django--通过jwt获取⽤户信息的两种⽅式
HTTP请求是⽆状态的,我们通常会使⽤cookie或session对其进⾏状态保持,cookie存储在客户端,容易被⽤户误删,安全性不
⾼,session存储在服务端,在服务器集情况下需要解决session不共享的问题,常⽤的解决⽅案有4种:客户端Cookie保存、服务器间Session同步、使⽤集管理Session、把Session持久化到数据库。
jwt:json web token
在⽤户注册登录后,记录⽤户登录状态,我们可以⽤cookie和session来做状态保持,cookie存储在客户端,安全性低,session存储在服务器端,安全性⾼,但是在分布式架构中session不能同步化,所以我们⽤jwt来验证接⼝安全
组成:头部载荷签证
Jwt服务端不需要存储token串,⽤户请求时携带着经过哈希加密和base64编码后的字符串过来,服务端通过识别token值判断⽤户信息、过期时间等信息,在使⽤期间内不可能取消令牌或更改令牌权限。
jwt的安装与配置
# 安装 pip install djangorestframework-jwt
From rest_framework_jwt.authentication import JSONWebTokenAuthentication
Settings.py
INSTALLED_APPS = [
'''
'rest_framework.authtoken',
'''
]
>>>#### 2、配置jwt验证 >>>>##
REST_FRAMEWORK = {
# ⾝份认证
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
),
}
import datetime
JWT_AUTH = {
'JWT_AUTH_HEADER_PREFIX': 'JWT',
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}
AUTH_USER_MODEL='app.User'# 指定使⽤APP中的 model User进⾏验证
在django中,我们⽤内置的User表做登录功能
from rest_framework_jwt.views import obtain_jwt_token # 验证密码后返回token
urlpatterns = [
re_path(r'v1/login/$', obtain_jwt_token,name='login'), # ⽤户登录后返回token
]
前端获取到token并且setitem
var token = 'JWT ' + ken
localStorage.setItem('token', token);
在我们封装的⾥有请求和响应,需要在每次发起请求的时候获取token
import Axios from 'axios'
import { Toast } from 'vant';
import URLS from '../../config/urls'
//1、使⽤⾃定义配置新建⼀个 axios 实例
const instance = ate({
baseURL: URLS.API_URL,
responseType: 'json',
});
django登录注册功能//2、添加请求:每次发送请求就会调⽤此,添加认证token
quest.use(
config => {
//发送请求前添加认证token,
console.Item('token'))
config.headers.Authorization = Item('token'); # 获取token
// config.headers.Authorization = Item('token')
return config
},
err => {
ject(err)
});
// 3、响应
sponse.use(
response => {
if (response.status === 200) {
solve(response);
} else {
ject(response);
}
},
// 服务器状态码不是200的情况
error => {
if (sponse.status) {
switch (sponse.status) {
// 401: 未登录
/
/ 未登录则跳转登录页⾯,并携带当前页⾯的路径
// 在登录成功后返回当前页⾯,这⼀步需要在登录页操作。
case 401:
path: '/login',
query: { redirect: router.currentRoute.fullPath }
});
break;
// 403 token过期
// 登录过期对⽤户进⾏提⽰
// 清除本地token和清空vuex中token对象
/
/ 跳转登录页⾯
case 403:
Toast({
message: '登录过期,请重新登录',
duration: 1000,
forbidClick: true
});
// 清除token
storemit('loginSuccess', null);
// 跳转登录页⾯,并将要浏览的页⾯fullPath传过去,登录成功后跳转需要访问的页⾯ setTimeout(() => {
path: '/login',
query: {
redirect: router.currentRoute.fullPath
}
});
}, 1000);
break;
// 404请求不存在
case 404:
Toast({
message: '⽹络请求不存在',
duration: 1500,
forbidClick: true
});
break;
// 其他错误,直接抛出错误提⽰
default:
Toast({
message: ssage,
duration: 1500,
forbidClick: true
});
}
sponse);
}
}
);
export default instance
这样即完成了jwt接⼝安全的认证
那么在python后端如何去获取jwt并提取我们需要的信息呢?from rest_framework_jwt.authentication import JSONWebTokenAuthentication from rest_framework.views import exception_handler
from rest_framework_jwt.utils import jwt_decode_handler
# 获取登陆的⽤户
token = ('HTTP_AUTHORIZATION')[4:]
token_user = jwt_decode_handler(token)
user_id = token_user['user_id'] # 获取⽤户id
这个⽅法不⽤在前端封装getitem token
或者从前端传过来token然后获取
.vue
var formdata = {
id : this.$route.params.id, // 获取/id
// this.$route.query.subid 获取?subid=id
token: Item('token'),
}
postCreate(formdata).then(resp=>{
console.log(resp)
s)
}).catch(err=>{
alert(err)
console.log(err)
})
}
python views.py
def post(self,request):
data = request.data # 获取post⽅法的数据
# print(data)
token = ('token')[4:]
toke_user = jwt_decode_handler(token)
user_id = toke_user['user_id']
def get(self,request):
data = request.query_params # 获取get⽅法的参数
OK!结束
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
Django框架开发的问答系统
« 上一篇
python用户登录的逻辑
下一篇 »
发表评论