drf元件之jwt認證模組

一、認證規則

全稱：json web token
解釋：加密字串的原始資料是json，後臺產生，通過web傳輸給前臺儲存
格式：三段式 - 頭.載荷.簽名 - 頭和載荷才有的是base64可逆加密，簽名才有md5不可逆加密
內容：
頭(基礎資訊,也可以為空)：加密方式、公司資訊、專案組資訊、...
載荷(核心資訊)：使用者資訊、過期時間、...
簽名(安全保障)：頭加密結果+載荷加密結果+伺服器祕鑰 的md5加密結果

認證規則：
後臺一定要保障 伺服器祕鑰 的安全性(它是jwt的唯一安全保障)
後臺簽發token -> 前臺儲存 -> 傳送需要認證的請求帶著token -> 後臺校驗得到合法的使用者

為什麼要有jwt認證：
1) 後臺不需要儲存token，只需要儲存簽發與校驗token的演算法，效率遠遠大於後臺儲存和取出token完成校驗
2) jwt演算法認證，更適合伺服器叢集部署

二、認證模組

安裝：pip install djangorestframework-jwt
模組包：rest_framework_jwt

採用drf-jwt框架，後期任務只需要書寫登入
為什麼要重寫登入：drf-jwt只完成了賬號密碼登入，我們還需要手機登入，郵箱登入
為什麼不需要重寫認證類：因為認證規則已經完成且固定不變，變得只有認證字串的字首，字首可以在配置檔案中配置

三、JWT使用

jwt配置；

在settings.py檔案中配置，如果不配置，預設走jwt預設的

在urls.py中配置

在postman中測試一下籤發token

注意：上面三個介面都是傳送POST請求

四、利用JWT實現多方式登入

注：APIResponse 為自定義Response物件

# views.py
from rest_framework.views import APIView
from . import models,serializers
from utils.response import APIResponse

class LoginAPIView(APIView):
    # 登入介面應該禁用所有的認證和、許可權，因為不管是誰都應該能進來
    authentication_classes = []
    permission_classes = []
    def post(self, request, *args, **kwargs):
        # 將資料傳到序列化元件進行校驗
        user_ser = serializers.LoginSerializer(data=request.data)
        user_ser.is_valid(raise_exception=True)

        return APIResponse(msg='login success', data={
            'username': user_ser.user.username,
            'token': user_ser.token
        })

 

# serializer.py
from rest_framework.serializers import ModelSerializer, CharField, ValidationError, SerializerMethodField
from . import models
from django.contrib.auth import authenticate
import re
from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler

class LoginSerializer(ModelSerializer):
    username = CharField(write_only=True)
    password = CharField(write_only=True)
    class Meta:
        model = models.User
        fields = ('username', 'password')

    def validate(self, attrs):
        # user_obj = authenticate(**attrs)
        # if not user_obj:
        #     raise ValidationError('使用者名稱或密碼錯誤')

        # 賬號密碼登入 ==》 多方式登入
        user = self._many_method_login(**attrs)

        # 通過user物件生成payload載荷
        payload = jwt_payload_handler(user)
        # 通過payload簽發token
        token = jwt_encode_handler(payload)

        # 將user和token存放在序列化物件中,方便返回到前端去
        self.user = user
        self.token = token

        return attrs

    # 多方式登入 （使用者名稱、郵箱、手機號三種方式登入）
    def _many_method_login(self, **attrs):
        username = attrs.get('username')
        password = attrs.get('password')
        # 利用正則匹配判斷使用者輸入的資訊
        # 1.判斷郵箱登入
        if re.match(r'.*@.*', username):
            user = models.User.objects.filter(email=username).first()  # type: models.User
        # 2.判斷手機號登入
        elif re.match(r'^1[3-9][0-9]{9}$',username):
            user = models.User.objects.filter(mobile=username).first()
        # 3.使用者名稱登入
        else:
            user = models.User.objects.filter(username=username).first()

        if not user:
            raise ValidationError({'username': '賬號有誤'})

        if not user.check_password(password):
            raise ValidationError({'password': '密碼錯誤'})

        return user

使用postman測試程式碼：

相關推薦