今日内容概要
- RBAC
- 自动生成接口文档
- jwt介绍与快速使用
- jwt定制返回格式
- jwt源码分析
内容详细
1、RBAC(重要)
# RBAC 是基于角色的访问控制(Role-Based Access Control )
在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
# 对外的权限比较简单:
普通注册用户,VIP用户,超级VIP --》优酷,网易云音乐,百度网盘
# 公司内部系统:通常使用RBAC的权限控制
公司内有部门(开发部,运维部,市场部,总裁办,人力资源部门)
权限和角色(部门)绑定
举个例子:发工资权限,招人权限,开发代码权限...
招人权限,发工资权限给人力资源
开发代码权限给开发部门
# 权限赋予给角色(部门),又把角色(部门)又赋予用户
"""
python用来做公司内部项目居多:
人事系统,进销存,报销审批,自动化运维
原因:
公司内部项目对执行效率要求不高(人少)
对开发效率要求高(越快开发出越好,成本越低越好)
知乎,豆瓣用python写的---》随着用户量增大---》切换语言
"""
# 针对于公司内部项目,后台管理居多(运营在使用),使用rbac居多
django-vue-admin:后端用drf,前端用vue,权限管理的 脚手架---》前后端分离
django的admin---》混合的后台管理用的多---》基于django的admin二次开发
simpleui:对django admin的美化
# django的admin自带rbac权限管理(表设计完成权限管理)---》6张表
用户表
角色表(组表,部门表)
权限表
角色和权限 >>> 多对多中间表
用户和角色 >>> 多对多中间表
django-admin中多了一张表:
用户对权限 >>> 多对多中间表
"""
在关系型数据库的关系中:只有三种---》本质只有一种:外键关系
一对多
多对多
一对一
"""
### 基于django的admin做二次开发,开发出公司内部的管理系统
1、纯基于原生
2、使用第三方美化:
xadmin(早就不维护了,弃坑了)
simpleui(国内的,主流),国外也有很多
django-admin演示
# 先创建超级用户
# 在models.py 创建表:
from django.db import models
class Book(models.Model):
name = models.CharField(max_length=32)
price = models.IntegerField()
author = models.CharField(max_length=32)
def __str__(self):
return self.name
class Meta:
verbose_name = '图书表'
verbose_name_plural = '图书表'
# 在admin.py中 注册表
from django.contrib import admin
from .models import Book
class BookAdmin(admin.ModelAdmin):
# 设置列表可显示的字段
list_display = ('name', 'author', 'price')
# 设置过滤选项
list_filter = ('name', 'price', )
admin.site.register(Book, BookAdmin)
# 可以修改配置文件为中文显示:
LANGUAGE_CODE = 'zh-hans'
TIME_ZONE = 'Asia/Shanghai'
USE_I18N = True
USE_L10N = True
USE_TZ = False
2、自动生成接口文档
# 顺利的写接口
在公司里,前端和后端是两拨人写---》咱们后端接口写好了,我们知道接口怎么用
# 后端人,需要写出接口文档,给前端用,前端按照接口文档去开发
# 具体格式可以参照:https://open.weibo.com/wiki/2/comments/show
# 如何写?
第一种:使用word或者md文档编写---》纯手写---》好的公司这么用
第二种:第三方平台录入---》半手写
https://blog.csdn.net/weixin_44337261/article/details/121005675-->部分公司
第三种:公司自己开发接口平台,搭建接口平台--》数据放在公司自己--》学长公司在用
https://zhuanlan.zhihu.com/p/366025001
第四种:自动生成接口文档---》用的少---》自动生成+导出---》录入到yapi
drf中有两个模块:coreapi,swagger
### coreapi使用
第一步:下载
pip3 install coreapi
第二步:修改路由
from rest_framework.documentation import include_docs_urls
# 接口文档
router.register('books2', views.BookListCreateView, 'books2') # 自动生成路由类的配置
urlpatterns = [
...
path('docs/', include_docs_urls(title='站点页面标题')),
]
第三步:写视图类,只需要加注释即可
from rest_framework.generics import ListCreateAPIView
class BookListCreateView(ViewSetMixin, ListCreateAPIView):
serializer_class = BookSerializer
queryset = Book.objects.all()
"""
get:
返回所有图书信息.
post:
新建图书.
"""
from rest_framework import mixins
class BookInfoViewSet(mixins.ListModelMixin, mixins.RetrieveModelMixin, GenericViewSet):
"""
list:
返回图书列表数据
retrieve:
返回图书详情数据
latest:
返回最新的图书数据
read:
修改图书的阅读量
"""
第四步:配置文件中
REST_FRAMEWORK = {
...
# 接口文档配置
'DEFAULT_SCHEMA_CLASS': 'rest_framework.schemas.coreapi.AutoSchema',
}
3、jwt介绍和快速使用
# cookie,session,token的区别?
https://www.cnblogs.com/liuqingzheng/articles/8990027.html
# 认证:session机制:需要在后端存储数据
之前使用的django-session:
如果登录用户很多,需要在后端存很多数据,频繁查询数据库,导致效率低
能不能想一种方案,不在服务端存数据 在客户端存数据(数据安全)---》token认证机制
# Json web token (JWT),token是一种认证机制,用在web开发方向,叫 jwt
# JWT的构成
三段式---每一段都使用 base64编码
典型的jwt串样子,通过. 分隔成三段:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
第一段:头:声明类型,这里是jwt,声明加密的算法,公司信息等等(目前作用不大)
第二段:荷载(payload):有效信息
用户名,用户id,登陆时间,token失效时间...
第三段:签名(signature):通过 头+荷载 使用某种加密方式加密后得到的
## jwt的签发和认证--保证安全
# 签发
登陆过程 如果没有第三方模块帮助我们做,我们就自己做
1)用基本信息公司信息存储json字典,采用base64算法得到 头字符串
2)用关键信息存储json字典,采用base64算法得到 荷载字符串,过期时间,用户id,用户名
3)用头、体加密字符串通过加密算法+秘钥加密得到 签名字符串 拼接成token返回给前台
# 认证
访问需要登陆的接口
1)将token按 . 拆分为三段字符串,第一段 头加密字符串 一般不需要做任何处理
2)第二段 体加密字符串,要反解出用户主键,通过主键从User表中就能得到登录用户,过期时间是安全信息,确保token没过期
3)再用 第一段 + 第二段 + 加密方式和秘钥得到一个加密串,与第三段 签名字符串 进行比较,通过后才能代表第二段校验得到的user对象就是合法的登录用户
# 大部分的web框架都会有第三方模块支持----》如果没有需要自己写
django中有一个django-rest-framework-jwt,咱们讲的:
https://github.com/jpadilla/django-rest-framework-jwt
django中还有一个,django-rest-framework-simplejwt,咱们不讲,公司可能会用:
https://github.com/jazzband/djangorestframework-simplejwt
# 区别
https://blog.csdn.net/lady_killer9/article/details/103075076
3.1、base64编码和解码
# base64编码和解码
只是编码和解码,不能叫加密
## 案例:
import base64
# 编码
# s = b'''{"name":"lqz","age":19}'''
# res = base64.b64encode(s)
# print(res) # eyJuYW1lIjoibHF6IiwiYWdlIjoxOX0=
# 解码
# s = b'eyJuYW1lIjoibHF6IiwiYWdlIjoxOX0='
# res = base64.b64decode(s)
# print(res) # {"name":"lqz","age":19}
### base64长度必须是4的倍数,如果不够,使用 = 补齐,所以base64编码,最后面可能有 =
### base64 用途在哪?
对网络传输中的数据进行编码---->jwt,有些图片,使用base64编码(12306)
3.2、django中快速使用jwt
3.2.1、签发
# 第一步:下载模块
pip3 install djangorestframework-jwt
# 第二步:在路由中配置
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
# jwt签发
path('login/', obtain_jwt_token),
]
# 第三步:使用接口测试工具发送post请求到后端,就能基于auth的user表签发token
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoyLCJ1c2VybmFtZSI6InB5eSIsImV4cCI6MTY0OTMxNjc3MiwiZW1haWwiOiIzMDYzMzQ2NzhAcXEuY29tIn0.YOUc9gcFIQf9FBibZJANaI3Rmpw4zfMy1e8ez1roKSI"
}
# 比session优势在不需要在后端存数据了,jwt不会在后端存数据,保证了数据安全
### 会有被别人窃取的风险----》只能拿到和使用---》避免不了窃取后使用,只能避免别人篡改不了
爬虫就是干这事,扣除token串,模拟发请求----》如果你能想一种方式,避免别人获取了token串,不能发请求---》你就把整个爬虫行业干掉了
3.2.2、认证
# 视图类的某个方法,访问时候,需要认证通过才能访问
写认证类-->我们用了第三方模块---》第三方模块写了一个认证类
# 以获取所有图书接口为例
在视图类中配置:认证类+权限类
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework.permissions import IsAuthenticated
class BookView(GenericViewSet, ListModelMixin):
'''
返回所有图书信息
'''
queryset = Book.objects.all()
serializer_class = BookSerializer
filter_backends = [SearchFilter]
search_fields = ['name', 'author'] # 过滤
pagination_class = CommonCursorPagination # 验证此类分页时 视图类中不可以带有排序功能 要注释掉
# JSONWebTokenAuthentication 就是 rest_framework_jwt模块写的认证类
authentication_classes = [JSONWebTokenAuthentication, ] # 登录认证
# 需要配合一个权限类
permission_classes = [IsAuthenticated, ]
### 在前端使用的时候,要携带token
token携带方式:在请求头中使用 Authorization : jwt token串
为什么要按这个格式?
人家的认证类已经写完了,就是去请求头中取的,按固定规则取的,所以咱们需要按照这个格式
4、jwt定制返回格式
# 签发token,其实就是jwt模块基于auth的user表,帮咱们写了一个登陆功能,但是一般请求,在我们登陆成功后,返回的数据更多
{code:100,msg:登陆成功,token:adfadf,username:pyy}
# 定义签发token(登陆接口)返回格式
第一步:写一个函数(新建 utils.py文件)--->返回什么格式,前端就能看到什么格式
def jwt_response_payload_handler(token, user=None, request=None):
return {
'code': 100,
'msg': "登陆成功",
'token': token,
'username': user.username
}
第二步:在配置文件中配置(不配置就会使用 JWT默认的格式)
# jwt模块的配置文件,统一放在JWT_AUTH
JWT_AUTH = {
'JWT_RESPONSE_PAYLOAD_HANDLER': 'app01.utils.jwt_response_payload_handler',
}
5、jwt源码分析
# 签发源码
obtain_jwt_token---》ObtainJSONWebToken.as_view():视图类.as_view()
ObtainJSONWebToken视图类---》登陆post请求,携带用户名密码---》视图类中有post方法
# 视图类中的序列化类:
serializer_class = JSONWebTokenSerializer---》全局钩子中获取当前登录用户和签发token
# post方法中:
serializer = self.get_serializer(data=request.data)
### 你会的:
obtain_jwt_token---》ObtainJSONWebToken视图类---》post方法--》通过前端传入的用户名和密码拿到了当前用户,通过当前用户签发了token---》返回给了前端
# 认证源码
认证类---》authenticate方法---》验证
def authenticate(self, request):
jwt_value = self.get_jwt_value(request) # 获取真正的token,三段式
if jwt_value is None: # 如果没传token,就不认证了,直接通过,所以需要配合权限类一起用
return None
try:
payload = jwt_decode_handler(jwt_value) # 验证签名
except jwt.ExpiredSignature:
msg = _('Signature has expired.') # 过期了
raise exceptions.AuthenticationFailed(msg)
except jwt.DecodeError:
msg = _('Error decoding signature.') # 被篡改了
raise exceptions.AuthenticationFailed(msg)
except jwt.InvalidTokenError:
raise exceptions.AuthenticationFailed() # 不知名的错误
user = self.authenticate_credentials(payload)
return (user, jwt_value)
