转载

基于cookie的django-rest-jwt认证

关于JWT(Json Web Token)是一种较新的用户认证方式，官网在这里，网上有篇中文解释写的很好，点此跳转。

用户认证(Authentication)和用户授权(Authorization)是两个不同的概念，认证解决的是“有没有”的问题，而授权解决的是“能不能”的问题。

一般用到JWT认证的情况大多都是配合REST框架使用，比如我大Django的Django-REST-framework框架，就已经有了现成的三方库 django-rest-framework-jwt 。不过这个库默认只支持基于 Header 传递信息，所以改成基于Cookie方式还需要我们来手动处理一下。

关于安装，直接使用pip安装即可，在 settings.py 中，先来修改django-restframework的基本配置如下：

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',
    ],
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'app.myauth.CookieAuthentication',
    ),
    'PAGE_SIZE': 20,
}

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300), # 过期时间
    'JWT_AUTH_HEADER_PREFIX': 'ABC', # 请求头前缀
}

至于 JWT_AUTH 更多的配置见官网，比如使用什么加密算法等等。

接下来编写认证代码，这里逻辑很简单， app/myauth.py 内容如下：

# coding=utf-8
from rest_framework_jwt.settings import api_settings
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication


classCookieAuthentication(BaseJSONWebTokenAuthentication):
    """自定义JWT认证，从cookie中获取认证信息"""

    defget_jwt_value(self, request):
        # print request.COOKIES
        return request.COOKIES.get(api_settings.JWT_AUTH_HEADER_PREFIX.upper(), '')

然后编写我们自己的获取JWT-Token的View，编辑 app/views.py 添加如下代码：

from datetime import datetime
from rest_framework import status
from rest_framework.response import Response
from rest_framework_jwt.settings import api_settings
from rest_framework_jwt.views import ObtainJSONWebToken

classCookieJSONWebToken(ObtainJSONWebToken):
    """
    接受post请求生成JWT-Token并设置cookie
    """

    defpost(self, request, *args, **kwargs):
        serializer = self.get_serializer(data=request.data)

        if serializer.is_valid():
            user = serializer.object.get('user') or request.user
            token = serializer.object.get('token')
            response_data = api_settings.JWT_RESPONSE_PAYLOAD_HANDLER(
                token, user, request)
            res = Response(response_data)
            res.set_cookie(api_settings.JWT_AUTH_HEADER_PREFIX.upper(), value=response_data[
                           'token'], httponly=True, expires=datetime.now() + api_settings.JWT_EXPIRATION_DELTA)
            return res
        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

这里注意设定httponly属性，防止造成安全漏洞。

最后，修改 urls.py 添加我们的view:

from app import views as baseview

urlpatterns = [
    ...
    url(r'^api-token-auth/', baseview.CookieJSONWebToken.as_view()),
    ...
]

设定完成后，就可以通过向 api-token-auth 这个URL提交用户名密码来获取JWT-Token了，并且在浏览器使用ajax请求获取那些登录后的数据会自动带上cookie进行认证。至于如何解决跨域，可以使用 django-cors-headers 。

最后需要注意的，不要在JWT-Token中存储任何敏感信息！

原文 http://www.hi-roy.com/2017/01/11/基于cookie的django-rest-jwt认证/

正文到此结束

所属分类：编程技术

本文标签： js API Ajax ip 漏洞 REST authenticate 数据 value 认证配置 json web 安装 URLs id rmi 安全 App IO cat 时间 Authorization 代码 http
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

其他链接

关于本站

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

基于cookie的django-rest-jwt认证

最后需要注意的，不要在JWT-Token中存储任何敏感信息！

热门推荐

相关文章

说给你听

本文目录

随机标签

书籍教程

近期评论

网站信息

其他链接

关于本站

问题交流