zoukankan      html  css  js  c++  java
  • djangorestframework-jwt模块

    jwt认证规则

    """
    全称:json web token
    解释:加密字符串的原始数据是json,后台产生,通过web传输给前台存储
    格式:三段式 - 头.载荷.签名 - 头和载荷才有的是base64可逆加密,签名才有md5不可逆加密
    内容:
    	头(基础信息,也可以为空):加密方式、公司信息、项目组信息、...
    	载荷(核心信息):用户信息、过期时间、...
    	签名(安全保障):头加密结果+载荷加密结果+服务器秘钥 的md5加密结果
    	
    	
    认证规则:
    	**后台一定要保障 服务器秘钥 的安全性(它是jwt的唯一安全保障)
    	后台签发token -> 前台存储 -> 发送需要认证的请求带着token -> 后台校验得到合法的用户
    	
    	
    为什么要采用jwt认证:
    	1) 后台不需要存储token,只需要存储签发与校验token的算法,效率远远大于后台存储和取出token完成校验
    	2) jwt算法认证,更适合服务器集群部署
    """
    

    jwt模块

    """
    安装:pip install djangorestframework-jwt
    模块包:rest_framework_jwt
    
    才有drf-jwt框架,后期任务只需要书写登录
    	为什么要重写登录:drf-jwt只完成了账号密码登录,我们还需要手机登录,邮箱登录
    	为什么不需要重写认证类:因为认证规则已经完成且固定不变,变得只有认证字符串的前缀,前缀可以在配置文件中配置
    """
    

    前后台分离模式下信息交互规则

    """
    1)任何人都能直接访问的接口
    	请求不是是get、还是post等,不需要做任何校验
    
    2)必须登录后才能访问的接口
    	任何请求方式都可能做该方式的限制,请求必须在请求头中携带认证信息 - authorization
    	
    3)前台的认证信息获取只能通过登录接口
    	前台提供账号密码等信息,去后台换认证信息token
    	
    4)前台如何完成登录注销
    	前台登录成功一般在cookie中保存认证信息token,分离注销就是前台主动清除保存的token信息
    """
    

    JWT认证模块使用总结

    """
    1、jwt认证:三段式的格式、每一段的内容、由后台签发到前台存储再到传给后台校验的认证流水线
    
    2、drf-jwt插件:
    	三个接口:签发token、校验token、刷新token
    	自定义jwt插件的配置
    	
    3、使用jwt插件完成多方式登录
    	视图类:将请求数据交给序列化类完成校验,然后返回用户信息和token(从序列化对象中拿到)
    	序列化类:自定义反序列化字段,全局钩子校验数据得到user和token,并保存在序列化类对象中
    		token可以用jwt插件的rest_framework_jwt.serializers中
    			jwt_payload_handler,jwt_encode_handler
    		完成签发
    
    4、自定义频率类完成视图类的频率限制
    	1)定义类继承SimpleRateThrottle,重写get_cache_key方法,设置scope类属性
    	2)scope就是一个认证字符串,在配置文件中配置scope字符串对应的频率设置
    	3)get_cache_key的返回值是字符串,该字符串是缓存访问次数的缓存key	
    """
    
  • 相关阅读:
    MongoDB高级操作
    MongoDB基本操作
    Python字符串
    Git标签和别名管理
    Git分支管理
    Git远程仓库(github
    Git分布式版本管理工具基本使用方法
    CentOS7防火墙
    CentOS7新特性
    Linux系统初始流程
  • 原文地址:https://www.cnblogs.com/cheng825/p/11937756.html
Copyright © 2011-2022 走看看