JWT

什么是JWT？

　　json web token，一般用于用户认证（前后端分离/微信小程序/app开发）

　　部分公司用的pip install djangorestframework-jwt本质就是调用pyjwt

传统的token验证工作流程：

用户登录，后台效验用户名和密码正确会生成一个Token（随机的字符串），会在数据库保存一份，然后将生成的token返回给前端，下次用户访问其他页面会带着token,
根据这个token去数据库里对比判断用户是否登录。

          

实现代码：

# 创建一个Django项目
    我们用restframework来写，注意在settings里的app里要把rest_framework加上
　　

# 创建一个model表，要有token字段

         

# 写urls

         

# 在views里写

from django.shortcuts import render,HttpResponse
from rest_framework.views import APIView
from rest_framework.response import Response
from app01 import models
import uuid
# Create your views here.
class LoginView(APIView):
    def post(self,request,*args,**kwargs):
        name = request.data.get('name')
        pwd = request.data.get('password')
        userobj = models.UserInfo.objects.filter(name=name,password=pwd).first()
        if not userobj:
            return Response({'code': 300, 'msg': '用户名密码错误'})
        token = str(uuid.uuid4())
        userobj.token = token
        userobj.save()
        return Response({'code':100,'msg':'登录成功'})

class OrderView(APIView):
    def get(self,request,*args,**kwargs):
        token = request.query_params.get('token')
        print(token,request.query_params)
        if not token:
            return Response({'code':301,'msg':'请登录后访问'})
        user_obj = models.UserInfo.objects.filter(token=token).first()
        if not user_obj:
            return Response({'code':302,'msg':'token失效，请重新登录'})
        return Response('订单页面')

# 用postman测试

 

-----------------------------------------------------------------------------------------------------------------------------

登录成功后会在数据库里产生token

不带token访问会要求登录后访问

乱带一个会校验token

带数据库里的token才可以查看信息

 

这是传统的token验证的做法

下面来介绍一下JWT的原理及实现方法

　　

　　　　https://jwt.io/#debugger-io

用户提交用户名和密码给服务端如果登录成功，使用jwt创建一个token,并给用户返回

eyJhbGciOiJIUzIINiIsInR5cCI6IkpxvCJ9. eyJzdwIioiIxMjMONTY3ODkwIiwibmFtZSI6IkpvaG4gRG91Iiwi awFOIjoxNTE2MjM5MDIyfQ. Sf1KxwRJSMeKKF 2QT4fwpMeJf36POk6yJV_ adQssw5c

注意： jwt 生成的 token 是由三段字符串组成并且用 "." 连接起来。

Token的加密过程

第一段字符串,HEADER,内部包含算法/token类型

json转化成字符串，然后做base64url加密(base64加密;里面的“+”,“/”等换成“_”)

{
    "a1g": "HS256",
    "typ": "JWT"
}

第二段字符串,payload,自定义值

json转化成字符串，然后做base64url加密(base64加密;里面的“+”,“/”等换成“_”)

{
    "id"; "123123",
    "name": "chenggen" ，
    "exp": 1516239022 #超时时间
}

第三段字符串:

第一步:第1,2部分密文拼接起来
eyJhbGcioiJIUzIINiIsInR5cCI6IkpXVC19.eyJzdwIioiIxMjMONTY30DkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaNFOIjoxNTE2MjM5MDIyfQ

第二步:对前2部分密文进行HS256加密+加盐

第三步:对HS256加密后的密文再做base64ur1加密

 后端的效验过程

以后用户再来访问时候需要携带token,后端霖要对token进行校验。

获取token

第一步：对token进行切割

eyJhbGcioiJIUzIINiIsInRScCI6IkpXVCJ9. eyJzdwIiOiIxMjMONTY30DkwIiwibmFtZSI6IkpvaG4gRG91Iiwi alwFOIjoxNTE2MjM5MDIyfQ. Sf]KxwRJSMeKKF 2QT4fwpMeJf36POk6yJV_ adQssw5c

第二步:对第二段进行base64url解密,并获取payload信息检测token是否已经超时?

{
　　"id": "123123",

　　"name": ”chenggen"，

　　"exp": 1516239022 #超时时间

}

第三步:把第1,2端拼接再次执行sha256加密”

第一步:第1,2部分密文拼接起来

eyJhbGcioiJIUzINiIsInRScCI6IkpXVC39.eyJzdwTi0iTxMjMONTY30DkwIiwibmFtZSI6IkpvaG4gRG9lIiwiainFOIjoxNTE2MjM5MDIyfQ

第二步:对前2部分密文进行HS256加密+加盐

密文= base64解密(sf1KxwRJSMeKKF2QT4fwpMeJf36POk6yJV adQssw5c)如果相等,表示token未被修改过. (认证通过)

 Jwt的应用

安装：pip install pyjwt

class JwtLoginView(APIView):
    def post(self,request,*args,**kwargs):
        name = request.data.get('name')
        pwd = request.data.get('password')
        userobj = models.UserInfo.objects.filter(name=name,password=pwd).first()
        if not userobj:
            return Response({'code': 300, 'msg': '用户名密码错误'})
        import jwt
        import datetime

        salt = 'deghrtyjtdhtegjdyujhtjhrgtrjttf'
        # 构造header ， 这里不写默认的也是
        headers = {
            'typ': 'jwt',
            'alg': 'HS256'
        }
        # 构造payload
        payload = {
            'user_id': userobj.id,  # 自定义用户ID
            'username': userobj.name,  # 自定义用户名
            'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5)  # 超时时间，取现在时间，五分钟后token失效
        }
        token = jwt.encode(payload=payload, key=salt, algorithm="HS256", headers=headers).decode('utf-8')
        return Response({'code':100,'msg':'登录成功','token':token})



postman 测试

JWTorder页面

class JwtOrderView(APIView):
    def get(self,request,*args,**kwargs):
        import jwt
        from jwt import exceptions
        salt = 'deghrtyjtdhtegjdyujhtjhrgtrjttf'
        token = request.query_params.get('token')
        payload = None
        msg = None

        try:
            payload = jwt.decode(token,salt,True)
        except exceptions.ExpiredSignatureError:
            msg = 'token已失效'
        except jwt.DecodeError:
            msg = 'token认证失败'
        except jwt.InvalidTokenError:
            msg = '非法的token'
        if not payload:
            return Response({'code':303,'error':msg})
        print(payload['user_id'],payload['username'])
        return Response('订单页面')

在项目中这么写会很乱，所以我们可以子自定义写文件导入

urls.py

url(r'^pro/login/$', views.ProLoginView.as_view()),
url(r'^pro/order/$', views.ProOrderView.as_view()),

自定义文件

 auth.py

from django.conf import settings
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
import jwt
from jwt import exceptions

class JwtQueryParamsAuthentication(BaseAuthentication):
    def authenticate(self, request):
        # 获取token并判断token的合法性
        token = request.query_params.get('token')
        salt = settings.SECRET_KEY
        try:
            payload = jwt.decode(token,salt,True)
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({'code':1003,'error':'token已失效'})
        except jwt.DecodeError:
            raise AuthenticationFailed({'code':1003,'error':'token认证失败'})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({'code':1003,'error':'非法的token'})
        # 三种操作
         #1.抛出异常，后续不在执行
         #2.return一个元组(1,2),认证通过，在视图中如果调用request.user就是元组的第一个值，requset.auth就是第二个值
         #3.None
        return (payload,token)

jwt_auth.py

import jwt
import datetime
from django.conf import settings

def create_token(payload,timeout=5):
    salt = settings.SECRET_KEY
    # 构造header
    header = {
        'typ':'jwt',
        'alg':'HS256'
    }
    # 构造payload
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(minutes=timeout)
    token = jwt.encode(payload=payload,key=salt,algorithm="HS256",headers=header).decode('utf-8')
    return token

views.py

from app01.extensions.auth import JwtQueryParamsAuthentication
from app01.utils.jwt_auth import create_token
class ProLoginView(APIView):
    def post(self,request,*args,**kwargs):
        name = request.data.get('name')
        pwd = request.data.get('password')
        user_obj = models.UserInfo.objects.filter(name=name,password=pwd).first()
        if not user_obj:
            return Response({'code':301,'error':'用户名或密码错误'})
        token = create_token({'id':user_obj.id,'name':user_obj.name})
        return Response({'code':302,'data':token})

class ProOrderView(APIView):
    authentication_classes = [JwtQueryParamsAuthentication,]
    def get(self,request,*args,**kwargs):
        print(request.user)
        return Response('订单列表')

最后在settings里设置一个全局的认证

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES':['app01.extensions.auth.JwtQueryParamsAuthentication']
}

这样写的话全局都会有token认证，但是登陆页面我们不能验证，否则会死循环了，只需要加

authention_classes = []