[[409954]]

本文轉(zhuǎn)載自微信公眾號(hào)「AirPython」，作者星安果。轉(zhuǎn)載本文請(qǐng)聯(lián)系A(chǔ)irPython公眾號(hào)。

十余年的撫松網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)營(yíng)銷(xiāo)推廣的優(yōu)勢(shì)是能夠根據(jù)用戶(hù)設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整撫松建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“撫松網(wǎng)站設(shè)計(jì)”,“撫松網(wǎng)站推廣”以來(lái)，每個(gè)客戶(hù)項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

1. 前言

大家好，我是安果!

為了反爬或限流節(jié)流，后端編寫(xiě)接口時(shí)，大部分 API 都會(huì)進(jìn)行權(quán)限認(rèn)證，只有認(rèn)證通過(guò)，即：數(shù)據(jù)正常及未過(guò)期才會(huì)返回?cái)?shù)據(jù)，否則直接報(bào)錯(cuò)

本篇文章以 Django 為例，聊聊后端 JWT 接口認(rèn)證的操作流程

2. JWT 介紹

JWT 全稱(chēng)為 JSON Web Token，是目前主流的跨域認(rèn)證解決方案

數(shù)據(jù)結(jié)構(gòu)由 3 部分組成，中間由「 . 」分割開(kāi)

它們分別是：

• Header 頭部
• Payload 負(fù)載
• Signature 簽名

 
 
 

  
  
  
# JWT 數(shù)據(jù)的格式 
  
  
  
# 組成方式：頭部.負(fù)載.簽名 
  
  
  
Header.Payload.Signature 
 
 
 

其中

Header 用于設(shè)置簽名算法及令牌類(lèi)型，默認(rèn)簽名算法為 「 HS256 」，令牌類(lèi)型可以設(shè)置為「 JWT 」

Payload 用于設(shè)置需要傳遞的數(shù)據(jù)，包含：iss 簽發(fā)人、exp 過(guò)期時(shí)間、iat 簽發(fā)時(shí)間等

Signature 用于對(duì) Header 和 Payload 進(jìn)行簽名，默認(rèn)使用的簽名算法為 Header 中指定的算法

 
 
 

  
  
  
# JWT 數(shù)據(jù)組成 
  
  
  
# Header. Payload. Signature 
  
  
  
# Header：{ "alg": "HS256","typ": "JWT"} 
  
  
  
# Payload：iss、exp、iat等 
  
  
  
# Signature：簽名 
  
  
  
Signature = HMACSHA256( 
  
  
  
  base64UrlEncode(header) + "." + 
  
  
  
  base64UrlEncode(payload), 
  
  
  
  secret) 
 
 
 

PS：base64UrlEncode 相比 Base64 算法，會(huì)將結(jié)果中的「 = 」省略、「 + 」替換成「 - 」、「 / 」替換成「 _ 」

3. 實(shí)戰(zhàn)一下

首先，在虛擬環(huán)境中安裝 JWT 依賴(lài)包

 
 
 

  
  
  
# 安裝jwt依賴(lài)包 
  
  
  
pip3 install pyjwt 
 
 
 

然后，定義一個(gè)方法用于生成 JWT Token

需要注意的是，生成 JWT Token 時(shí)需要指定過(guò)期時(shí)間、加密方式等

 
 
 

  
  
  
import time 
  
  
  
import jwt 
  
  
  
from django.conf import settings 
  
  
  
 
  
  
  
def generate_jwt_token(user): 
  
  
  
    """ 
  
  
  
    生成一個(gè)JWT Token 
  
  
  
    :param user: 
  
  
  
    :return: 
  
  
  
    """ 
  
  
  
    # 設(shè)置token的過(guò)期時(shí)間戳 
  
  
  
    # 比如：設(shè)置7天過(guò)期 
  
  
  
    timestamp = int(time.time()) + 60 * 60 * 24 * 7 
  
  
  
 
  
  
  
    # 加密生成Token 
  
  
  
    # 加密方式：HS256 
  
  
  
    return jwt.encode({"userid": user.pk, "exp": timestamp}, settings.SECRET_KEY,'HS256') 
 
 
 

接著，編寫(xiě)一個(gè)認(rèn)證類(lèi)

該類(lèi)繼承于「 BaseAuthentication 」基類(lèi)，重寫(xiě)內(nèi)部函數(shù)「 authenticate() 」，對(duì)請(qǐng)求參數(shù)進(jìn)行 JWT 解密，并進(jìn)行數(shù)據(jù)庫(kù)查詢(xún)，只有認(rèn)證通過(guò)才返回?cái)?shù)據(jù)，否則拋出異常

 
 
 

  
  
  
import time 
  
  
  
 
  
  
  
import jwt 
  
  
  
from django.conf import settings 
  
  
  
from django.contrib.auth import get_user_model 
  
  
  
from rest_framework import exceptions 
  
  
  
from rest_framework.authentication import BaseAuthentication, get_authorization_header 
  
  
  
 
  
  
  
User = get_user_model() 
  
  
  
 
  
  
  
class JWTAuthentication(BaseAuthentication): 
  
  
  
    """自定義認(rèn)證類(lèi)""" 
  
  
  
 
  
  
  
    keyword = 'jwt' 
  
  
  
    model = None 
  
  
  
 
  
  
  
    def get_model(self): 
  
  
  
        if self.model is not None: 
  
  
  
            return self.model 
  
  
  
        from rest_framework.authtoken.models import Token 
  
  
  
        return Token 
  
  
  
 
  
  
  
    """ 
  
  
  
    A custom token model may be used, but must have the following properties. 
  
  
  
 
  
  
  
    * key -- The string identifying the token 
  
  
  
    * user -- The user to which the token belongs 
  
  
  
    """ 
  
  
  
 
  
  
  
    def authenticate(self, request): 
  
  
  
        auth = get_authorization_header(request).split() 
  
  
  
 
  
  
  
        if not auth or auth[0].lower() != self.keyword.lower().encode(): 
  
  
  
            return None 
  
  
  
 
  
  
  
        if len(auth) !=2: 
  
  
  
            raise exceptions.AuthenticationFailed("認(rèn)證異常！") 
  
  
  
 
  
  
  
        # jwt解碼 
  
  
  
        try: 
  
  
  
            jwt_token = auth[1] 
  
  
  
            jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256') 
  
  
  
 
  
  
  
            # 獲取userid 
  
  
  
            userid = jwt_info.get("userid") 
  
  
  
 
  
  
  
            # 查詢(xún)用戶(hù)是否存在 
  
  
  
            try: 
  
  
  
                user = User.objects.get(pk=userid) 
  
  
  
                return user, jwt_token 
  
  
  
            except Exception: 
  
  
  
                raise exceptions.AuthenticationFailed("用戶(hù)不存在") 
  
  
  
        except jwt.ExpiredSignatureError: 
  
  
  
            raise exceptions.AuthenticationFailed("抱歉，該token已過(guò)期！") 
 
 
 

最后，在視圖集 ViewSet 中，只需要在屬性「 authentication_classes 」中指定認(rèn)證列表即可

 
 
 

  
  
  
from rest_framework import viewsets 
  
  
  
from .models import * 
  
  
  
from .serializers import * 
  
  
  
from .authentications import * 
  
  
  
 
  
  
  
class GoodsViewSet(viewsets.ModelViewSet): 
  
  
  
    # 所有商品數(shù)據(jù) 
  
  
  
    queryset = Goods.objects.all() 
  
  
  
 
  
  
  
    # 序列化 
  
  
  
    serializer_class = GoodsSerializer 
  
  
  
 
  
  
  
    # JWT授權(quán) 
  
  
  
    authentication_classes = [JWTAuthentication] 
 
 
 

4. 最后

在實(shí)際項(xiàng)目中，一般在登錄的時(shí)候生成 JWT Token，后續(xù)接口中只需要在請(qǐng)求頭中設(shè)置 JWT Token 即可正常返回?cái)?shù)據(jù)

 
 
 

  
  
  
import requests 
  
  
  
 
  
  
  
url = "***.***.****" 
  
  
  
 
  
  
  
payload={} 
  
  
  
headers = { 
  
  
  
  'AUTHORIZATION': 'jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM' 
  
  
  
} 
  
  
  
 
  
  
  
response = requests.request("GET", url, headers=headers, data=payload) 
  
  
  
print(response.text) 
 
 
 

文章題目：5分鐘，快速入門(mén)PythonJWT接口認(rèn)證
文章分享：http://uogjgqi.cn/article/cdhjdeg.html