JWT身份认证原理

官网：Json Web Token

0x01 认证原理

JWT，Json Web Token。用户登陆成功后，服务端返回一个 jwt 的 token，服务端不储存，客户端储存。此后客户端每次请求，都带上 token。服务端会 jwt校验 token 的有效性。优点显而易见，是不需要在服务端储存 token，服务端只需要做校验有效性的工作即可。

JWT官方解释

JWT 格式：

点分三段的字符串：

第一段：HEADER

base64url 加密的密文，可解密。

jwt 头部，包含说明第三段不可解密的编码算法名 HS256、字段数据类型标识 JWT。

第二段：PAYLOAD

base64url 加密的密文，可解密。

jwt 数据，包含自定义的数据。

第三段：VERIFY SIGNATURE

HS256 加密的密文，无法解密

校验签名，第一段密文.第二段密文“盐”进行 HS256 加密，生成密文，再做base64url 加密。

0x02 代码实例

为了实现用户登录之后的身份认证和授权管理，采用 JWT 认证。

pip install pyjwt

颁发 token

release.py

import jwt
import datetime
from django.conf import settings

def create_token(payload,timeout=30):
    """
    创建token的部分
    payload 外部传入payload，即用户信息在外部写，传入这里输出token即可
    timeout 超时时间，默认30s
    返回值：token
    """
    # 构造header
    headers = {
        "alg":"HS256",
        "typ":"jwt"
    }
    #构造payload
    payload['exp'] = datetime.datetime.utcnow() + datetime.timedelta(seconds=timeout)
    token = jwt.encode(payload=payload,key=settings.SECRET_KEY,algorithm="HS256",headers=headers)
    return token

认证 token

auth.py

from django.conf import settings
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
import jwt
from jwt import exceptions

class JwtAuthentication(BaseAuthentication):

    def authenticate(self, request):
        token = request.META.get("HTTP_AAMS_TOKEN")
        try:
            payload = jwt.decode(token, settings.SECRET_KEY, algorithms="HS256")
        except exceptions.ExpiredSignatureError:
            raise AuthenticationFailed({"code": 400, "msg": "token已失效"})
        except jwt.DecodeError:
            raise AuthenticationFailed({"code": 400, "msg": "token认证失败"})
        except jwt.InvalidTokenError:
            raise AuthenticationFailed({"code": 400, "msg": "token无效"})
        # 这个return是会放行的，并不是直接返回。
        # 这里的意思是会把payload和token挂载在request上
        # payload:储存了username(用户账号)和exp(过期时间)，挂载在request.user
        # token:储存了token信息，挂载在request.auth上
        return (payload, token)

配置在全局

若是要哪个请求需要认证才能进行后续业务，那么：

views.py

from myserver.mytoken.auth import JwtAuthentication
class aView(...):
	authentication_class = [JwtAuthentication,]
    def get(self,request):
        ..

因为基本上所有的请求，都是要认证再进行业务的。所以可以配置在

settings.py

SECRET_KEY = "xxxxxxxxxxxx自己设置即可xxxxxxxxxxxxx"	# 前面设置的密钥（盐）

REST_FRAMEWORK = [
    "DEFAULT_AUTHENTICATION_CLASS":[
        "myserver.mytoken.JwtAuthentication",
    ]
]

注意，要在登陆视图函数取消认证配置：

class LoginView(...):
    authentication_class = [] #这里设置的优先级会高于全局设置，所以最终Login会取消认证的操作，直接放行
    
    def get(...):

login视图函数

views.py

from django.views.decorators.csrf import ensure_csrf_cookie
from rest_framework import status
from rest_framework.response import Response
from rest_framework.views import APIView
from .mytoken.release import create_token

from .models import Major,User
from .serializers import CourseSerializer


class Login(APIView):
    authentication_classes = []

    def get(self,request):
        return Response({"code":400, "msg":"后端没有login的get"},status=status.HTTP_200_OK)

    def post(self,request):
        username = request.POST.get("username")
        password = request.POST.get("password")

        exists = User.objects.filter(username=username,password=password).exists()
        if exists:
            token = create_token({"username":username})
            res = {
                "code":200,
                "msg":"登陆成功！",
                "data":{
                    "aams-token":token,
                }
            }
            return Response(res,status=status.HTTP_200_OK)
        return Response({"code":400, "msg":"登陆失败！"},status=status.HTTP_400_BAD_REQUEST)