5 分钟,快速入门 Python JWT 接口认证

开发 后端
为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据正常及未过期才会返回数据,否则直接报错。

 [[409954]]

本文转载自微信公众号「AirPython」,作者星安果。转载本文请联系AirPython公众号。

1. 前言

大家好,我是安果!

为了反爬或限流节流,后端编写接口时,大部分 API 都会进行权限认证,只有认证通过,即:数据正常及未过期才会返回数据,否则直接报错

本篇文章以 Django 为例,聊聊后端 JWT 接口认证的操作流程

2. JWT 介绍

JWT 全称为 JSON Web Token,是目前主流的跨域认证解决方案

数据结构由 3 部分组成,中间由「 . 」分割开

它们分别是:

  • Header 头部
  • Payload 负载
  • Signature 签名
  1. # JWT 数据的格式 
  2. # 组成方式:头部.负载.签名 
  3. Header.Payload.Signature 

其中

Header 用于设置签名算法及令牌类型,默认签名算法为 「 HS256 」,令牌类型可以设置为「 JWT 」

Payload 用于设置需要传递的数据,包含:iss 签发人、exp 过期时间、iat 签发时间等

Signature 用于对 Header 和 Payload 进行签名,默认使用的签名算法为 Header 中指定的算法

  1. # JWT 数据组成 
  2. # Header. Payload. Signature 
  3. # Header:{ "alg""HS256","typ""JWT"
  4. # Payload:iss、exp、iat等 
  5. # Signature:签名 
  6. Signature = HMACSHA256( 
  7.   base64UrlEncode(header) + "." + 
  8.   base64UrlEncode(payload), 
  9.   secret) 

PS:base64UrlEncode 相比 Base64 算法,会将结果中的「 = 」省略、「 + 」替换成「 - 」、「 / 」替换成「 _ 」

3. 实战一下

首先,在虚拟环境中安装 JWT 依赖包

  1. # 安装jwt依赖包 
  2. pip3 install pyjwt 

然后,定义一个方法用于生成 JWT Token

需要注意的是,生成 JWT Token 时需要指定过期时间、加密方式等

  1. import time 
  2. import jwt 
  3. from django.conf import settings 
  4.  
  5. def generate_jwt_token(user): 
  6.     ""
  7.     生成一个JWT Token 
  8.     :param user
  9.     :return
  10.     ""
  11.     # 设置token的过期时间戳 
  12.     # 比如:设置7天过期 
  13.     timestamp = int(time.time()) + 60 * 60 * 24 * 7 
  14.  
  15.     # 加密生成Token 
  16.     # 加密方式:HS256 
  17.     return jwt.encode({"userid"user.pk, "exp"timestamp}, settings.SECRET_KEY,'HS256'

接着,编写一个认证类

该类继承于「 BaseAuthentication 」基类,重写内部函数「 authenticate() 」,对请求参数进行 JWT 解密,并进行数据库查询,只有认证通过才返回数据,否则抛出异常

  1. import time 
  2.  
  3. import jwt 
  4. from django.conf import settings 
  5. from django.contrib.auth import get_user_model 
  6. from rest_framework import exceptions 
  7. from rest_framework.authentication import BaseAuthentication, get_authorization_header 
  8.  
  9. User = get_user_model() 
  10.  
  11. class JWTAuthentication(BaseAuthentication): 
  12.     """自定义认证类""" 
  13.  
  14.     keyword = 'jwt' 
  15.     model = None 
  16.  
  17.     def get_model(self): 
  18.         if self.model is not None: 
  19.             return self.model 
  20.         from rest_framework.authtoken.models import Token 
  21.         return Token 
  22.  
  23.     ""
  24.     A custom token model may be used, but must have the following properties. 
  25.  
  26.     * key -- The string identifying the token 
  27.     * user -- The user to which the token belongs 
  28.     ""
  29.  
  30.     def authenticate(self, request): 
  31.         auth = get_authorization_header(request).split() 
  32.  
  33.         if not auth or auth[0].lower() != self.keyword.lower().encode(): 
  34.             return None 
  35.  
  36.         if len(auth) !=2: 
  37.             raise exceptions.AuthenticationFailed("认证异常!"
  38.  
  39.         # jwt解码 
  40.         try: 
  41.             jwt_token = auth[1] 
  42.             jwt_info = jwt.decode(jwt_token, settings.SECRET_KEY,'HS256'
  43.  
  44.             # 获取userid 
  45.             userid = jwt_info.get("userid"
  46.  
  47.             # 查询用户是否存在 
  48.             try: 
  49.                 user = User.objects.get(pk=userid) 
  50.                 return user, jwt_token 
  51.             except Exception: 
  52.                 raise exceptions.AuthenticationFailed("用户不存在"
  53.         except jwt.ExpiredSignatureError: 
  54.             raise exceptions.AuthenticationFailed("抱歉,该token已过期!"

最后,在视图集 ViewSet 中,只需要在属性「 authentication_classes 」中指定认证列表即可

  1. from rest_framework import viewsets 
  2. from .models import * 
  3. from .serializers import * 
  4. from .authentications import * 
  5.  
  6. class GoodsViewSet(viewsets.ModelViewSet): 
  7.     # 所有商品数据 
  8.     queryset = Goods.objects.all() 
  9.  
  10.     # 序列化 
  11.     serializer_class = GoodsSerializer 
  12.  
  13.     # JWT授权 
  14.     authentication_classes = [JWTAuthentication] 

4. 最后

在实际项目中,一般在登录的时候生成 JWT Token,后续接口中只需要在请求头中设置 JWT Token 即可正常返回数据

  1. import requests 
  2.  
  3. url = "***.***.****" 
  4.  
  5. payload={} 
  6. headers = { 
  7.   'AUTHORIZATION''jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOiJVTmJCRTJTRlNndm5DU0c3amdQZGJVIiwiZXhwIjoxNjI2MDk5NDA5fQ.cxXsRulEWWQotNpb7XwlZbISrrpb7rSRCjkLsyb8WDM' 
  8.  
  9. response = requests.request("GET", url, headers=headers, data=payload) 
  10. print(response.text) 

 

 

责任编辑:武晓燕 来源: AirPython
相关推荐

2016-09-30 15:13:01

Python代码

2012-07-10 01:22:32

PythonPython教程

2013-06-27 09:41:19

LuaLua语言Lua语言快速入门

2021-04-15 09:03:33

框架 Pytest测试

2017-12-22 09:30:45

PythonSQLite数据库

2022-02-17 09:24:11

TypeScript编程语言javaScrip

2020-12-07 11:23:32

Scrapy爬虫Python

2021-03-23 15:35:36

Adam优化语言

2023-02-16 08:26:41

2024-10-15 09:18:30

2011-07-11 09:58:52

2024-09-13 08:49:45

2021-08-03 17:00:25

Spring Boot代码Java

2021-01-27 18:15:01

Docker底层宿主机

2021-06-07 12:08:06

iOS Python API

2023-11-01 08:50:52

DjangoPython

2023-09-08 07:54:01

TkinterPython

2023-09-11 08:25:57

PythonPyQt

2021-01-06 05:23:15

ServiceMesh网络阿帕网

2024-04-07 10:07:52

点赞
收藏

51CTO技术栈公众号