2018-8-16JWTtoken用户登录认证思路分析9502751

JWT token在商城中的实现

class UserView(CreateAPIView):

    serializer_class = CreateUserSerializer
  • 创建用户对象的视图函数,调用序列化器中的create方法来实现用户的保存
class CreateUserSerializer(serializers.ModelSerializer):

    """

    创建用户序列化器具

    """

    password2 = serializers.CharField(label="确认密码", required=True, allow_null=False, allow_blank=False, write_only=True)

    sms_code = serializers.CharField(label="短信验证码", required=True, allow_null=False, allow_blank=False, write_only=True)

    allow = serializers.CharField(label="同意协议", required=True, allow_null=False, allow_blank=False, write_only=True)

    token = serializers.CharField(label='登录状态token', read_only=True)  # 增加token字段

    def validate_mobile(self, value):

        if not re.match(r"^1[3456789]\d{9}$", value):

            # if not re.match(r'^1[345789]\d{9}$', value):

            raise serializers.ValidationError("手机号码错误")

        return value

    def validate_allow(self, value):

        if value != "true":

            raise serializers.ValidationError('请同意用户协议')

        return value

    def validate(self, attrs):

        if attrs["password"] != attrs["password2"]:

            raise serializers.ValidationError("两次密码输入不一致")

        redis_conn = get_redis_connection("verify_codes")

        mobile = attrs["mobile"]

        real_sms_code = redis_conn.get("sms_code_%s" % mobile)

        if real_sms_code is None:

            raise serializers.ValidationError("无效的短信验证码")

        if real_sms_code.decode() != attrs['sms_code']:

            raise serializers.ValidationError('短信验证码输入错误')

        return attrs

    def create(self, validated_data):

        del validated_data["password2"]

        del validated_data["sms_code"]

        del validated_data["allow"]

        user = super().create(validated_data)

        user.set_password(validated_data["password"])

        user.save()

        # 为用户设置jwt验证字符串

        jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER

        jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

        payload = jwt_payload_handler(user)

        token = jwt_encode_handler(payload)

        user.token = token

        return user

    class Meta:

        model = User

        fields = ('id', 'username', 'password', 'password2', 'sms_code', 'mobile', 'allow', 'token')

        extra_kwargs = {

            'id': {"read_only": True},

            "username": {

                "max_length": 20,

                "min_length": 5,

                "error_messages": {

                    "max_length": "仅允许5-20个字符的用户名",

                    "min_length": '仅允许5-20个字符的用户名',

                }

            },

            'password': {

                'write_only': True,

                'min_length': 8,

                'max_length': 20,

                'error_messages': {

                    'min_length': '仅允许8-20个字符的密码',

                    'max_length': '仅允许8-20个字符的密码',

                }

            }

        }
  • 序列化器中对应的model模型中没有的字段进行补充

    • 增加用户名的属性为只读
    • 对用户的密码进行限制
  • 对手机号码进行验证
  • 对协议进行验证
  • 对密码和短信验证码进行验证
  • 创建用户的对象保存进到数据库中
  • 将保存的用户对象返回给前端
  • 为用户设置jwt验证字符串
  • 在返回的用户对象中增加一个额外的字段token(此token字段是中载荷为user对象)

用户登录

    from rest_framework_jwt.views import obtain_jwt_token

    url(r'^authorizations/$', obtain_jwt_token, name='authorizations'),

  • 原生的这个登录的方法中,默认返回到回来的数据是token

  • 但是在前端页面中我们需要在用户信息中展示用户的基本信息username,user对象

  • 对源码的分析如下所示:

    • 用户发送过来的登录请求是post请求
    • 默认回去post方法中执行
    • 执行的流程中会去将数据库中的token与用户发送过来的token做对比返回
    • 默认返回的数据由JWT_RESPONSE_PAYLOAD_HANDLER来决定
    • 重写JWT_RESPONSE_PAYLOAD_HANDLER并在配置文件中重新配置接可以返回我们想要的数据

  • 源代码的执行流程如下

obtain_jwt_token = ObtainJSONWebToken.as_view()

class JSONWebTokenAPIView(APIView):

    def post(self, request, *args, **kwargs):

        serializer = self.get_serializer(data=request.data)

        if serializer.is_valid():

            user = serializer.object.get('user') or request.user

            token = serializer.object.get('token')

            response_data = jwt_response_payload_handler(token, user, request)

            response = Response(response_data)

            if api_settings.JWT_AUTH_COOKIE:

                expiration = (datetime.utcnow() +

                              api_settings.JWT_EXPIRATION_DELTA)

                response.set_cookie(api_settings.JWT_AUTH_COOKIE,

                                    token,

                                    expires=expiration,

                                    httponly=True)

            return response

        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

class ObtainJSONWebToken(JSONWebTokenAPIView):

    """

    API View that receives a POST with a user's username and password.

    Returns a JSON Web Token that can be used for authenticated requests.

    """

    serializer_class = JSONWebTokenSerializer

# 默认情况下会去api_settings中加载这个函数

jwt_response_payload_handler = api_settings.JWT_RESPONSE_PAYLOAD_HANDLER
  • 重写的代码
def jwt_response_payload_handler(token, user=None, request=None):

    """

    自定义jwt认证成功返回数据

    """

    return {

        'token': token,

        'user_id': user.id,

        'username': user.username

    }
  • 在配置文件中进行配置
# JWT

JWT_AUTH = {

    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),

    'JWT_RESPONSE_PAYLOAD_HANDLER': 'users.utils.jwt_response_payload_handler',

}

2018-8-16JWTtoken用户登录认证思路分析9502751的更多相关文章

  1. 基于jwt的用户登录认证

    最近在app的开发过程中,做了一个基于token的用户登录认证,使用vue+node+mongoDB进行的开发,前来总结一下. token认证流程: 1:用户输入用户名和密码,进行登录操作,发送登录信 ...

  2. django rest_framework 实现用户登录认证

    django rest_framework 实现用户登录认证 1.安装 pip install djangorestframework 2.创建项目及应用 创建过程略 目录结构如图 3.设置setti ...

  3. 关于django用户登录认证中的cookie和session

    最近弄django的时候在用户登录这一块遇到了困难,网上的资料也都不完整或者存在缺陷. 写这篇文章的主要目的是对一些刚学django的新手朋友提供一些帮助.前提是你对django中的session和c ...

  4. ajax 的简单请求,get的加法运算,post加法运算,用户登录认证

    视图函数部分 from django.shortcuts import render, HttpResponse import time from app01.models import User i ...

  5. MongoDB 2.6配置副本集,支持端口号修改和用户登录认证

    mongoDB系列之(二):mongoDB 副本集 Mongodb2.6副本集验证部署和认证 副本集有以下特点: 1. 最小构成是:primary,secondary,arbiter,一般部署是:pr ...

  6. Shiro_认证思路分析

    [认证] 也就是登录. 1.获取当前的subject,调用SecurityUtils.getSubject() 2.测试当前的用户是否已经被认证,即是否登录.调用subject的isAuthentic ...

  7. 4、Shiro之IniRealm以及用户登录认证,角色认证,权限认证

    1.我们在项目test文件夹下面新建resourse文件夹并将她设置为资源文件夹: 2.在resourse文件夹下面新建user.ini文件 user.ini文件里面声明一个用户: 先写一个用户标签[ ...

  8. nginx 用户登录认证

    1.配置nginx server { listen ; server_name kibana.×××.com; location / { auth_basic "secret"; ...

  9. Shiro 登录认证源码详解

    Shiro 登录认证源码详解 Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证.授权管理.企业级会话管理和加密等功能,相比 Spring Security 来说要更加 ...

随机推荐

  1. Centos6安装SaltStack

    rpm -ivh https://mirrors.tuna.tsinghua.edu.cn/epel/6/x86_64/epel-release-6-8.noarch.rpm yum install ...

  2. 聊聊Docker数据卷和数据卷容器

    当程序在容器运行的时候,特别是需要与其他容器中的程序或容器外部程序进行沟通交流,这时需要进行数据交换,作为常用的两种沟通数据的方式,网络通信与文件读写是需要提供给程序的支持, [数据卷] 文件是数据持 ...

  3. laravel 错误 1071 Specified key was too long; max key length is 1000 bytes

    laravel 执行 php artisan migrate 安装数据库报 1071 Specified key was too long; max key length is 1000 bytes ...

  4. Quratz的理解

    一:公共术语 1.为什么使用Qurztz 在某一个有规律的时间点干某件事.并且时间的触发的条件可以非常复杂(比如每月最后一个工作日的17:50),复杂到需要一个专门的框架来干这个事. Quartz就是 ...

  5. PAT (Basic Level) Practise - 害死人不偿命的(3n+1)猜想

    题目链接:https://www.patest.cn/contests/pat-b-practise/1001 卡拉兹(Callatz)猜想: 对任何一个自然数n,如果它是偶数,那么把它砍掉一半:如果 ...

  6. day12 函数的使用方法:初识迭代器和生成器

    生成器和迭代器比装饰器简单多了... 这是老师的博客地址: http://www.cnblogs.com/Eva-J/articles/7213953.html 前情回顾: #装饰器: # 在不修改一 ...

  7. Java中CardLayout布局方式的应用

    import java.awt.CardLayout; import java.awt.Color; import java.awt.Container; import javax.swing.JBu ...

  8. Stall Reservations POJ - 3190(贪心)

    Oh those picky N (1 <= N <= 50,000) cows! They are so picky that each one will only be milked ...

  9. Codeforces 1082D Maximum Diameter Graph (贪心构造)

    <题目链接> 题目大意:给你一些点的最大度数,让你构造一张图,使得该图的直径最长,输出对应直径以及所有的边. 解题分析:一道比较暴力的构造题,首先,我们贪心的想,要使图的直径最长,肯定是尽 ...

  10. HTTP STATUS CODE: 521的解决办法

    https://blog.csdn.net/wangdepei/article/details/84798601