DRF 三大认证之身份认证
路由组件补充
重写路由用来配置mappings
自定义路由需要导入Route, DynamicDetailRoute, SimpleRouter
三大认证
一、身份认证
用户分类:合法、游客、非法
1、如何进行身份认证
使用jwt认证规则。
jwt:json、web、token
优点:
- 数据库不需要储存token,所以服务器的IO操作会减少;
- 客户端存token,服务器只存储签发与校验算法,执行效率高;
- 签发与校验算法在多个服务器上可以统一,所以jwt认证规则下,服务器做集群可以非常便捷。
注意点:
- token必须要有多个部分组成,有能反解的部分,也有不能反解的部分。
- jwt都是三段式
- token中必须包含过期时间保证token的安全性与时效性(过期时间);
2、jwt认证规则原理
- jwt由
头.载荷.签名三部分组成; - 每一部分数据都是一个json字典,头和载荷采用
base64可逆加密算法加密;签名采用哈希HS256,不可逆加密。
3、jwt的组成
头(基本信息):可逆或不可逆采用的加密算法、公司名称、项目组信息、开发者信息
{
"company":"百度",
"...":"..."
}
载荷(核心信息):用户主键、用户账号、客户端设备信息、过期时间。。。
{
'pk':1,
'...':'...'
}
签名(安全信息):头的加密结果、服务器的安全码(盐)。。。
{
'header':'...',
'...':'...'
}
4、jwt的使用方法
4.1 签发算法
- 头内容写死(可以为空{}),公司、项目组信息都是固定不变的。
- 将数据字典转换成json字符串,再将json字符串加密成base64字符串。
- 载荷的内容,用户账号、客户端设备信息是由客户端提供,用户主键是客户端提供账号密码校验user表通过后才能确定,过期时间根据当前时间与配置的过期时长相结合产生;
- 将数据字典转换成json字符串,再将json字符串加密成base64字符串。
- 签名的内容,先将头的加密结果,载荷的加密结果作为成员,再从服务器上拿安全码(不能让任何客户端知道),也可以额外包含载荷中的部分(用户信息、客户端设备信息)。
- 将数据字典转换成json字符串,再将json字符串不可逆加密成HS256字符串。
- 将三个字符串用
.连接产生三段式token。
4.2 校验算法
- 从客户端提交的请求中拿到token,用
.分割成三段(如果不是三段,即为非法)。 - 第一段为头,可以不解密。
- 第二段是载荷,一定需要解密,先用base64解密成json字符串,再转换成python字典数据,进行信息校验:
- 通过用户主键与用户账号查询user表确定用户是否存在;
- 设备信息用本次请求提交的设备信息比对,确定前后是否是统一设备,决定是否对用户发送安全提示(短信、邮箱提示异地登录);IP、登陆地点同理;
- 过期时间与当前时间比对,该token是否在有效时间内;
- 第三段是签名,采用加密碰撞校验:
- 同样将头、载荷、加密字符串和数据库安全码形成json字典,转换成json字符串;
- 采用不可逆哈希HS256形成加密字符串
- 新的加密字符串与第三段签名碰撞比对,一致才能确认token为合法的。
- 前方算法都通过后,载荷校验得到的user对象,就是该token代表的用户(Django项目一般都会把登录用户放在request.user中)
4.3 刷新算法
- 要在签发token的载荷中,额外添加两个时间信息:
- 第一次签发token的时间;
- token的有效时间。
- 每次请求携带token,不仅走校验算法验证token是否合法,还要额外请求刷新token的接口,完成token的刷新。校验规则与校验算法差不多,但是要将过期时间后移(如果没有超过有效时间,则产生新token返回给客户端;如果超过了,就刷新失败,就要重新登录)。
- 所以服务器不仅要配置过期时间,还需配置最长刷新时间。
二、权限认证
三、节流认证(频率认证)
DRF 三大认证之身份认证的更多相关文章
- drf三大组件之频率认证组件
复习 """ 1.认证组件:校验认证字符串,得到request.user 没有认证字符串,直接放回None,游客 有认证字符串,但认证失败抛异常,非法用户 有认证字符串, ...
- DRF 三大认证的配置及使用方法
目录 三大认证 一.身份认证 1.身份认证配置 1.1 全局配置身份认证模块 1.2 局部配置身份认证模块 2.drf提供的身份认证类(了解) 3.rf-jwt提供的身份认证类(常用) 4.自定义身份 ...
- asp.net身份认证
在网上看到几篇比较好的文章很详细讲解了Form.Membership.以及Identity身份认证 Form身份认证: http://www.cnblogs.com/fish-li/archive/2 ...
- Windows下使用cmd启动Oracle EM和sql命令使用+主机身份认证
(1)cmd命令下使用sql命令 >sqlplus / as sysdba sql>select * from v$version; (2)cmd命令下启动Oracle EM 安装完ora ...
- 最简单易懂的Spring Security 身份认证流程讲解
最简单易懂的Spring Security 身份认证流程讲解 导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确 ...
- 认识ASP.NET Windows身份认证
本文摘自:细说ASP.NET Windows身份认证 Forms身份认证虽然使用广泛,不过,如果是在 Windows Active Directory 的环境中使用ASP.NET, 那么使用Windo ...
- DRF框架(六)——三大认证组件之认证组件、权限组件
drf认证组件 用户信息表 from django.db import models from django.contrib.auth.models import AbstractUser class ...
- drf三大组件之认证组件与权限组件
复习 """ 视图家族 1.视图类:APIView.GenericAPIView APIView:作为drf的基础view:as_view()禁用csrf:dispatc ...
- 8) drf 三大认证 认证 权限 频率
一.三大认证功能分析 1)APIView的 dispath(self, request, *args, **kwargs) 2)dispath方法内 self.initial(request, *ar ...
随机推荐
- TypeScript中 typeof ArrayInstance[number] 剖析
假设这样一个场景,目前业务上仅对接了三方支付 'Alipay', 'Wxpay', 'PayPal', 实际业务 getPaymentMode 会根据不同支付方式进行不同的付款/结算流程. const ...
- Codeforces Round #673 (Div. 2) D. Make Them Equal(数论/构造)
题目链接:https://codeforces.com/contest/1417/problem/D 题意 给出一个大小为 $n$ 的正整数数组 $a$ ,每次操作如下: 选择 $i,j$ 和 $x$ ...
- Codeforces Round #649 (Div. 2) B. Most socially-distanced subsequence
题目链接:https://codeforces.com/contest/1364/problem/B 题意 给出大小为 $n$ 的一个排列 $p$,找出子序列 $s$,使得 $|s_1-s_2|+|s ...
- tesseract-ocr的安装及使用pycharm来运行
1.可以在:http://digi.bib.uni-mannheim.de/tesseract/tesseract-ocr-setup-4.00.00dev.exe 下载一个exe文件,然后直接按照提 ...
- hdu4325 Flowers
Problem Description As is known to all, the blooming time and duration varies between different kind ...
- Smith Numbers POJ - 1142 暴力递归枚举
题意: 给你一个数x,把这个分解成素数之积(假设是x1*x2*x3),如果 x的每一数位的和 等于 x1每一数位的和加上x2每一数位的和加上x3每一数位的和,那么他就是题目要找的数 示例: ...
- Ubuntu上安装Python3编译器和 Pycharm 集成开发环境
一.安装python3 (Ubuntu上面是自带python编译器的,可以用命令"python -V"来查看版本号.我下面安装的是pyhton3编译器) 一条命令就可以 sudo ...
- GYM101810 ACM International Collegiate Programming Contest, Amman Collegiate Programming Contest (2018) M. Greedy Pirate (LCA)
题意:有\(n\)个点,\(n-1\)条边,每条边正向和反向有两个权值,且每条边最多只能走两次,有\(m\)次询问,问你从\(u\)走到\(v\)的最大权值是多少. 题解:可以先在纸上画一画,不难发现 ...
- kubernetes进阶(五)dashboard--WEB管理
dashboard是k8s的可视化管理平台,是三种管理k8s集群方法之一 首先下载镜像上传到我们的私有仓库中:hdss7-200 # docker pull k8scn/kubernetes-dash ...
- python 3.7 安装 sklearn keras(tf.keras)
# 1 sklearn 一般方法 网上有很多教程,不再赘述. 注意顺序是 numpy+mkl ,然后 scipy的环境,scipy,然后 sklearn # 2 anoconda ana ...