djangorestframework-jwt模块

jwt认证规则

"""
全称:json web token
解释:加密字符串的原始数据是json,后台产生,通过web传输给前台存储
格式:三段式 - 头.载荷.签名 - 头和载荷才有的是base64可逆加密,签名才有md5不可逆加密
内容:
	头(基础信息,也可以为空):加密方式、公司信息、项目组信息、...
	载荷(核心信息):用户信息、过期时间、...
	签名(安全保障):头加密结果+载荷加密结果+服务器秘钥 的md5加密结果
	
	
认证规则:
	**后台一定要保障 服务器秘钥 的安全性(它是jwt的唯一安全保障)
	后台签发token -> 前台存储 -> 发送需要认证的请求带着token -> 后台校验得到合法的用户
	
	
为什么要采用jwt认证:
	1) 后台不需要存储token,只需要存储签发与校验token的算法,效率远远大于后台存储和取出token完成校验
	2) jwt算法认证,更适合服务器集群部署
"""

jwt模块

"""
安装:pip install djangorestframework-jwt
模块包:rest_framework_jwt

才有drf-jwt框架,后期任务只需要书写登录
	为什么要重写登录:drf-jwt只完成了账号密码登录,我们还需要手机登录,邮箱登录
	为什么不需要重写认证类:因为认证规则已经完成且固定不变,变得只有认证字符串的前缀,前缀可以在配置文件中配置
"""

前后台分离模式下信息交互规则

"""
1)任何人都能直接访问的接口
	请求不是是get、还是post等,不需要做任何校验

2)必须登录后才能访问的接口
	任何请求方式都可能做该方式的限制,请求必须在请求头中携带认证信息 - authorization
	
3)前台的认证信息获取只能通过登录接口
	前台提供账号密码等信息,去后台换认证信息token
	
4)前台如何完成登录注销
	前台登录成功一般在cookie中保存认证信息token,分离注销就是前台主动清除保存的token信息
"""

JWT认证模块使用总结

"""
1、jwt认证:三段式的格式、每一段的内容、由后台签发到前台存储再到传给后台校验的认证流水线

2、drf-jwt插件:
	三个接口:签发token、校验token、刷新token
	自定义jwt插件的配置
	
3、使用jwt插件完成多方式登录
	视图类:将请求数据交给序列化类完成校验,然后返回用户信息和token(从序列化对象中拿到)
	序列化类:自定义反序列化字段,全局钩子校验数据得到user和token,并保存在序列化类对象中
		token可以用jwt插件的rest_framework_jwt.serializers中
			jwt_payload_handler,jwt_encode_handler
		完成签发

4、自定义频率类完成视图类的频率限制
	1)定义类继承SimpleRateThrottle,重写get_cache_key方法,设置scope类属性
	2)scope就是一个认证字符串,在配置文件中配置scope字符串对应的频率设置
	3)get_cache_key的返回值是字符串,该字符串是缓存访问次数的缓存key	
"""
posted @ 2019-11-26 19:04  cheng825  阅读(332)  评论(0编辑  收藏