drf-jwt配置文件 jwt签发认证源码分析 自定义用户签发认证 simpleui后台管理美化 权限控制 (acl、rbac)

目录

• 昨日回顾
  • 接口文档
  • 自动生成接口文档
  • 接口文档必备的内容
  • cookie-session-token发展史
  • token原理
  • base64
  • 快速签发
  • 定制返回格式
  • jwt的认证
• drf-jwt配置文件
• drf-jwt源码执行流程
  • 前期准备
  • auth表密文生成原理
  • make_password函数生成密文
  • jwt签发源码分析
  • jwt认证源码分析
• 基于drf-jwt自定义用户签发与认证
  • 自定义用户签发
  • 自定义认证类
• simpleui后台管理美化
  • 使用步骤
  • 大屏展示
• 权限控制 （acl、rbac）
  • 自定义rbac
• 练习

昨日回顾

# 1 接口文档的编写
	-1 word，md 编写----》存放位置：存放共享文件平台，git上
    -2 第三方的接口文档编写平台
    -3 公司自己开发，使用开源搭建  yapi
    -4 自动生成接口文档
    	-djagno+drf：swagger，coreapi
        -FastAPI：自带自动生成接口文档

   -接口文档应该有的东西
	-接口描述
    -请求地址
    -请求方式
    -请求编码格式
    -请求参数(get请求参数，post，put请求参数)
    	-参数类型
        -参数是否必填
        -参数解释
    -返回数据
    	-json格式示例
        -重点参数解释
    -错误码：写到全局

# 2 cookie，session，token发展历史
	-会话保持
    	-cookie：存在于客户端浏览器的键值对
        -session：存才于服务端的键值对(文件，内存，数据库。。。)
        -token：三部分:头，荷载，签名
            	-签发：登录
                -认证：登录后才能访问的接口
                	-认证类
                    -中间件
                    -装饰器
                    -别的位置

# 3 jwt：json web token ：前后端认证的机制，token的web形式认证机制

# 4 base64
	-jwt
    -前后端交互：字符串---》base64编码
    -图片：使用base64编码

# 5 django+drf如何使用jwt
	-drf-jwt

# 6 快速签发
	-配置一条路由----》帮咱们写了登录接口

# 7 定制返回格式
	-写一个函数，返回什么，前端就看到什么
    -配置文件中配置
# 8 jwt 的认证
	-局部：视图类上
    	-认证类  ---》JSONWebTokenAuthentication
    	-权限类：drf  IsAuthenticated
    -全局

    -携带token
    	-请求头中
        	Authorization：jwt sadsfasdfasdf.asdfas'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300)df.asdfasdf

 # jwt 配置问题
	-记住的
    	-JWT_RESPONSE_PAYLOAD_HANDLER
        -'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300)
    -了解的
    	'JWT_AUTH_HEADER_PREFIX': 'JWT',
        'JWT_SECRET_KEY': settings.SECRET_KEY,

接口文档

自动生成接口文档

关于框架学习顺序：

Django ---> Flask ---> FastAPI框架(使用多)

• django+drf：coreapi --基于--> swagger
• FastAPI：异步框架，自带自动生成接口文档。

FastAPI自动生成的接口文档示例：

接口文档必备的内容

cookie-session-token发展史

最开始的web只用于浏览文档、浏览新闻

交互式的web兴起 ---> 需要保存用户登录状态 ---> 和用户交互

会话保持 ---> 服务端分的清楚来到服务端的请求是谁

由于服务具有以下特性：无状态 、 无连接

导致服务器，记不住来的请求是谁，所以出现了cookie+session技术。

session占用服务器空间，开销比较大，吃不消 ---> 出现token技术

token原理

token串的三部分，用.分开：

• 头
• 荷载 最重要 但是不要放用户密码 有时候放签发时间
• 签名 头和载荷 ---> 通过（加密算法+密钥）运算 ---> 签名

签发阶段

认证阶段：登录之后才能访问的接口 ·

--认证类

--中间件

--装饰器

--别的位置

base64

base64长度一定是4的倍数。不足4的倍数的时候，需要使用=补齐。

快速签发

通过jwt自动生成的路由

定制返回格式

进行配置：

drf-jwt默认配置：

可见密钥使用的是django settings密钥。

在django settings配置jwt密钥：

jwt的认证

需要配合drf权限类一起使用。

认证类 ---> jwt ---> JSONWebTokenAuthentication

权限类 ---> drf ---> IsAuthenticated

前端发送请求token需要放在请求头，还需要使用固定的格式：

三大认证：

drf-jwt配置文件

需要关注的地方：

前缀：默认是jwt

对应前端请求头 token字符串前面的前缀。

过期时间：默认5分钟token过期

drf-jwt源码执行流程

前期准备

配置login路由：

auth表创建超级用户：

auth表：

auth表密文生成原理

#1 django 的auth  user表，密码是加密的，即便的同样的密码，密文都不一样
	-每次加密，都随机生成一个盐，把盐拼在加密后的串中
# 比如
pbkdf2_sha256$260000$B9ZRmPFpWb3H4kdDDmgYA9$CM3Q/ZfYyXzxwvjZ+HOcdovaJS7681kDsW77hr5fo5o=

明文：lqz12345
盐：B9ZRmPFpWb3H4kdDDmgYA9

后期来了明文lqz12345

#2 自定义用户表，生成密码用密文
from django.contrib.auth.hashers import make_password

#3  用户表的密码忘了怎么办
	-新增一个用户，把它的密码复制过去

# 4 双token认证

auth表的密码如何生成？

同样的密码在auth表存放的密文都不一样。（高级）

再使用同样密码创建一个用户：密文不一样

如何实现？ ---> 动态加盐

每次加密都生成一个随机盐。(比如uuid，生成随机字符串）

后端密码校验的时候怎么校验：

根据用户名 取出随机盐 运算出真正的密码？

再和数据库中密文进行比对。

随机盐 + 用户密码明文 --md5加密--> 用户密文

auth表存放的密文 = 固定前缀 + 随机盐 + 用户密文

make_password函数生成密文

make_password源码：

def make_password(password, salt=None, hasher='default'):
    """
    Turn a plain-text password into a hash for database storage

    Same as encode() but generate a new random salt. If password is None then
    return a concatenation of UNUSABLE_PASSWORD_PREFIX and a random string,
    which disallows logins. Additional random string reduces chances of gaining
    access to staff or superuser accounts. See ticket #20079 for more info.
    """
    if password is None:
        return UNUSABLE_PASSWORD_PREFIX + get_random_string(UNUSABLE_PASSWORD_SUFFIX_LENGTH)
    if not isinstance(password, (bytes, str)):
        raise TypeError(
            'Password must be a string or bytes, got %s.'
            % type(password).__qualname__
        )
    hasher = get_hasher(hasher)
    salt = salt or hasher.salt()
    return hasher.encode(password, salt)

这里传入给make_password()方法的是明文的密码。通过该方法生成密文的password，保存到user对象中，然后再调用user.save，存到数据库。

通过django的make_password函数生成密文：

django 校验密文的函数在哪？

from django.contrib.auth.hashers import check_password

忘记密码？

创建一个用户 生成一个密码 把密码复制到数据库中 进去用完了之后 再把数据库原来的密码复制回来。

jwt签发源码分析

# 登录接口，路由匹配成功，执行obtain_jwt_token---》post请求---》ObtainJSONWebToken的post方法
	path('login/', obtain_jwt_token),

# ObtainJSONWebToken的post方法 继承APIView
    def post(self, request, *args, **kwargs):
        # 实例化得到序列化类
        serializer = self.get_serializer(data=request.data)
        # 做校验：字段自己，局部钩子，全局钩子
        if serializer.is_valid():
            # user：当前登录用户
            user = serializer.object.get('user') or request.user
            # 签发的token
            token = serializer.object.get('token')
            # 构造返回格式，咱们可以自定制---》讲过了
            response_data = jwt_response_payload_handler(token, user, request)
            response = Response(response_data)
            if api_settings.JWT_AUTH_COOKIE:
                expiration = (datetime.utcnow() +
                              api_settings.JWT_EXPIRATION_DELTA)
                response.set_cookie(api_settings.JWT_AUTH_COOKIE,
                                    token,
                                    expires=expiration,
                                    httponly=True)
            #最终返回了咱们定制的返回格式
            return response

        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

 # 如何得到user，如何签发的token----》在序列化类的全局钩子中得到的user和签发的token
	-JSONWebTokenSerializer---全局钩子---validate
    	#前端传入，校验过后的数据---》{"username":"lqz","password":"lqz1e2345"}
        def validate(self, attrs):
        credentials = {
            # self.username_field: attrs.get(self.username_field),
            'username':attrs.get('username')
            'password': attrs.get('password')
        }

        if all(credentials.values()):
            # auth 模块，authenticate 可以传入用户名，密码如果用户存在，就返回用户对象，如果不存就是None
            # 正确的用户
            user = authenticate(**credentials)

            if user:
                # 校验用户是否是活跃用户，如果禁用了，不能登录成功
                if not user.is_active:
                    msg = _('User account is disabled.')
                    raise serializers.ValidationError(msg)
				# 荷载----》通过user得到荷载   {id,name,email,exp}
                payload = jwt_payload_handler(user)

                return {
                    # jwt_encode_handler通过荷载得到token串
                    'token': jwt_encode_handler(payload),
                    'user': user
                }
            else:
                msg = _('Unable to log in with provided credentials.')
                raise serializers.ValidationError(msg)
        else:
            msg = _('Must include "{username_field}" and "password".')
            msg = msg.format(username_field=self.username_field)
            raise serializers.ValidationError(msg)

### 重点：
	1 通过user得到荷载：payload = jwt_payload_handler(user)
    2 通过荷载签发token：jwt_encode_handler(payload)

## 了解：
	# 翻译函数，只要做了国际化，放的英文，会翻译成该国语言(配置文件配置的)
	from django.utils.translation import ugettext as _
	msg = _('Unable to log in with provided credentials.')

jwt 配置文件默认JWT_AUTH_COOKIE这个为None:

用于前后端混合使用 ---> 设置为True ---> 将token写入cookies

如何得到user？如何签发token?

在序列化类的全局钩子得到user，签发token。

逻辑写在序列化类中的validata。

前端上传的字典：

查看序列化类中的validata法:

attrs ---> 前端上传的字典：{"username":"小红", "password":"123"}

相当于取出这些数据，将数据存储在credentials字典中：

credentials.values()校验前端是否上传值。然后将前端上传的字典，放入auth模块的authenticate方法

authenticate方法：传入用户名和密码，如果用户存在则返回用户对象

校验用户是否被禁用了：

产生荷载部分：

通过荷载得到token串（签发token）：

is_valid执行完之后，token就已经产生：



就可以直接获取。

修改django中文环境，注意注册app：

做了国际化，错误提示会变成中文。

国际化的原理：将源码中的英文翻译成中文

其实是使用了__这个函数进行翻译，没错这个函数起了个别名就是叫__

jwt认证源码分析

# JSONWebTokenAuthentication---->父类BaseJSONWebTokenAuthentication----》authenticate方法
    def authenticate(self, request):
        # 前端带在请求头中的token 值
        jwt_value = self.get_jwt_value(request)
        # 如果没有携带token，就不校验了
        if jwt_value is None:
            return None

        try:
            # jwt_value就是token
            # 通过token，得到荷载，中途会出错
            # 出错的原因：
            	-篡改token
                -过期了
                -未知错误
            payload = jwt_decode_handler(jwt_value)
        except jwt.ExpiredSignature:
            msg = _('Signature has expired.')
            raise exceptions.AuthenticationFailed(msg)
        except jwt.DecodeError:
            msg = _('Error decoding signature.')
            raise exceptions.AuthenticationFailed(msg)
        except jwt.InvalidTokenError:
            raise exceptions.AuthenticationFailed()

        # 如果能顺利解开，没有被异常捕获，说明token是可以信任的
        # payload就可以使用，通过payload得到当前登录用户
        user = self.authenticate_credentials(payload)
		# 返回当前登录用户，token
        return (user, jwt_value)
# jwt_value = self.get_jwt_value(request)
    def get_jwt_value(self, request):
        # 拿到了前端请求头中传入的 jwt dasdfasdfasdfa
        # auth=[jwt,asdfasdfasdf]
        auth = get_authorization_header(request).split()
        # 'jwt'
        auth_header_prefix = api_settings.JWT_AUTH_HEADER_PREFIX.lower()

        if not auth:
            # 请求头中如果没带，去cookie中取
            if api_settings.JWT_AUTH_COOKIE:
                return request.COOKIES.get(api_settings.JWT_AUTH_COOKIE)
            return None

        if smart_text(auth[0].lower()) != auth_header_prefix:
            return None

        if len(auth) == 1:
            msg = _('Invalid Authorization header. No credentials provided.')
            raise exceptions.AuthenticationFailed(msg)
        elif len(auth) > 2:
            msg = _('Invalid Authorization header. Credentials string '
                    'should not contain spaces.')
            raise exceptions.AuthenticationFailed(msg)

        return auth[1]

 # 认证类配置了，如果不传jwt，不会校验，一定配合权限类使用

认证类都需要重写authenticate还记得吗？

是因为三大认证中源码会调用这个authenticate

核心：如何校验token 如何得到token

拿到authuser表：通过用户名拿到当前用户

token怎么取出来的：

django 会把所有请求头加个大写的http

基于drf-jwt自定义用户签发与认证

自定义用户签发

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

from rest_framework.viewsets import ViewSet
from rest_framework.decorators import action
from rest_framework.response import Response
from .models import UserInfo
from .authentication import JsonWebTokenAuthentication

class UserView(ViewSet):
    @action(methods=['POST'], detail=False)
    def login(self, request, *args, **kwargs):
        username = request.data.get('username')
        password = request.data.get('password')
        user = UserInfo.objects.filter(username=username, password=password).first()
        if user:
            # 登录成功，签发token
            # 通过user得到payload
            payload = jwt_payload_handler(user)
            # 通过payload得到token
            token = jwt_encode_handler(payload)
            return Response({'code': 1000, 'msg': '登录成功', 'token': token})
        else:
            return Response({'code': 1001, 'msg': '用户名或密码错误'})

建表：

views: Viewset = 魔法类 + APIView

写逻辑:

使用drf-jwt的函数生成token:

通过user对象得到payload载荷，通过payload得到token字符串。

导入配置：

自定义payload:

自定义token串：

配置路由。

向路由发送请求：

基于auth_user表自己写签发。

自定义认证类

前端放在请求头中，并且名字就叫token。django自动加http.

抛异常：

复制源码写token认证：

修改：

导入：

得到当前用户：

base64decode:

解析payload

完整代码：

只要访问异常登录接口，就会去UserInfo表中查异常用户：

希望惰性查询，用到user对象，再去查。

测试认证类：

修改token过期时间：

元组的产生：

token签发出来了，在过期时间内可以一直使用。

双token认证：

simpleui后台管理美化

# 之前公司里，做项目，要使用权限，要快速搭建后台管理，使用djagno的admin直接搭建，django的admin界面不好

#第三方的美化：
	-xadmin：作者弃坑了，bootstrap+jq
    -simpleui： vue，界面更好看

# 现在阶段，一般前后端分离比较多：django+vue
	-带权限的前端端分离的快速开发框架
    -django-vue-admin
    -自己写

对django admin后台管理进行了美化。

带权限的前后端分离的快速开发框架

-django-vue-admin

-自己写

使用步骤

# 1 安装
	pip install django-simpleui

# 2 在app中注册

# 3 调整左侧导航栏----》
	-menu_display对应menus name
    -如果是项目的app，就menus写app
    -菜单可以多级，一般咱们内部app，都是一级
    -可以增加除咱们app外的其它链接---》如果是外部链接，直接写地址，如果是内部链接，跟之前前后端混合项目一样的写法：咱们的案例---》show 的路由
SIMPLEUI_CONFIG = {
    'system_keep': False,
    'menu_display': ['图书管理', '权限认证', '张红测试'],  # 开启排序和过滤功能, 不填此字段为默认排序和全部显示, 空列表[] 为全部不显示.
    'dynamic': True,  # 设置是否开启动态菜单, 默认为False. 如果开启, 则会在每次用户登陆时动态展示菜单内容
    'menus': [
        {
            'name': '图书管理',
            'app': 'app01',
            'icon': 'fas fa-code',
            'models': [
                {
                    'name': '图书',
                    'icon': 'fa fa-user',
                    'url': 'app01/book/'
                },
                {
                    'name': '出版社',
                    'icon': 'fa fa-user',
                    'url': 'app01/publisssh/'
                },
                {
                    'name': '作者',
                    'icon': 'fa fa-user',
                    'url': 'app01/author/'
                },
                {
                    'name': '作者详情',
                    'icon': 'fa fa-user',
                    'url': 'app01/authordetail/'
                },
            ]
        },
        {
            'app': 'auth',
            'name': '权限认证',
            'icon': 'fas fa-user-shield',
            'models': [
                {
                    'name': '用户',
                    'icon': 'fa fa-user',
                    'url': 'auth/user/'
                },
                {
                    'name': '组',
                    'icon': 'fa fa-user',
                    'url': 'auth/group/'
                },
            ]
        },
        {

            'name': '张红测试',
            'icon': 'fa fa-file',
            'models': [
                {
                    'name': 'Baidu',
                    'icon': 'far fa-surprise',
                    # 第三级菜单 ，
                    'models': [
                        {
                            'name': '爱奇艺',
                            'url': 'https://www.iqiyi.com/dianshiju/'
                            # 第四级就不支持了，element只支持了3级
                        }, {
                            'name': '百度问答',
                            'icon': 'far fa-surprise',
                            'url': 'https://zhidao.baidu.com/'
                        }
                    ]
                },
                {
                    'name': '大屏展示',
                    'url': '/show/',
                    'icon': 'fab fa-github'
                }]
        }
    ]
}

# 4 内部app，图书管理系统某个链接要展示的字段---》在admin.py 中----》自定义按钮
@admin.register(Book)
class BookAdmin(admin.ModelAdmin):
    list_display = ('nid', 'name', 'price', 'publish_date', 'publish')

    # 增加自定义按钮
    actions = ['custom_button']

    def custom_button(self, request, queryset):
        print(queryset)

    custom_button.confirm = '你是否执意要点击这个按钮？'
    # 显示的文本，与django admin一致
    custom_button.short_description = '测试按钮'
    # icon，参考element-ui icon与https://fontawesome.com
    # custom_button.icon = 'fas fa-audio-description'
    # # 指定element-ui的按钮类型，参考https://element.eleme.cn/#/zh-CN/component/button
    custom_button.type = 'danger'
    # # 给按钮追加自定义的颜色
    # custom_button.style = 'color:black;'

# 5 app名字显示中文，字段名字显示中文
	-新增，查看修改展示中文，在表模型的字段上加：verbose_name='图书名字',help_text='这里填图书名'
	-app名字中文：apps.py---》verbose_name = '图书管理系统'

# 6 其它配置项
	SIMPLEUI_LOGIN_PARTICLES = False  #登录页面动态效果
    SIMPLEUI_LOGO = 'https://avatars2.githubusercontent.com/u/13655483?s=60&v=4'#图标替换
    SIMPLEUI_HOME_INFO = False  #首页右侧github提示
    SIMPLEUI_HOME_QUICK = False #快捷操作
    SIMPLEUI_HOME_ACTION = False # 动作

注册：

查看页面：

快速写一个图书管理系统：建表

admin.py:

修改app的名字：

添加按钮：

点按钮就会执行函数：

完整：

添加弹窗也可以做。

添加功能：

修改配置文件：

修改的示例：

menus：

二级菜单和三级菜单：

点击可以访问url.

复制models添加二级菜单：

输入错误的url：

我们写的地址，必须是自动生成的路由之一。

这样不行：

跟表没有必然联系的页面：

写一个我们项目中存在的路径

添加弹出框：

还可以layer文件上传。

配置项：

关闭粒子特效。

修改logo。

隐藏快捷动作：

这个一定要置为False:

app名字显示中文，字段名字显示中文：

在表里写ver_bosename

大屏展示

# 监控大屏展示
	-https://search.gitee.com/?skin=rec&type=repository&q=%E5%B1%95%E7%A4%BA%E5%A4%A7%E5%B1%8F

    -就是前后端混合项目，js，css，图片对应好，就可以了

将Index复制到templates，然后写个路由：

ctrl+R全局替换。

每个用户显示的菜单不一样：

所以每次修改代码需要重新登录。

权限控制 （acl、rbac）

# 公司内部项目
	-rbac：是基于角色的访问控制（Role-Based Access Control ）在 RBAC 中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便

    -用户表：用户和角色多对多关系，
    -角色表
    	-一个角色可能有多个权限----》
        	-开发角色：拉取代码，上传代码
        	-财务角色：开工资，招人，开除人
            -
    -权限表：角色和权限是多多多
    	-拉取代码
        -上传代码
        -部署项目
        -开工资
        -招人
        -开除人
        -
    -通过5张表完成rbac控制：用户表，角色表，权限表， 用户角色中间表， 角色权限中间表
    -如果某个人，属于财务角色，单只想要拉取代码权限，不要上传代码权限
    -通过6张表：django的admin----》后台管理就是使用这套权限认证
    	用户表，
        角色表，
        权限表，
        用户角色中间表，
        角色权限中间表
        用户和权限中间表
# 互联网项目
	-acl：Access Control List 访问控制列表，权限放在列表中
    -权限：权限表----》 发视频，评论，开直播
    -用户表：用户和权限是一对多

    张三：[发视频，]
    李四：[发视频，评论，开直播]

# 演示了 django-admin 的权限控制
	-授予lqz 某个组
    -单独授予权限

# django -auth--6张表
	auth_user   用户表
	auth_group  角色表，组表
    auth_permission  权限表
    -----------
    auth_user_groups   用户和角色中间表
    auth_group_permissions  角色和权限中间表
	-------------
    auth_user_user_permissions  用户和权限中间表

# java:若依
# go ：gin-vue-admin
# python ：django-vue-admin

用户表 和 权限表 一对多关系。

互联网对外的用户：

acl访问控制列表 权限放在列表中

Access Control List

rbac基于角色的访问

开发 总监 总裁办 都是我

用户跟角色是多对多。

角色和权限也是多对多

财务可以发工资 总裁也可以发公司

一个权限多个角色。

不是同时把所有权限都授予某个人。是把权限授予角色，角色再授予用户。

自定义rbac

把开发权限授予财务角色。但是直接授予角色的全部权限，那么这个权限太大了，所有需要自定义权限控制。

给一个组，这个组里面的用户只有查看图书的权限。

新建组：

给组授予权限。

给用户分配组：需要使用root账号

重新登录：

只能看，增删按钮没了。

基于前后端分离的基于rbac的访问控制。

期中架构如果能写个django-admin

公司的权限控制框架。

单独对组中某个用户授予权限，如何设置：

django admin是基于auth表写的：

权限表：

饿了么-vue-admin 开源框架

D2Admin

fastapi vue admin

python casbin0......

开始使用 | Casbin

练习

1 整理 jwt 签发，认证流程     3
2 自定义用户表，签发，认证    4
3 自定义用户表，使用make_password保存密码 5 密码存在后端不是明文 使用类似django的加密技术

4 simpleui  写个图书管理系统 6
5 演示一下admin  的rbac 7
----------------------
6 研究 python casbin  支持acl rbac，abac。。。。权限控制  1  ---> 还可以耗时间研究
7 双token认证 2