主题一: 使用Django实现JWT身份验证与登录流程
最编程
2024-07-28 10:22:58
...
目标
专题记录一种django的jwt登录认证的实现方法,实现如下功能和步骤:
- 自定义User类模型:模拟AbstractUser类,实现自定义User
- 序列化自定义User:基于REST frame实现model的序列化,提高编码效率
- 实现jwt加密和解密:利用JWT验证用户信息
- 基于视图类的登录接口实现:基于APIView实现post登录接口
- 系统配置将自定义User模型关联:验证配置,通用化配置
- API接口的登录校验
自定义User
思路:
参考AbstractUser实现自定义User类:
1.定义User对应数据的字段
2.定义objects对应的管理类UserManager
3.USERNAME_FIELD(用户校验的字段,默认为username)和REQUIRED_FIELDS(必选字段,不能与USERNAME_FIELD相同)特殊字段
4.UserManager实现(参考AbstractUser具体实现)
代码models.py
from django.db import models
from django.contrib.auth.models import AbstractUser, AbstractBaseUser, PermissionsMixin, BaseUserManager
from shortuuidfield import ShortUUIDField
class UserManager(BaseUserManager):
use_in_migrations = True
def _create_user(self, telephone, username, password, **extra_fields):
if not telephone:
raise ValueError('The given telephone must be set')
if not username:
raise ValueError('The given username must be set')
if not password:
raise ValueError('The given password must be set')
user = self.model(telephone=telephone, username=username, **extra_fields)
user.set_password(password)
user.save()
return user
def create_user(self, telephone, username, password=None, **extra_fields):
"""
创建普通用户
"""
extra_fields.setdefault('is_superuser', False)
return self._create_user(telephone, username, password, **extra_fields)
def create_superuser(self, telephone, username, password, **extra_fields):
"""
创建超级用户
"""
extra_fields.setdefault('is_superuser', True)
if extra_fields.get('is_superuser') is not True:
raise ValueError('Superuser must have is_superuser=True.')
return self._create_user(telephone, username, password, **extra_fields)
class CustomUser(AbstractBaseUser, PermissionsMixin):
"""
重写django的User
"""
uid = ShortUUIDField(primary_key=True, verbose_name="用户表主键")
telephone = models.CharField(unique=True, max_length=11, verbose_name="手机号码")
email = models.EmailField(unique=True, max_length=100, verbose_name='邮箱', null=True)
username = models.CharField(max_length=100, verbose_name="用户名", unique=False)
avatar = models.CharField(max_length=200, verbose_name='头像链接')
date_joined = models.DateTimeField(auto_now_add=True, verbose_name='加入时间')
is_active = models.BooleanField(default=True, verbose_name="是否可用")
objects = UserManager()
EMAIL_FIELD = 'email'
# 定义登录的校验字段,默认为username
USERNAME_FIELD = 'telephone'
REQUIRED_FIELDS = ['username']
def get_full_name(self):
return self.username
def get_short_name(self):
return self.username
序列化User
思路
基于rest framework的能力,序列化对应的model,提高后期编码效率。 Meta类下如下字段说明:
model:关联具体的模型
fields/exclude:二选一,fields为包含,exclude为不包含
serialzies.py
from rest_framework import serializers
from django.contrib.auth import get_user_model
User = get_user_model()
class UserSerializer(serializers.ModelSerializer):
class Meta:
model = User
fields = "__all__"
JWT加解密
思路
pip install安装jwt pip install pyjwt,安装对应的第三方依赖,实现jwt的加解密。
JWT需要实现两个功能:
1.加密,将要加密的信息和时间戳以json的格式封装,用Django的settings文件的SECRET_KEY进行jwt加密,生产加密信息
2.解密,参考rest_framework.authencation的TokenAuthentication自定义认证类,实现认证类authenticate方法,解密header下authentication携带的用户信息
3.时区时间,注意expire_time需要使用带时区的时间,即timezone
authoriztions.py
from rest_framework.authentication import TokenAuthentication, BaseAuthentication, get_authorization_header
from rest_framework import exceptions
import jwt
from django.contrib.auth import get_user_model
from django.conf import settings
from jwt.exceptions import ExpiredSignatureError
from datetime import datetime, timedelta
from django.utils import timezone
# 获取全局的user模型
MTUser = get_user_model()
def generate_jwt(user):
"""
对user对象的id和时间戳进行jwt加密,作为认证信息
"""
# expire_time = datetime.now() + timedelta(days=7) 没有时区信息
expire_time = timezone.now() + timedelta(days=7) # 有时区信息
return jwt.encode({'userid': user.pk, 'exp': expire_time}, key=settings.SECRET_KEY).decode('utf-8')
class JWTAuthentication(BaseAuthentication):
"""
用户认证类
"""
keyword = 'jwt' # jwt为token的认证关键字,进行合法性校验
def authenticate(self, request):
"""
用户校验方法
"""
auth = get_authorization_header(request).split() # 读取request下的header指定authorization字段信息,存储用户认证信息
if not auth or auth[0].lower() != self.keyword.lower().encode():
return None
# jwt格式校验
if len(auth) == 1:
msg = "不可用的JWT请求头"
raise exceptions.AuthenticationFailed(msg)
elif len(auth) > 2:
msg = '不可用的JWT请求头!JWT Token中间不应该有空格!'
raise exceptions.AuthenticationFailed(msg)
try:
jwt_token = auth[1]
jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY) # jwt解密,获取userid
userid = jwt_info.get('userid')
try:
user = MTUser.objects.get(pk=userid)
return user, jwt_token
except:
msg = "用户不存在"
raise exceptions.AuthenticationFailed(msg)
except ExpiredSignatureError:
msg = "JWT Token过期"
raise exceptions.AuthenticationFailed(msg)
登录接口实现
思路
基于rest_framework类的views.APIView实现,对于登录接口通过post接口实现。
1.定义视图类views.APIView的post方法
2.AuthTokenSerializer序列化request.data,获得认证请求的序列化对象,判断参数有效性并获得对应user的模型(配置JWTAuthentication .authoriztions为工程的用户验证类).2.1.AuthTokenSerializer会判断请求username和password`的有效性
2.2.有效的前期下,会使用系统默认/自定义authoriztions获取对应的用户model对象
3.根据user对象,jwt加密token
4.user对象序列化后返回Response
views.py
from rest_framework.authtoken.serializers import AuthTokenSerializer
from django.utils.timezone import now
from .serializers import UserSerializer
from rest_framework.response import Response
from .authoriztions import generate_jwt
class LoginView(views.APIView):
def post(self, request):
serialzier = AuthTokenSerializer(data=request.data) # request对象的AuthTokenSerializer序列化
if serialzier.is_valid(): # 序列化有效性判断
user = serialzier.validated_data.get('user') # 获取user对象
user.last_login = now() # 更新登录时间
user.save()
# 根据用户对象生产jwt token
token = generate_jwt(user) # 根据user对象生产token
userSerializer = UserSerializer(instance=user)
return Response({'token': token, "user": userSerializer.data}) # 结果返回
else:
return Response(data={"message": "用户名或密码错误"})
class LoginView(views.APIView):
def post(self, request):
serialzier = AuthTokenSerializer(data=request.data) # request对象的AuthTokenSerializer序列化
if serialzier.is_valid(): # 序列化有效性判断
user = serialzier.validated_data.get('user') # 获取user对象
user.last_login = now() # 更新登录时间
user.save()
# 根据用户对象生产jwt token
token = generate_jwt(user) # 根据user对象生产token
userSerializer = UserSerializer(instance=user)
return Response({'token': token, "user": userSerializer.data}) # 结果返回
else:
return Response(data={"message": "用户名或密码错误"})
工程配置
思路
工程配置分类两类,都在配置文件settings.py配置:
1.通用配置
时区配置:LANGUAGE_CODE = 'zh-Hans',TIME_ZONE = 'Asia/Shanghai'
2.数据库配置:
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql',
'NAME': '数据库名称',
'USERNAME': '用户',
'PASSWORD': '密码',
'HOST': 'ip',
'PORT': 端口,
}
}
2.验证信息配置
1.认证用户模型
AUTH_USER_MODEL = "custom_auth.CustomUser"
#custom_auth为对应app,即在INSTALLED_APPS注册
#CustomUser,自定义User,参考AbstractUser实现自定义
登录测试
请求登录接口,username为自定义User的telephone字段,password为密码,接口返回token和user对象。
image.png
序列化的好处是不用在对字段一一赋值,框架自动返回字段
image.png
image.png
用户认证
思路
视图类设置关键属性,来确认是否需要登录校验,以及如何校验,对应的视图类属性为:
permission_classes:
验证权限,如IsAuthenticated(登录用户),IsAdminUser(管理员),AllowAny(所有用户)
authentication_classes:
验证方式,如默认方式TokenAuthentication,或者自定义方式JWTAuthentication
代码实现
class UserView(views.APIView):
permission_classes = [IsAuthenticated] # 权限
authentication_classes = [JWTAuthentication] # 用户认证类
def get(self, request):
"""
获取所有用户信息
"""
user = CustomUser.objects.all()
serializer = UserSerializer(instance=user, many=True)
return Response(data=serializer.data)
def put(self, request):
"""
修改指定用户
"""
user = request.user
user.username = request.data.get('username')
user.telephone = request.data.get('telephone')
user.email = request.data.get('email')
user.avatar = request.data.get('avatar')
user.save()
serializer = UserSerializer(user)
return Response(data=serializer.data)
推荐阅读
-
用Java实现基于JWT的Token身份验证登录流程 - 一、简述JWT是什么
-
用DJango REST框架实现JWT身份验证、 token更新与多种登录方法探索
-
使用 SpringBoot 和 JWT 实现简单易用的用户注册、登录及身份验证流程
-
主题一: 使用Django实现JWT身份验证与登录流程
-
ssh工作流程及原理-SSH(Secure Shell Protocol,安全的壳程序协议),它可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。ssh协议本身提供两个服务器功能:一个是类似telnet的远程连接使用shell的服务器;另一个就是类似ftp服务的sftp-server,提供更安全的ftp服务。 连接加密技术简介 目前常见的网络数据包加密技术通常是通过“非对称密钥系统”来处理的。主要通过两把不一样的公钥与私钥来进行加密与解密的过程。 公钥(public key):提供给远程主机进行数据加密的行为,所有人都可获得你的公钥来将数据加密。 私钥(private key):远程主机使用你的公钥加密的数据,在本地端就能够使用私钥来进行解密。私钥只有自己拥有。 SSH工作过程:在整个通讯过程中,为实现SSH的安全连接,服务端与客户端要经历如下五个阶段: 版本号协商阶段 SSH目前包括SSH1和SSH2两个版本,双方通过版本协商确定使用的版本 密钥和算法协商阶段 SSH支持多种加密算法,双方根据本端和对端支持的算法,协商出最终使用的算法 认证阶段 SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证 会话请求阶段 认证通过后,客户端向服务器端发送会话请求 交互会话阶段 会话请求通过后,服务器端和客户端进行信息的交互 一、版本协商阶段 服务器端打开端口22,等待客户端连接; 客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,包括版本标志字符串,格式为“SSH-<主协议版本号>.<次协议版本号>.<软件版本号>”,协议版本号由主版本号和次版本号组成,软件版本号主要是为调试使用。 客户端收到报文后,解析该数据包,如果服务器的协议版本号比自己的低,且客户端能支持服务器端的低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。 客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号,决定是否能同客户端一起工作。如果协商成功,则进入密钥和算法协商阶段,否则服务器断开TCP连接。 说明:上述报文都是采用明文方式传输。 二、密钥和算法协商阶段 服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等等。 服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。 服务器端和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话ID。 由此,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使用会话密钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话用于认证过程。 会话密钥的生成: 客户端需要使用适当的客户端程序来请求连接服务器,服务器将服务器的公钥发送给客户端。(服务器的公钥产生过程:服务器每次启动sshd服务时,该服务会主动去找/etc/ssh/ssh_host*文件,若系统刚装完,由于没有这些公钥文件,因此sshd会主动去计算出这些需要的公钥文件,同时也会计算出服务器自己所需要的私钥文件。) 服务器生成会话ID,并将会话ID发给客户端。 若客户端第一次连接到此服务器,则会将服务器的公钥数据记录到客户端的用户主目录内的~/.ssh/known_hosts。若是已经记录过该服务器的公钥数据,则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话密钥,并用服务器的公钥加密后,发送给服务器。 ****服务器用自己的私钥将收到的数据解密,获得会话密钥。 服务器和客户端都知道了会话密钥,以后的传输都将被会话密钥加密。 三、认证阶段 SSH提供两种认证方法: 基于口令的认证(password认证):客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器,服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较,并返回认证成功或失败消息。 基于密钥的认证(publickey认证):客户端产生一对公共密钥,将公钥保存到将要登录的服务器上的那个账号的家目录的.ssh/authorized_keys文件中。认证阶段:客户端首先将公钥传给服务器端。服务器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比,如果不相同,则认证失败;否则服务端生成一段随机字符串,并先后用客户端公钥和会话密钥对其加密,发送给客户端。客户端收到后将解密后的随机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的一样,则认证通过,否则,认证失败。 注:服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证,该过程反复进行。直到认证成功或者认证次数达到上限,服务器关闭连接为止。实例
-
Nest.js 实用系列 II - 与您一起动手--实现注册、扫码登录、jwt 身份验证等。