6-7认证和权限-DRF认证之jwt认证.pdfVIP

6-7认证和权限-DRF认证之jwt认证 ⽬录： JWT认证介绍 JWT 认证环境准备 JWT 认证基本使⽤ JWT 认证权限 ⼀、JWT 认证介绍 　使⽤django rest framework 开发api并使⽤ json web token(JWT)进⾏⾝份验证，使⽤django-rest-framework-jwt这个库来帮助我们简单的使⽤jwt进⾏⾝份验证。 　那我们⽤JWT认证有哪些优点和缺点呐？ 　优点： ⽆状态：JWT的token不会存在服务器中，它是存在客户端上的，这样我们就更好管理。 避免csrf ：意思就是已经帮你封装好了，不需要在进⾏ csrf 验证。 ⽐较适合给移动端提供 api 　缺点： 注销登录后Token时效问题：因为token存在客户端上，所以就导致有时候，⽐如说我们修改密码，然后注销⽤户导致token还在有效期内，token还能继续使⽤。那么就没有办法控制 它。我们可以通过 redis缓存来解决这个问题。 ⼆、JWT 认证环境准备 2.1、安装 pip install djangorestframework-jwt 2.2、注册 说明：在settings.py⽂件中的INSTALLED_APPS中注册 rest_framework.authtoken INSTALLED_APPS = [ rest_framework, rest_framework.authtoken, #注册 ] 2.3、配置 说明：我们在settings.py中配置jwt认证，已经过期时间。当然这个是全局的。 # 全局配置 JWT 验证 REST_FRAMEWORK = { DEFAULT_AUTHENTICATION_CLASSES: ( rest_framework_jwt.authentication.JSONWebTokenAuthentication, # 配置验证⽅式为Token验证 ), DEFAULT_PERMISSION_CLASSES: ( rest_framework.permissions.IsAuthenticated, #配置全局权限 ) } #配置JWT的token的超时时间 JWT_AUTH = { JWT_EXPIRATION_DELTA: datetime.timedelta(days=7), # Token 过期时间为⼀周 JWT_AUTH_HEADER_PREFIX: JWT, # Token的头为：JWT adashkjdhaskjh JWT_ALLOW_REFRESH: False, #True允许刷新，False不允许刷新 } 2.4、路由 说明：其实JWT认证跟token认证⼀样，都需要在路由下配置 1个函数路由，⽣成 token值。 #根级路由 from django.contrib import admin from django.urls import path, include from rest_framework_jwt.views import obtain_jwt_token #导⼊⽣成路由函数 urlpatterns = [ path(admin/, admin.site.urls), path(api/, include(app05.urls)), path(api-token-auth/, obtain_jwt_token) #配置⽣成token路由 ] 好咧！配置好了，我们来⽤ postman测试⼀下，看看能否⽣成⼀个 token值： 三、JWT 认证基本使⽤ 3.1、增加返回信息 说明：我们的返回信息只有 token值，不能满⾜我们的需求，我们通过修改该视图的返回值可以完成我们的需求，⽐如说：我们在返回token的同时，我们还想返回 userid和username。以及 其他信息呐。所以在我们的应⽤中(app05)新建⼀个 utils.py ⽂件。 ⽬录结构： -app05(应⽤) -migrations ... -models.py -admin.py -permissions.py