基于cookie的django-rest-jwt认证

2017-01-12 10:03:20来源:作者:Hi!Roy!人点击

第七城市

关于JWT(Json Web Token)是一种较新的用户认证方式,官网在 这里,网上有篇中文解释写的很好, 点此跳转。

用户认证(Authentication)和用户授权(Authorization)是两个不同的概念,认证解决的是“有没有”的问题,而授权解决的是“能不能”的问题。

一般用到JWT认证的情况大多都是配合REST框架使用,比如我大Django的Django-REST-framework框架,就已经有了现成的三方库 django-rest-framework-jwt。不过这个库默认只支持基于 Header传递信息,所以改成基于Cookie方式还需要我们来手动处理一下。

关于安装,直接使用pip安装即可,在 settings.py中,先来修改django-restframework的基本配置如下:

REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': [ 'rest_framework.permissions.IsAuthenticated', ], 'DEFAULT_AUTHENTICATION_CLASSES': ( 'app.myauth.CookieAuthentication', ), 'PAGE_SIZE': 20,}JWT_AUTH = { 'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300), # 过期时间 'JWT_AUTH_HEADER_PREFIX': 'ABC', # 请求头前缀}

至于 JWT_AUTH更多的配置见官网,比如使用什么加密算法等等。

接下来编写认证代码,这里逻辑很简单, app/myauth.py内容如下:

# coding=utf-8from rest_framework_jwt.settings import api_settingsfrom rest_framework_jwt.authentication import BaseJSONWebTokenAuthenticationclassCookieAuthentication(BaseJSONWebTokenAuthentication): """自定义JWT认证,从cookie中获取认证信息""" defget_jwt_value(self, request): # print request.COOKIES return request.COOKIES.get(api_settings.JWT_AUTH_HEADER_PREFIX.upper(), '')

然后编写我们自己的获取JWT-Token的View,编辑 app/views.py添加如下代码:

from datetime import datetimefrom rest_framework import statusfrom rest_framework.response import Responsefrom rest_framework_jwt.settings import api_settingsfrom rest_framework_jwt.views import ObtainJSONWebTokenclassCookieJSONWebToken(ObtainJSONWebToken): """ 接受post请求生成JWT-Token并设置cookie """ defpost(self, request, *args, **kwargs): serializer = self.get_serializer(data=request.data) if serializer.is_valid(): user = serializer.object.get('user') or request.user token = serializer.object.get('token') response_data = api_settings.JWT_RESPONSE_PAYLOAD_HANDLER( token, user, request) res = Response(response_data) res.set_cookie(api_settings.JWT_AUTH_HEADER_PREFIX.upper(), value=response_data[ 'token'], httponly=True, expires=datetime.now() + api_settings.JWT_EXPIRATION_DELTA) return res return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

这里注意设定httponly属性,防止造成安全漏洞。

最后,修改 urls.py添加我们的view:

from app import views as baseviewurlpatterns = [ ... url(r'^api-token-auth/', baseview.CookieJSONWebToken.as_view()), ...]

设定完成后,就可以通过向 api-token-auth这个URL提交用户名密码来获取JWT-Token了,并且在浏览器使用ajax请求获取那些登录后的数据会自动带上cookie进行认证。至于如何解决跨域,可以使用 django-cors-headers。

最后需要注意的,不要在JWT-Token中存储任何敏感信息!
第七城市

最新文章

123

最新摄影

微信扫一扫

第七城市微信公众平台