文章目录
- 一、djangorestframework-simplejwt快速使用
- 1.基础使用步骤
- 2.自己配置视图校验访问
- 局部配置认证及权限类
- 全局配置认证及权限类
- 3.关于双token认证问题
- 二、定制返回格式
- 三、多方式登录
一、djangorestframework-simplejwt快速使用
JWT主要用于签发登录接口需要配合认证类 JWT目前有两种
Jtw和Simplejwt(jwt比较老了 simple现在比较流行)
1.基础使用步骤
- 安装:建议使用pycharm可以安装到指定解释器
pip install djangorestframework-simplejwt
- simplejwt默认使用
auth_user表签发token,所以我们直接新建项目后执行迁移命令
-makemigrations-migrate
- 创建一个超级用户:
createsuperuser - 签发登录:只需要在路由中配置
(simplejwt帮我们写好了登录接口以及权限类)
路由配置
'导入模块'from rest_framework_simplejwt.views import token_obtain_pair, token_verify, token_refreshurlpatterns = [path('login/', token_obtain_pair), # 登录 签发tokenpath('verify/', token_verify), # 验证token 是否有效path('refresh/', token_refresh), # 刷新token]
settings配置
'注册app'INSTALLED_APPS = [...'rest_framework_simplejwt',...]import datetimeSIMPLE_JWT = {# token有效时长'ACCESS_TOKEN_LIFETIME': datetime.timedelta(minutes=30),# token刷新后的有效时间'REFRESH_TOKEN_LIFETIME': datetime.timedelta(days=1),}
此时直接访问即可,它都帮我们写好了,在请求体中携带刚刚创建的超级用户的账号密码就会返回token(因为是simplejwt它是双Token认证)
因为是双token认证,获取到的
access才是真正使用的token,而refresh则是用于更新access。因为access过期时间很短,过期后就需要重新生成access的token保证token的安全,所以就需要使用refresh用来变更新的有效token
变更新的有效token
验证有效期token
2.自己配置视图校验访问
我们定义了一个book视图类,它只允许访问时在请求头里面携带了合法的token值才能通过认证。
路由配置
from rest_framework_simplejwt.views import token_obtain_pair, token_verifyurlpatterns = [path('login/', token_obtain_pair), # 登录 签发tokenpath('verify/', token_verify), # 验证token 是否有效path('refresh/', token_refresh), # 刷新token]
局部配置认证及权限类
视图配置
from rest_framework.views import APIViewfrom rest_framework_simplejwt.authentication import JWTAuthenticationfrom rest_framework.permissions import IsAuthenticatedfrom rest_framework.response import Response'局部配置,必须配合权限类'class BookView(APIView):'''配置的Jwt认证,但是得在headers添加,如果不添加的话,就不会生效,添加才可生效'''authentication_classes = [JWTAuthentication] # 登录认证permission_classes = [IsAuthenticated] # 配置了权限类,没登录的就没有权限访问了'一旦配置了去认证类和权限类后,refresh的token就无法使用,会显示令牌类型错误,只能使用access的token'def get(self,reqeust):return Response({'测试测试'})'''这个时候直接访问我们的接口,就会发生错误,"detail":"身份认证信息未提供"因为我们访问的时候需要带上simplejwt的token固定格式为:Authorization:Bearer 注意这里哟一个空格,在空格后面填写签发过的token'''
全局配置认证及权限类
settings中配置
# 全局配置REST_FRAMEWORK = { '它自己内置的登录是哪怕配置了全局也不会进行认证,源码中进行了禁用''DEFAULT_AUTHENTICATION_CLASSES': ['rest_framework_simplejwt.authentication.JWTAuthentication'],'DEFAULT_PERMISSION_CLASSES': ['rest_framework.permissions.IsAuthenticated',],}
携带登录后,服务端响应给我们的token值来访问,token值的开头必须是
Bearer+空格,因为在源码内部获取校验token值前,会先通过空格进行分隔一下,第一个值是否为Bearer,如果是的话才会获取空格后面的token值来进行校验,所以我们后续会重写一些方法,不需要遵守一些不必要的规则
注意:只要当前的access的token没过期,而之前签发的access的token和后来刷新签发的access的token都可以使用
3.关于双token认证问题
1)单token-用户登录后----->签发token---->但是有过期时间1.设置太短的token过期时间,如:3 minute后就需要重新登录,体验太差,一天啥事不干就重新登录2.设置太长的token过期时间,如:7 day,7天都不需要登录----->容易被人截获到长时间使用--->不安全2)双token-用户登录后---->签发两个token----->目前的verify检验接口,只要是它签发的token,都会认证通过例如:access:过期时间短 3分钟例如:refresh:过期时间长 7天-用户正常用,都会用access,不会用refresh-access过会有过期了,一旦过期就用不了了---->然后可以通过refresh这个token调用刷新接口,在签发一个access的token-通过refresh再次签发的token这个过程,是不需要登录的,这对用户是无感知的-后续再使用access这个token发请求'认证类:就不能使用refresh的token' '''双认证的好处就是,一旦access的token被别人截取到了,拿着模拟发请求,只能在有效时间内使用,因为access的token很快会过期,这样就保障安全'''
二、定制返回格式
继承auth_user表完成签发登录,但是它的返回格式太固定了只有Token,但是我们想自定义格式呢?
如:{'code': 100,'msg': '登录成功','username': self.user.username,'token':'fdsafsfsafsadf'}
1.写个序列化类,重写validate ,返回什么,前端看到什么
from rest_framework_simplejwt.serializers import TokenObtainPairSerializerclass MyTokenObtainPairSerializer(TokenObtainPairSerializer):@classmethoddef get_token(cls, user):token = super().get_token(user) # 签发用户token['name'] = user.username # 往荷载里面添加用户名称return token'''重写get_token方法,它返回的token中就是荷载的内容'''def validate(self, attrs):old_data = super().validate(attrs)data = {'code': 100,'msg': '登录成功','username': self.user.username,'refresh': old_data['refresh'],'access': old_data['access']}return data
2.在settings配置文件中配置
SIMPLE_JWT = {"TOKEN_OBTAIN_SERIALIZER": "app01.serializer.MyTokenObtainPairSerializer",}
效果如下
