JWT介绍
参考https://lion1ou.win/2017/01/18/介绍。
session与JSON Web Token区别
生成sessionid存到redis里 userid:sessionid。然后sessionid返回给用户,用户在之后进行需要验证身份的操作时带上sessionid和userid,后端验证这个sessionid是否与redis中的sessionid是否相同。
Token和session其实都是为了身份验证,session需要我们进行存贮,用于日后比对,而Token不用。
Token是使用算法的方式进行验证,就不需要进行往数据库里存了。
drf自带Token与JSON Web Token区别
drf 自带的token也是新建一张Token表,里面存了用户和随机值Token的对应关系,和三级项目数据库里存sessionid没什么区别,只不过drf的token要放在请求header里,普通接口的sessionid放在get或post请求中。
使用 django-rest-framework-jwt
django有现成的JWT轮子 django-rest-framework-jwt,可以拿来使用。
下载安装
pip install djangorestframework-jwt
设置权限认证
设置PERMISSION_CLASSES和AUTHENTICATION_CLASSES
全局设置权限认证,在settings.py中
REST_FRAMEWORK = {
# 权限认证
'DEFAULT_PERMISSION_CLASSES': (
# 使用django标准的 'django.contrib.auth'权限,未认证的用户只读权限
#'rest_framework.permissions.DjangoModelPermissionsOrAnonReadOnly'
'rest_framework.permissions.IsAuthenticated',
),
# 身份验证
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
),
}
import datetime
JWT_AUTH = {
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), # 指明token的有效期
}
url配置
添加以下URL路由以启用通过POST获取令牌包括用户的用户名和密码。
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
url(r'^api-token-auth/', obtain_jwt_token),
]
局部设置权限认证,也可以在指定的ViewSet下设置权限,比如对文章信息做权限认证,需登录后才能获得信息。
class ArticleViewSet(mixins.ListModelMixin, mixins.CreateModelMixin, viewsets.GenericViewSet):
queryset = Article.objects.all() # 查询结果集
serializer_class = ArticleSerializer # 序列化类
pagination_class = ArticlePagination # 自定义分页会覆盖settings全局配置的
# 过滤器 过滤,搜索,排序
filter_backends = (DjangoFilterBackend,filters.SearchFilter,filters.OrderingFilter)
# 如果要允许对某些字段进行过滤,可以使用filter_fields属性。
#filter_fields = ('title', 'category')
# 使用自定义过滤器
filter_class = AriticleFilter
# 搜索
search_fields = ('title', 'description', 'content')
# 排序
ordering_fields = ('id', 'read_num')
# Token认证
from rest_framework.permissions import IsAuthenticated
permission_classes = (IsAuthenticated,)
测试
此时直接访问http://www.qmpython.com:8000/api/articles/返回
{
"detail": "身份认证信息未提供。"
}
获取JWT token
在linux中
curl -X POST -H "Content-Type: application/json" -d '{"username":"admin","password":"1q2w3e4r"}' http://www.qmpython.com:8000/api/api-token-auth/
返回
{"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxMzI4QHFxLmNvbSIsImV4cCI6MTU1OTUyODIxOCwidXNlcl9pZCI6MX0.FXh6MiTlEhx0XMkx7ofcENh0ldFdh2nqWvBLOkCcLOY"}
访问需权限的url
将上面获取的token,访问需要权限的url
curl -H "Authorization: JWT eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxMzI4QHFxLmNvbSIsImV4cCI6MTU1OTUyODIxOCwidXNlcl9pZCI6MX0.FXh6MiTlEhx0XMkx7ofcENh0ldFdh2nqWvBLOkCcLOY" http://www.qmpython.com:8000/api/articles/
image.png
