token有效时间与刷新

这个中间价的默认设置一个token有效时间为300s,token与其子孙token的过期时间为7天。

也就是说每隔300s都必须刷新当前的token,而隔7天的话刷新也无用必须重新获取。

需要更改设置可以参考官方文档。

【技术博客】JWT的认证机制Django项目中应用的更多相关文章

  1. [技术博客]阿里云签名机制字符串的C语言实现

    [技术博客]阿里云签名机制字符串的C语言实现 问题描述见:阿里云签名机制 话不多说,上字符串函数转化函数代码 bool AlicloudRequest::sendV2Request() { if( q ...

  2. [技术博客] 用户验证码验证机制---redis缓存数据库的使用

    目录 问题引入 初识redis 实际应用 作者:马振亚 问题引入 在这次的开发过程中,我们的需求中有一个是普通用户可以通过特定的机制申请成为社长.因为只有部分人才能验证成功,所以这个最开始想了两种思路 ...

  3. 【技术博客】Django中文件下载的实现

    开发组在开发过程中,都不可避免地遇到了一些困难或问题,但都最终想出办法克服了.我们认为这样的经验是有必要记录下来的,因此就有了[技术博客]. Django中文件下载的实现 1.背景 在VisualPy ...

  4. [技术博客] Django中文件的保存与访问

    [技术博客] Django中文件的保存与访问 在TextMarking项目开发中,数据库需要保存用户上传的文本文档. 原型设计:用户点击上传文本->保存文本->文本发送到后端保存为文件. ...

  5. [技术博客]ubuntu+nginx+uwsgi+Django+https的部署

    ubuntu+nginx+uwsgi+Django+https部署文档 配置机器介绍 操作系统:Ubuntu 18.04.2 LTS 64位 python版本:Python 3.6.7 Django版 ...

  6. [技术博客]使用pylint实现django项目的代码风格检查

    使用pylint实现django项目的代码风格检查 前言 ​ 一个项目大多都是由一个团队来完成,如果没有统一的代码规范,那么每个人的代码的风格必定会有很大的差别.且不说会存在多个人同时开发同一模块的情 ...

  7. ******IT公司面试题汇总+优秀技术博客汇总

    滴滴面试题:滴滴打车数据库如何拆分 前端时间去滴滴面试,有一道题目是这样的,滴滴每天有100万的订单,如果让你去设计数据库,你会怎么去设计? 当时我的想法是根据用户id的最后一位对某个特殊的值取%操作 ...

  8. 【转】【技术博客】Spark性能优化指南——高级篇

    http://mp.weixin.qq.com/s?__biz=MjM5NjQ5MTI5OA==&mid=2651745207&idx=1&sn=3d70d59cede236e ...

  9. [转]有哪些值得关注的技术博客(Java篇)

    有哪些值得关注的技术博客(Java篇)   大部分程序员在自学的道路上不知道走了多少坑,这个视频那个网站搞得自己晕头转向.对我个人来说我平常在学习的过程中喜欢看一些教程式的博客.这些博客的特点: 1. ...

随机推荐

  1. JDK 监控和故障处理工具

    JDK 监控和故障处理工具 JDK 命令行工具 这些命令在 JDK 安装目录下的 bin 目录下: jps (JVM Process Status): 类似 UNIX 的 ps 命令.用户查看所有 J ...

  2. 【Java并发编程】24、Synchronized实现原理解析

    一.概述 我们知道在JDK1.5之前synchronized是一个重量级锁,相对于j.u.c.Lock,它会显得那么笨重,以至于我们认为它不是那么的高效而慢慢摒弃它. 不过,随着后续Java版本更新对 ...

  3. 从零开始react实战:云书签(总览)

    一个合格的全栈开发怎么能不会 react 呢?所以从现在开始系统的学习 react 开发.目标:完成完成一个云书签,包含前后台. 基于create-react-app进行开发,选择这个框架有以下两个原 ...

  4. npm ERR! code ELIFECYCLE webpack-dev-server --inline --progress --config build/webpack.dev.conf.js`

    “E:\Program Files\JetBrains\WebStorm 2018.1.4\bin\runnerw.exe” G:\node\nodejs\node.exe G:\node\nodej ...

  5. SAP CDS redirect view支持写操作吗,一个实验来验证

    According to this wiki, write back on CDS view is not supported: And also it is defined in ABAP help ...

  6. 关于c3p0的重连机制(转载)

    1)C3P0容错和自动重连与以下配置参数有关: breakAfterAcquireFailure :true表示pool向数据库请求连接失败后标记整个pool为block并close,就算后端数据库恢 ...

  7. ML-对偶(Duality)问题 KKT 条件

    Primal => Dual 现实中我们遇到的原优化问题, 写为标准型的话是这样的. \(min _w f(w) \\ s.t. \\ g_i(w) <=0 \\ h_i(w) = 0\) ...

  8. 分页查询——Hibernate Criteria实现一次查询取得总记录数和分页后结果集

    使用Hibernate criteria进行分页查询时,如何实现一次查询取得总记录数和分页后结果集 - bto310 - ITeye博客 https://bto310.iteye.com/blog/1 ...

  9. 机器学习笔记4:SVM支持向量积的推导过程

    内容来自:https://github.com/GreedyAIAcademy/Machine-Learning 最初 支持向量机的目的:找到一条好的分割线 什么杨的分割线最好? 有最大间隔的分割线最 ...

  10. prometheus学习系列三:node_exporter安装部署

    node_exporter简介 node_exporter安装部署 [root@node00 ~]# cd /usr/src/ [root@node00 src]# wget https://gith ...