2018-8-16JWTtoken用户登录认证思路分析9502751

JWT token在商城中的实现

class UserView(CreateAPIView):

    serializer_class = CreateUserSerializer
  • 创建用户对象的视图函数,调用序列化器中的create方法来实现用户的保存
class CreateUserSerializer(serializers.ModelSerializer):

    """

    创建用户序列化器具

    """

    password2 = serializers.CharField(label="确认密码", required=True, allow_null=False, allow_blank=False, write_only=True)

    sms_code = serializers.CharField(label="短信验证码", required=True, allow_null=False, allow_blank=False, write_only=True)

    allow = serializers.CharField(label="同意协议", required=True, allow_null=False, allow_blank=False, write_only=True)

    token = serializers.CharField(label='登录状态token', read_only=True)  # 增加token字段

    def validate_mobile(self, value):

        if not re.match(r"^1[3456789]\d{9}$", value):

            # if not re.match(r'^1[345789]\d{9}$', value):

            raise serializers.ValidationError("手机号码错误")

        return value

    def validate_allow(self, value):

        if value != "true":

            raise serializers.ValidationError('请同意用户协议')

        return value

    def validate(self, attrs):

        if attrs["password"] != attrs["password2"]:

            raise serializers.ValidationError("两次密码输入不一致")

        redis_conn = get_redis_connection("verify_codes")

        mobile = attrs["mobile"]

        real_sms_code = redis_conn.get("sms_code_%s" % mobile)

        if real_sms_code is None:

            raise serializers.ValidationError("无效的短信验证码")

        if real_sms_code.decode() != attrs['sms_code']:

            raise serializers.ValidationError('短信验证码输入错误')

        return attrs

    def create(self, validated_data):

        del validated_data["password2"]

        del validated_data["sms_code"]

        del validated_data["allow"]

        user = super().create(validated_data)

        user.set_password(validated_data["password"])

        user.save()

        # 为用户设置jwt验证字符串

        jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER

        jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

        payload = jwt_payload_handler(user)

        token = jwt_encode_handler(payload)

        user.token = token

        return user

    class Meta:

        model = User

        fields = ('id', 'username', 'password', 'password2', 'sms_code', 'mobile', 'allow', 'token')

        extra_kwargs = {

            'id': {"read_only": True},

            "username": {

                "max_length": 20,

                "min_length": 5,

                "error_messages": {

                    "max_length": "仅允许5-20个字符的用户名",

                    "min_length": '仅允许5-20个字符的用户名',

                }

            },

            'password': {

                'write_only': True,

                'min_length': 8,

                'max_length': 20,

                'error_messages': {

                    'min_length': '仅允许8-20个字符的密码',

                    'max_length': '仅允许8-20个字符的密码',

                }

            }

        }
  • 序列化器中对应的model模型中没有的字段进行补充

    • 增加用户名的属性为只读
    • 对用户的密码进行限制
  • 对手机号码进行验证
  • 对协议进行验证
  • 对密码和短信验证码进行验证
  • 创建用户的对象保存进到数据库中
  • 将保存的用户对象返回给前端
  • 为用户设置jwt验证字符串
  • 在返回的用户对象中增加一个额外的字段token(此token字段是中载荷为user对象)

用户登录

    from rest_framework_jwt.views import obtain_jwt_token

    url(r'^authorizations/$', obtain_jwt_token, name='authorizations'),

  • 原生的这个登录的方法中,默认返回到回来的数据是token

  • 但是在前端页面中我们需要在用户信息中展示用户的基本信息username,user对象

  • 对源码的分析如下所示:

    • 用户发送过来的登录请求是post请求
    • 默认回去post方法中执行
    • 执行的流程中会去将数据库中的token与用户发送过来的token做对比返回
    • 默认返回的数据由JWT_RESPONSE_PAYLOAD_HANDLER来决定
    • 重写JWT_RESPONSE_PAYLOAD_HANDLER并在配置文件中重新配置接可以返回我们想要的数据

  • 源代码的执行流程如下

obtain_jwt_token = ObtainJSONWebToken.as_view()

class JSONWebTokenAPIView(APIView):

    def post(self, request, *args, **kwargs):

        serializer = self.get_serializer(data=request.data)

        if serializer.is_valid():

            user = serializer.object.get('user') or request.user

            token = serializer.object.get('token')

            response_data = jwt_response_payload_handler(token, user, request)

            response = Response(response_data)

            if api_settings.JWT_AUTH_COOKIE:

                expiration = (datetime.utcnow() +

                              api_settings.JWT_EXPIRATION_DELTA)

                response.set_cookie(api_settings.JWT_AUTH_COOKIE,

                                    token,

                                    expires=expiration,

                                    httponly=True)

            return response

        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

class ObtainJSONWebToken(JSONWebTokenAPIView):

    """

    API View that receives a POST with a user's username and password.

    Returns a JSON Web Token that can be used for authenticated requests.

    """

    serializer_class = JSONWebTokenSerializer

# 默认情况下会去api_settings中加载这个函数

jwt_response_payload_handler = api_settings.JWT_RESPONSE_PAYLOAD_HANDLER
  • 重写的代码
def jwt_response_payload_handler(token, user=None, request=None):

    """

    自定义jwt认证成功返回数据

    """

    return {

        'token': token,

        'user_id': user.id,

        'username': user.username

    }
  • 在配置文件中进行配置
# JWT

JWT_AUTH = {

    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),

    'JWT_RESPONSE_PAYLOAD_HANDLER': 'users.utils.jwt_response_payload_handler',

}

2018-8-16JWTtoken用户登录认证思路分析9502751的更多相关文章

  1. 基于jwt的用户登录认证

    最近在app的开发过程中,做了一个基于token的用户登录认证,使用vue+node+mongoDB进行的开发,前来总结一下. token认证流程: 1:用户输入用户名和密码,进行登录操作,发送登录信 ...

  2. django rest_framework 实现用户登录认证

    django rest_framework 实现用户登录认证 1.安装 pip install djangorestframework 2.创建项目及应用 创建过程略 目录结构如图 3.设置setti ...

  3. 关于django用户登录认证中的cookie和session

    最近弄django的时候在用户登录这一块遇到了困难,网上的资料也都不完整或者存在缺陷. 写这篇文章的主要目的是对一些刚学django的新手朋友提供一些帮助.前提是你对django中的session和c ...

  4. ajax 的简单请求,get的加法运算,post加法运算,用户登录认证

    视图函数部分 from django.shortcuts import render, HttpResponse import time from app01.models import User i ...

  5. MongoDB 2.6配置副本集,支持端口号修改和用户登录认证

    mongoDB系列之(二):mongoDB 副本集 Mongodb2.6副本集验证部署和认证 副本集有以下特点: 1. 最小构成是:primary,secondary,arbiter,一般部署是:pr ...

  6. Shiro_认证思路分析

    [认证] 也就是登录. 1.获取当前的subject,调用SecurityUtils.getSubject() 2.测试当前的用户是否已经被认证,即是否登录.调用subject的isAuthentic ...

  7. 4、Shiro之IniRealm以及用户登录认证,角色认证,权限认证

    1.我们在项目test文件夹下面新建resourse文件夹并将她设置为资源文件夹: 2.在resourse文件夹下面新建user.ini文件 user.ini文件里面声明一个用户: 先写一个用户标签[ ...

  8. nginx 用户登录认证

    1.配置nginx server { listen ; server_name kibana.×××.com; location / { auth_basic "secret"; ...

  9. Shiro 登录认证源码详解

    Shiro 登录认证源码详解 Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证.授权管理.企业级会话管理和加密等功能,相比 Spring Security 来说要更加 ...

随机推荐

  1. k8s中的api server的ca证书,可以和front proxy ca证书一样么?

    答案是: 绝对不可以! 因为请求先验证的是 --requestheader-client-ca-file CA 然后才是--client-ca-file. . 那获取的用户名就会通不过了. 所以会影响 ...

  2. 前端:Jquery 处理同一Name的Radio组时,绑定checked属性异常的问题.(已解决)

    将: $("input[type=radio][name=optionsContractGroup][value=201]").attr("checked",t ...

  3. Appearance-and-Relation Networks for Video Classification论文笔记 (ARTnet)

    ARTnet: caffe实现:代码 1 Motivation:How to model appearance and relation (motion) 主要工作是在3D卷积的基础上,提升了acti ...

  4. 1个汉字在UTF-8编码占3个字节

    http://blog.csdn.net/ns_code/article/details/14162087 http://www.ruanyifeng.com/blog/2007/10/ascii_u ...

  5. ftp弱密码案例

  6. Codeforces 1017E The Supersonic Rocket 凸包,计算几何,字符串,KMP

    原文链接https://www.cnblogs.com/zhouzhendong/p/CF1017E.html 题目传送门 - CF1017E 题意 给定两个点集,并构成两个凸包. 问这两个凸包是否可 ...

  7. Vijos1755 靶形数独 Sudoku NOIP2009 提高组 T4 舞蹈链 DLX

    欢迎访问~原文出处——博客园-zhouzhendong 去博客园看该题解 题目(传送门) 题意概括 给出一个残缺的数独,求这个数独中所有的解法中的最大价值. 一个数独解法的价值之和为每个位置所填的数值 ...

  8. Spring Security(15)——权限鉴定结构 RoleVoter

    http://www.cnblogs.com/fenglan/p/5913432.html

  9. HDU 4687 Boke and Tsukkomi (一般图最大匹配)【带花树】

    <题目链接> 题目大意: 给你n个点和m条边,每条边代表两点具有匹配关系,问你有多少对匹配是冗余的. 解题分析: 所谓不冗余,自然就是这对匹配关系处于最大匹配中,即该匹配关系有意义.那怎样 ...

  10. python爬取今日头条关键字图集

    1.访问搜索图集结果,获得json如下(右图为data的一条的详细内容).页面以Ajax呈现,每次请求20个图集,其中 title --- 图集名字 artical_url --- 图集的地址 cou ...