2. 程式人生 > 實用技巧 >DRF之JWT補充

DRF之JWT補充

阿新 發佈:2020-07-15

DRF之JWT補充

1.JWT控制使用者登入後才能反問,匿名使用者無法訪問

class QueryUserView(GenericViewSet, RetrieveModelMixin):
    """
    查詢介面
    """
    queryset = User.objects.all()
    serializer_class = UserSerializer
    pk = None
    # throttle_classes = [IPThrottle, ]
    authentication_classes = [LoginToken, ]
    permission_classes = [IsAuthenticated, ]

    def get_object(self):
        queryset = self.filter_queryset(self.get_queryset())
        filter_kwargs = {self.lookup_field: self.pk}
        return queryset.filter(**filter_kwargs)

    def get_queryset(self):
        queryset = self.queryset
        if isinstance(queryset, QuerySet):
            queryset = queryset.all()
        return queryset.filter(is_delete=False)

    def retrieve(self, request, *args, **kwargs):
        self.pk = kwargs.get('pk')
        if not self.pk:
            return APIResponse(code='102', msg='查詢失敗', data={'result': '缺少主鍵值'})
        if not self.get_object():
            return APIResponse(code='102', msg='查詢失敗', data={'result': '無效的主鍵值'})
        instance = self.get_object().first()
        serializer = self.get_serializer(instance=instance)
        return APIResponse(code='102', msg='查詢成功', data=serializer.data)

    def query(self, request, *args, **kwargs):
        return self.retrieve(request, *args, **kwargs)

不攜帶token或者token失效無法登入成功

不攜帶token或者token失效,系統會預設你為匿名使用者

先進行登入,獲取token值。攜帶正確的token可以登入成功

將許可權校驗去掉後,即使攜帶正確的token也登入失敗,因為系統此時預設你為匿名使用者

2.控制登入介面返回資料的格式

方案一:自己寫登入介面

方案二:用內建控制登入介面返回資料的格式

JWT配置資訊中有這個屬性
JWT_AUTH = {
    'JWT_RESPONSE_PAYLOAD_HANDLER':
    'rest_framework_jwt.utils.jwt_response_payload_handler',
}
# 重寫jwt_response_payload_handler,然後進行替換

自定義基於JWT的許可權認證

# 自定義基於jwt的許可權認證

from rest_framework.authentication import BaseAuthentication
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication

from rest_framework.exceptions import AuthenticationFailed
from rest_framework_jwt.utils import jwt_decode_handler
from rest_framework_jwt.utils import jwt_encode_handler

import jwt

from app01 import models


class XJwtAuthentication(BaseJSONWebTokenAuthentication):
    def authenticate(self, request):
        jwt_value = str(request.META.get('HTTP_AUTHORIZATION')) # 獲取token資訊
        if jwt_value:
            try:
                payload = jwt_decode_handler(jwt_value)      # 取出payload
            except jwt.ExpiredSignatureError:
                raise AuthenticationFailed('簽名過期')
            except jwt.InvalidTokenError:
                raise AuthenticationFailed('非法使用者')
            except Exception as e:
                raise AuthenticationFailed(str(e))
            """
            得到user物件:
            第一種方法去資料庫查,
            第二種不查資料庫
            """
            # user = models.User.object.get(pk=payload.get('user_id')) 第一種
            user = models.User(id=payload.get('user_id'),username=payload.get('username'))
            return user,jwt_value
        else:
            raise AuthenticationFailed('沒有攜帶token認證資訊')

jwt提供了通過三段token,取出payload的方法,並且有校驗功能

class XJwtAuthentication(BaseJSONWebTokenAuthentication):
    def authenticate(self, request):
        jwt_value=request.META.get('HTTP_AUTHORIZATION')
        if jwt_value:
            try:
            #jwt提供了通過三段token,取出payload的方法,並且有校驗功能
                payload=jwt_decode_handler(jwt_value)
            except jwt.ExpiredSignature:
                raise AuthenticationFailed('簽名過期')
            except jwt.InvalidTokenError:
                raise AuthenticationFailed('使用者非法')
            except Exception as e:
                # 所有異常都會走到這
                raise AuthenticationFailed(str(e))
            user=self.authenticate_credentials(payload)
            return user,jwt_value
        # 沒有值,直接拋異常
        raise AuthenticationFailed('您沒有攜帶認證資訊')

3.手動簽發token來實現多方式的登入

# 使用使用者名稱/手機號/郵箱都可以登入
# 前端需要傳回來的json格式資料
{
    "username":"surpass/18395806407/[email protected]"
}

LoginSerializer

from rest_framework.exceptions import ValidationError
from rest_framework_jwt.utils import jwt_encode_handler, jwt_payload_handler
import re

class LoginSerializer(serializers.ModelSerializer):
    username = serializers.CharField(max_length=32)  # 覆蓋username

    class Meta:
        model = models.User
        fields = ['username', 'password']

    def validate(self, attrs):
        username = attrs.get('username')
        password = attrs.get('password')
        if re.match('^1[3|4|5|7|8][0-9]{9}$', username):
            user = models.User.objects.filter(mobile=username)
        elif re.match('^.+@.+$', username):
            user = models.User.objects.filter(email=username)
        else:
            user = models.User.objects.filter(username=username)
        if not user:
            raise ValidationError('使用者不存在')
        if not user.check_password(password):
            raise ValidationError('密碼錯誤')
        payload = jwt_payload_handler(user)  # 傳入user得到payload
        token = jwt_encode_handler(payload)  # 傳入payload得到token 即jwt_value
        self.context['token'] = token   # 利用context返回token和user
        self.context['user'] = user
        return attrs

LoginView

class LoginView(GenericViewSet):
    queryset = User.objects.all()
    serializer_class = LoginSerializer

    def login(self, request, *args, **kwargs):
        login_ser = self.get_serializer(data=request.data, context={})
        login_ser.is_valid(raise_exception=True)
        token = login_ser.context.get('token')
        user = login_ser.context.get('user')
        return APIResponse(code=100, msg='登入成功', data={'token': token, 'username': user.username})

JWT的配置引數

# 使用內建的obtain_jwt_token時使用
JWT_AUTH = {
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'app01.utils.jwt_response_payload_handler',
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7),  # 過期時間,手動配置
}

# utils.py
def jwt_response_payload_handler(token, user=None, request=None):
    return {
        'token': token,
        'msg': '登入成功',
        'status': 100,
        'username': user.username
    }

4.基於角色的許可權控制(django內建的auth模組)

RBAC(Role-Based Access Control):基於角色的訪問控制,通常用於公司的內部系統

# django的auth就是內建了一套關於RBAC的許可權系統
核心是:通過角色繫結許可權,然後給使用者分配角色
在這種訪問機制中,引入了role的概念,將使用者與許可權之間的關係進行了解耦,讓使用者通過角色與許可權進行關聯。在RBAC模型中,(who,what,how)構成了訪問許可權的三元組。

# 在django中
	# 後臺的許可權控制(公司內部系統,crm,erp,協同平臺)
	user表
    permssion表
    group表
    user_groups表是user和group的中間表
    group_permissions表是group和permssion中間表
    user_user_permissions表是user和permission中間表
    # 前臺(主站),需要用三大認證

5 .Django快取

  • 前後端混合開發快取的位置
# 快取的位置,通過配置檔案來操作(以檔案為例子)
# 快取的粒度:全站快取,單頁面快取,以及頁面區域性快取

頁面區域性快取:

<body>
<div>
    {{ t }}<hr>
    {% load cache %}
    {% cache 5 'name' %}
        {{ time }}
    {% endcache %}
</div>
</body>

 單頁面快取:

# 給檢視函式加上裝飾器
from django.views.decorators.cache import cache_page


@cache_page(3)  # 快取10秒中
def test2(request):
    import time
    time = time.time
    back_dict = {'time': time}
    return render(request, 'test2.html', back_dict)

全站快取:

# 在中介軟體設定
MIDDLEWARE = [
    'django.middleware.cache.UpdateCacheMiddleware',
    ...
    'django.middleware.cache.FetchFromCacheMiddleware',
]
CACHE_MIDDLEWARE_SECONDS=10  # 全站快取時間

  • 前後端分離專案快取的使用

    # 使用步驟:
# views.py
from django.core.cache import cache

def test1(request):
    import datetime
    cache.set('time',datetime.datetime.now())
    return render(request, 'test1.html')


def test2(request):
    time = cache.get('time')
    back_dict = {'time':time}
    return render(request, 'test2.html', back_dict)

# 應用場景
第一次查詢所有圖書,你通過多表聯查序列化之後的資料,直接快取起來
後續,直接先去快取查,如果有直接返回,沒有,再去連表查,返回之前再快取

相關推薦

DRFJWT補充

DRFJWT補充 1.JWT控制使用者登入後才能反問,匿名使用者無法訪問 class QueryUserView(GenericViewSet, RetrieveModelMixin):

drfjwt傻瓜式啟動說明書

DRFjwt使用說明書 jwt介紹 JsonWebToken 如何獲取token 先建立一張使用者表,要想使用jwt,必須使用django自帶的使用者表

drf JWT認證 什麼是叢集以及分散式 什麼是正向代理,什麼是反向代理

JWT認證 什麼是JWT認證: Json web token(JWT),是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分散式站點的單點登入(SSO)場景。JWT的宣

drfJWT認證

JWT認證 在使用者註冊或登入後,我們想記錄使用者的登入狀態,或者為使用者建立身份認證的憑證。我們不再使用Session認證機制,而使用Json Web Token(本質就是token)認證機制。

DRF文件生成和JWT

目錄1 自定製頻率2 自動生成介面文件3 JWT3.1 自定製auth認證類3.2 控制使用者登入後才能訪問,和不登入就能訪問3.3 控制登入介面返回的資料格式3.4 自定義基於jwt的許可權類3.5 手動簽發token(多方式登入)3.6 jwt

Django---drf,JWT補充、基於就角色的許可權控制(django內建auth體系)

目錄昨日回顧今日內容1 jwt1.1 控制使用者登入後才能訪問,和不登入就能訪問1.2 控制登入介面返回的資料格式1.3 自定義基於jwt的許可權類1.4 手動簽發token(多方式登入)1.5 jwt的配置引數2 基於角色的許可權控制(

DRF元件JWT認證模組

JWT認證簡介 jwt:json web token,是一種前後端的登入認證方式, 它分token的簽發和認證,簽發的意思是使用者登入成功,生成三段式的token串;

Angularjwt令牌身份驗證的實現

Angular之jwt令牌身份驗證 demo https://gitee.com/powersky/jwt 介紹 Json web token (JWT),是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分

golangJWT實現的示例程式碼

什麼是JSON Web Token? JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且自包含的方式,用於在各方之間以JSON方式安全地傳輸資訊。由於此資訊是經過數字簽名的,因此可以被驗證和信任。可以使

drf序列化元件(一):Serializer

序列化元件:Serializer、ModelSerializer、ListModelSerializer Serializer 偏底層ModelSerializer 重點ListModelSerializer 輔助群改

drf檢視基類與擴充套件類

drf檢視基類與擴充套件類 Django REST framwork 提供的檢視的主要作用: 控制序列化器的執行(檢驗、儲存、轉換資料)

drf過濾與排序

一、過濾   1、需要另外安裝django的過濾模組:pip install django-filter。   2、需要在setting.py中註冊。

drf分頁器

一、簡介:drf內建了三種分頁器類,一般需要重寫類繼承預設的分頁器類來定製屬性的具體數值。

DRFRBAC和django快取的使用

1 基於角色的許可權控制(django內建auth體系) # RBAC :是基於角色的訪問控制(Role-Based Access Control)即公司內部系統

drf-rest_framework-jwt相關

1.安裝 pip install djangorestframework-jwt 2.建立超級使用者,一步一步往填寫,賬戶,密碼,確認密碼,若是弱密碼,會問你\"密碼很弱,希望繼續使用嗎?(Y/N)\",肯定是輸入y繼續

drf認證、許可權、頻率

Author:Laoqi 目錄1、認證1.1 認證類的構建1.2 認證類的使用2 許可權2.1 許可權類的構建2.2 許可權類的使用2.3 drf內建的許可權類3 頻率3.1 頻率類的構建3.2 頻率類的使用3.3 df內建的頻率限制類4 過濾與排序4.1

NET CORE API許可權控制JWT的建立和引用

在我們的介面呼叫中,都需要配置許可權控制,下面介紹下在ASP NET CORE下使用JWT的步驟:

小談DRF許可權相關

2. 許可權 先丟擲一個問題:不同的檢視不同的許可權可以訪問。比如:訂單相關檢視只允許SVIP才能訪問。

前後端分離jwt使用者認證

前後端分離開發為什麼需要認證: 由於HTTP協定是不儲存狀態,這意味著我們通過賬號密碼驗證一個使用者時,下一個request請求時他就把剛剛的資料忘了。於是我們的程式就不知道誰是誰,就要再驗證一次,為了保

drf序列化元件

序列化元件: 1. 序列化,序列化器會把模型物件轉換成字典,經過response以後變成json字串2. 反序列化,把客戶端傳送過來的資料,經過request以後變成字典,序列化器可以把字典轉成模型3. 反序列化,完成資料校驗功能