JWT(Json Web Token):是目前最流行的跨域身份验证解决方案。
此前我们使用的身份验证方式都是基于Session:
这种方式并没有什么不妥,但其实这里有三个缺点:
- Session一般存储在redis中,而redis数据保存在内存中,随着用户的增多,内存消耗太大。
- 扩展性不好,用户每次验证都需要请求session服务器,增大了负载均衡能力,应用扩展受限。
- 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
所以,我们需要一种既能实现相同要求并且还要比session存储更有效的身份验证方式。
JWT通过一种加密的方式,将加密后的数据保存返回给用户本地进行保存,我们称为token数据。其数据由三部分组成:
1、header声明类型和加密的算法:
{
'typ': 'JWT', #固定值
'alg': 'HS256' #加密算法
}2、payload负载
这是有效信息的存放地方,其分为三部分:标准中注册的声明、公共声明、私有声明(用户信息)
标准中的注册声明(有需要在使用,不强制使用):
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共声明:公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.
私有声明:
{
"name": "jim",
"id": "111111",
"admin": true
}3、signature签名
需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。由于base64是对称加密算法,所以可以轻松解密:因此我们在负载部分不要将私密信息放置在里面,只需要把能验证唯一的标识信息添加就可以了。
有关base64,请参考:https://www.liaoxuefeng.com/w…
由于目前在学习DRF,所以我介绍一下怎样在DRF项目中使用JWT进行身份验证:
安装djangorestframework-jwt:
pip install djangorestframework-jwt添加jwt认证类:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
),
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
),
}添加jwt路由用于生成token:
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
url(r'^自己的路由/', obtain_jwt_token),
]然后我们就可以通过自己添加的路由并通过post添加username和password来获取到token了,在进行访问页面的时候我们只需要在请求头中添加一个:Authorization: JWT <your_token>,就可以得到验证了。
当然我们可能不止只需要token数据,还需要用户的ID,昵称等信息,那么我们就需要手动生成token数据。
from rest_framework_jwt.settings import api_settings
jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
payload = jwt_payload_handler(user) #这里的用户对象就是在登录视图中获取到的user
token = jwt_encode_handler(payload)当然我们前面已经说明payload中最好不要存储私密信息,所以我们在处理user前需要将不需要的字段删除:
del user.set_password('') #当然这样做肯定不科学,但是我们由于这里没有场景,所以我先这样做,有需要的同学可以私聊我。然后我们可以将返回到前端的数据进行保存,方便下次访问携带:
前端响应中使用的代码格式
关于session和local存储:https://www.cnblogs.com/st-le…
sessionStorage.变量名 = 变量值 // 保存数据
sessionStorage.变量名 // 读取数据
sessionStorage.clear() // 清除所有sessionStorage保存的数据
localStorage.变量名 = 变量值 // 保存数据
localStorage.变量名 // 读取数据
localStorage.clear() // 清除所有localStorage保存的数据最后利用localStorage与sessionStorage读取数据的方式在需要后端验证的地方添加token数据。
所有配置参考:
JWT_AUTH = {
'JWT_ENCODE_HANDLER':
'rest_framework_jwt.utils.jwt_encode_handler', #加密处理函数
'JWT_DECODE_HANDLER':
'rest_framework_jwt.utils.jwt_decode_handler', #解密处理函数
'JWT_PAYLOAD_HANDLER':
'rest_framework_jwt.utils.jwt_payload_handler', #指定自定义函数以生成令牌有效内容
'JWT_PAYLOAD_GET_USER_ID_HANDLER':
'rest_framework_jwt.utils.jwt_get_user_id_from_payload_handler', #如果您的存储username方式与默认的有效负载处理程序不同,请实现此功能以username从有效负载中获取
'JWT_RESPONSE_PAYLOAD_HANDLER': #负责控制登录或刷新后返回的响应数据。覆盖以返回自定义响应
'rest_framework_jwt.utils.jwt_response_payload_handler',
'JWT_SECRET_KEY': settings.SECRET_KEY, #使用系统全局的SECRET_KEY
'JWT_GET_USER_SECRET_KEY': None, #这是JWT_SECRET_KEY的更强大版本。它是根据用户定义的,因此如果令牌被泄露,可以由所有者轻松更改。更改此值将使给定用户的所有令牌都无法使用。值应该是一个函数,接受用户作为唯一参数并返回它的密钥。
'JWT_PUBLIC_KEY': None,
'JWT_PRIVATE_KEY': None,
'JWT_ALGORITHM': 'HS256', #加密算法,必须设置为一个RS256,RS384或RS512。
'JWT_VERIFY': True,
'JWT_VERIFY_EXPIRATION': True,
'JWT_LEEWAY': 0,
'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300), #设置有效期
'JWT_AUDIENCE': None,
'JWT_ISSUER': None, #这是一个字符串,将根据iss令牌字段进行检查。默认是None(不要检查issJWT)
'JWT_ALLOW_REFRESH': False,
'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), #设置令牌刷新时间,默认为datetime.timedelta(days=7)(7天)
'JWT_AUTH_HEADER_PREFIX': 'JWT', #您可以修改需要与令牌一起发送的Authorization标头值前缀。默认值为JWT,用于令牌和授权标头的另一个常见值是Bearer。
'JWT_AUTH_COOKIE': None, #验证Authorization标头同时也验证cookie,一般不用
}