码迷,mamicode.com
首页 > 其他好文 > 详细

超详细的JWT认证

时间:2020-07-15 01:15:46      阅读:348      评论:0      收藏:0      [点我收藏+]

标签:odk   superuser   格式   拆分   就会   模块   setting   前台   父类   

JWT认证

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

翻译成人话是:JWT就是一段字符串,用来进行用户身份认证的凭证,该字符串分成三段【头部、载荷、签证】

头部header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
  ‘typ‘: ‘JWT‘,
  ‘alg‘: ‘HS256‘
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷payload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避时序攻击。

公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

签证signature

JWT的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + ‘.‘ + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, ‘secret‘); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。

文档网站:http://getblimp.github.io/django-rest-framework-jwt/


jwt认证原理

jwt认证算法:签发与校验

"""
1)jwt分三段式:头.体.签名 (head.payload.sgin)
2)头和体是可逆加密,让服务器可以反解出user对象;签名是不可逆加密,保证整个token的安全性的
3)头体签名三部分,都是采用json格式的字符串,进行加密,可逆加密一般采用base64算法,不可逆加密一般采用hash(md5)算法
4)头中的内容是基本信息:公司信息、项目组信息、token采用的加密方式信息
{
	"company": "公司信息",
	...
}
5)体中的内容是关键信息:用户主键、用户名、签发时客户端信息(设备号、地址)、过期时间
{
	"user_id": 1,
	...
}
6)签名中的内容时安全信息:头的加密结果 + 体的加密结果 + 服务器不对外公开的安全码 进行md5加密
{
	"head": "头的加密字符串",
	"payload": "体的加密字符串",
	"secret_key": "安全码"
}
"""

签发:根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token

"""
1)用基本信息存储json字典,采用base64算法加密得到 头字符串
2)用关键信息存储json字典,采用base64算法加密得到 体字符串
3)用头、体加密字符串再加安全码信息存储json字典,采用hash md5算法加密得到 签名字符串

账号密码就能根据User表得到user对象,形成的三段字符串用 . 拼接成token返回给前台
"""

校验:根据客户端带token的请求 反解出 user 对象

"""
1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间和设备信息都是安全信息,确保token没过期,且时同一设备来的
3)再用 第一段 + 第二段 + 服务器安全码 不可逆md5加密,与第三段 签名字符串 进行碰撞校验,通过后才能代表第二段校验得到的user对象就是合法的登录用户
"""

drf项目的jwt认证开发流程(重点)

‘‘‘
- 1)用账号密码访问登录接口,登录接口逻辑中调用 签发token 算法,得到token,返回给客户端,客户端自己存到cookies中
- 2)校验token的算法应该写在认证类中(在认证类中调用),全局配置给认证组件,所有视图类请求,都会进行认证校验,所以请求带了token,就会反解出user对象,在视图类中用request.user就能访问登录的用户
- 注:登录接口需要做 认证 + 权限 两个局部禁用
‘‘‘

补充base64编码解码

import base64
import json
dic_info={
  "sub": "1234567890",
  "name": "lqz",
  "admin": True
}
byte_info=json.dumps(dic_info).encode(‘utf-8‘)
# base64编码
base64_str=base64.b64encode(byte_info)
print(base64_str)
# base64解码
base64_str=‘eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogImxxeiIsICJhZG1pbiI6IHRydWV9‘
str_url = base64.b64decode(base64_str).decode("utf-8")
print(str_url)

jwt的简单使用

官网

# http://getblimp.github.io/django-rest-framework-jwt/

安装第三方模块djangorestframework-jwt

# pip install djangorestframework-jwt

简单使用

# 1 创建超级用户
python3 manage.py createsuperuser
# 2 配置路由urls.py
from django.urls import path
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    path(‘login/‘, obtain_jwt_token),
]
# 3 postman测试
向后端接口发送post请求,携带用户名密码,即可看到生成的token

# 4 setting.py中配置认证使用jwt提供的jsonwebtoken
# 5 postman发送访问请求(必须带jwt空格)


Auth中使用jwt认证

路由中导入认证类

三个认证类(ObtainJSONWebToken, VerifyJSONWebToken, RefreshJSONWebToken),且都继承一个基类(JSONWebTokenAPIView),基类又继承了APIView

我们可以导入obtain_jwt_token、refresh_jwt_token、verify_jwt_token,这样我们就不需要.as_view方法了

‘‘‘
obtain_jwt_token = ObtainJSONWebToken.as_view()
refresh_jwt_token = RefreshJSONWebToken.as_view()
verify_jwt_token = VerifyJSONWebToken.as_view()
‘‘‘
# 路由中配置
# 基类JSONWebTokenAPIView中设置了permission_classes = ()、authentication_classes = ()
# 因此我们设置全局也没关系
path(‘login/‘, obtain_jwt_token),
path(‘show/‘, views.UserView.as_view()) # 用于验证是否登录

视图中导入认证模块,局部配置或者全局直接配置

# 视图中配置
from rest_framework.views import APIView
from rest_framework_jwt.authentication import JSONWebTokenAuthentication  # 认证模块
from homework.models import User
from utils.response import UserResponse

class UserView(APIView):
    # 局部配置认证模块
    # 当发送get请求时,请求头中必须配置Authorization:JWT+空格+登录后返回的token
    # 由jwt配置文件中的‘JWT_AUTH_HEADER_PREFIX‘: ‘JWT‘,来控制
    # 默认JWT+空格+token,内部会根据空格来切割,取出token进行后续操作
    # 如果不传,则也能访问但是此时用户是游客模式
    authentication_classes = [JSONWebTokenAuthentication, ]
    def get(self, request):
        return UserResponse()
# 全局配置
REST_FRAMEWORK = {
    ‘DEFAULT_AUTHENTICATION_CLASSES‘: (
        ‘users.app_auth.JSONWebTokenAuthentication‘,
    ),
}

使用jwt自定制认证类

新建一个py文件编写认证类

from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication
from rest_framework_jwt.authentication import jwt_decode_handler
from rest_framework import exceptions

# 继承BaseJSONWebTokenAuthentication,重写父类的authenticate方法
class MyToken(BaseJSONWebTokenAuthentication):
    def authenticate(self, request):
        # 获取get请求头中携带的token数据
        jwt_value = str(request.META.get(‘HTTP_AUTHORIZATION‘))
        # 判断get请求头中是否携带token,如果没有就是游客模式,直接返回None
        if jwt_value is None:
            return None
        try:
            # 将token数据进行decode解码后得到payload(用户信息),如果token超时或者错误,就会抛出异常
            payload = jwt_decode_handler(jwt_value)
        except Exception:
            # 捕获异常返回异常处理后的json格式数据
            raise exceptions.AuthenticationFailed(‘认证失败‘)
        # 将用户信息传入,内部会取出用户名,然后根据用户名获取到user对象并返回
        # 因此这里的user就是一个user对象
        user = self.authenticate_credentials(payload)
        # 最后返回两个参数,一个是user对象,另一个是token(也可以是其他数据看你自己要返回啥)
        return user, jwt_value

视图中导入自定义的认证类并局部使用

from rest_framework.views import APIView
from utils.response import UserResponse # 自己封装的Response
from jwtdemo.auth import MyToken


class UserView(APIView):
    authentication_classes = [MyToken, ]

    def get(self, request):
        print(request.user)
        return UserResponse()

超详细的JWT认证

标签:odk   superuser   格式   拆分   就会   模块   setting   前台   父类   

原文地址:https://www.cnblogs.com/guanxiying/p/13303206.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!