久久r热视频,国产午夜精品一区二区三区视频,亚洲精品自拍偷拍,欧美日韩精品二区

您的位置:首頁技術(shù)文章
文章詳情頁

Django中的JWT身份驗證的實現(xiàn)

瀏覽:5日期:2024-09-08 09:43:25
1.認證與授權(quán)

1.驗證:身份驗證是驗證個人或設(shè)備標識的過程。身份驗證過程之一是登錄過程。注冊網(wǎng)站后,您的信息(ID,密碼,名稱,電子郵件等)將存儲在其數(shù)據(jù)庫中。之后,您無需創(chuàng)建帳戶即可提供信息。相反,您只需要提供用戶名和密碼來驗證您的身份,網(wǎng)站就會自動知道您正在訪問。

2.授權(quán):授權(quán)是用于確定用戶特權(quán)或訪問級別的安全機制。在許多社區(qū)網(wǎng)站上,只有上傳帖子和管理員的人才能刪除它。當其他人嘗試刪除帖子時,網(wǎng)站應該拋出錯誤(但是在許多情況下,他們甚至看不到刪除按鈕)。因此,對于每個請求,用戶都需要證明自己具有權(quán)限。

2.什么是JWT

JSON Web令牌(JWT)是一種開放標準(RFC 7519),它定義了一種緊湊且自包含的方式,用于在各方之間安全地將信息作為JSON對象進行傳輸。您可以使用JWT對請求進行身份驗證和授權(quán)。

JWT由三個串聯(lián)的Base64url編碼的字符串(標頭,有效負載和簽名)組成,并用點號(,)分隔。標頭包含有關(guān)令牌和加密算法類型的元數(shù)據(jù)。簽名用于驗證令牌的可信度。有效負載包含用于身份驗證和授權(quán)的所有必要數(shù)據(jù)。

3.存儲JWT

當用戶登錄時,服務器將創(chuàng)建JWT并將其發(fā)送到客戶端。然后,客戶端將其存儲到會話存儲或本地存儲。每次客戶端向服務器端發(fā)送需要身份驗證或授權(quán)的請求時,都會在授權(quán)標頭上發(fā)送JWT。易受XSS(跨站點腳本)攻擊:會話和本地存儲可通過JavaScript訪問。惡意第三方可以將其JS注入網(wǎng)站,從而可以向API發(fā)出請求。

服務器將JWT存儲在Cookie中,并使用存儲在Cookie中的JWT驗證用戶。Cookies容易受到CSRF的攻擊,因為它們隨每個請求一起發(fā)送。因此,惡意的第三方可以輕松地提出意想不到的請求。

4.Django中的JWT

# settings.pySECRET_KEY = ’abcde1234’,JWT_ALGORITHM = ’HS256’

# user/views.pyimport jsonfrom datetime import datetime, timdeltafrom django.conf import settingsfrom django.http import JsonResponsefrom django.views import Viewimport bcryptimport jwtfrom .models import Userfrom token_utils import user_tokenclass UserSignInView(View): def post(self, request):try: data = json.loads(request.body) username = data[’username’] pw_input = data[’password’] user = User.objects.filter(username=username).first() if user is None:return JsonResponse({'message': 'INVALID_USERNAME'}, status=401) if bcrypt.checkpw(pw_input.encode(’utf-8’), user.password.encode(’utf-8’)):key = settings.SECRET_KEYalgorithm = settings.JWT_ALGORITHMtoken = jwt.encode( {’iss’: ’me’,’id’: user.id,’exp’: datetime.utcnow() + timedelta(days=14) }, key, algorithm=algorithm).decode(’utf-8’)response = JsonResponse( {’message’: ’SUCCESS’ }, status=200)# 當使用本地/會話存儲而不是Cookie時,只需在JsonResponse中發(fā)送令牌if data.get(’remember_me’) is not None: max_age = 14*24*60*60 # 14 days expires = datetime.strftime(datetime.utcnow() + timedelta(seconds=max_age),'%Y-%m-%d %H:%M:%S' ) response.set_cookie(’token’,token,max_age=max_age,expires=expires,httponly=True ) return response return JsonResponse({'message': 'WRONG_PASSWORD'}, status=401)except KeyError as e: return JsonResponse({’message’: f’KEY_ERROR: {e}’}, status=400)except ValueError as e: return JsonResponse({’message’: f’VALUE_ERROR: {e}’}, status=400)

# token_utils.pyimport jsonfrom django.conf import settingsfrom django.http import JsonResponseimport jwtfrom user.models import Userdef user_token(func): def wrapper(self, request, *args, **kwargs):try: token = request.COOKIES.get(’token’) # token = request.headers.get(’token’) key = settings.SECRET_KEY algorithm = settings.JWT_ALGORITHM if token is None:return JsonResponse({'message': 'INVALID_TOKEN'}, status=401) decode = jwt.decode(token, key, algorithm=algorithm) request.user = User.objects.get(id=decode[’id’])except jwt.ExpiredSignatureError: return JsonResponse({'message': 'EXPIRED_TOKEN'}, status=400)return func(self, request, *args, **kwargs) return wrapper

到此這篇關(guān)于Django中的JWT身份驗證的實現(xiàn)的文章就介紹到這了,更多相關(guān)Django JWT身份驗證內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)!

標簽: Django
相關(guān)文章:
主站蜘蛛池模板: 房产| 邵武市| 茂名市| 天峻县| 大化| 朝阳县| 富川| 平阴县| 巴南区| 全南县| 洪雅县| 福州市| 获嘉县| 静乐县| 临夏县| 呼图壁县| 普宁市| 怀集县| 锡林浩特市| 临猗县| 留坝县| 万全县| 章丘市| 老河口市| 嵊泗县| 涿鹿县| 宜昌市| 卓资县| 沙坪坝区| 海门市| 乌兰察布市| 莱西市| 大田县| 洛宁县| 密云县| 临洮县| 都江堰市| 萨嘎县| 清水县| 南开区| 顺义区|