首页 > 其他分享 >drf-9

drf-9

时间:2023-02-10 18:00:30浏览次数:39  
标签:jwt base64 JWT 接口 token payload drf

接口文档

# 前后端分离
-我们做后端,写接口
	-前端做前端,根据接口写app,pc,小程序
  
  -作为后端来讲,我们很清楚,比如登录接口 /api/v1/login/---->post---->username,password 编码方式json----》返回的格式  {code:100,msg:登录成功}
  
  -后端人员,接口写完,一定要写接口文档
  
  # 接口文档如何编写
  -1 使用word,md 编写接口文档
  -2 使用第三方平台,编写我们的接口文档(非常多)--->但收费
  -https://www.showdoc.com.cn/item/index
  -3 公司自己使用第三方开源的搭建的---> Yapi---> 你如果想自己搭建
  -https://zhuanlan.zhihu.com/p/32131141
  -4 使用drf编写的接口,可以自动生成接口文档
  -swagger-->drf-yasg--->官方推荐使用
  -coreapi ---> 咱们讲
  
  # 使用coreapi自动生成接口文档步骤
  -1 安装
  -2 配置路由
  from rest_framework.documentation import include_docs_urls
  path('docs/',include_docs_urls(title='某某项目接口文档')),
  -3 在视图类,方法上,写注释即可
  	-在类上加注释
    -在类的方法上加注释
    -在序列化类或表模型的字段上加 help_text, required.....
 -4 配置文件配置
REST_FRAMEWORK = {
  'DEFAULT_SCHEMA_CLASS': 'rest_framework.schemas.coreapi.AutoSchema'
}
-5 访问地址:http://127.0.0.1:8000/docs

# 接口文档,需要有的东西
-描述
-地址
-请求方式
-请求编码格式
-请求数据详解(必填,类型)
-返回格式案例
-返回数据字段解释
-错误码

在类的最顶上加上注释,类下的所有方法都有
img
在类的方法上加注释,就只要某一个方法有,会把类的注释信息顶掉

def list(self, request, *args, **kwargs):
    """
        查询所有图书方法
        :param request:
        :param args:
        :param kwargs:
        :return: 返回查询所有图书信息
        """

img

在序列化类或表模型的字段上加help_text,required。。。优先显示序列化类中的help_text信息

id= serializers.IntegerField(help_text='书籍id')
 
 
class Book(models.Model):
    name = models.CharField(max_length=32)
    price = models.IntegerField(help_text='书籍价格')

img

jwt介绍和原理

# cookie session token 发展史
# JSON web token(JWT)  就是web方向token的使用

介绍:

JWT认证:在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制

构成和工作原理:

1.JWT的构成

JWT就是一段字符串,由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

2.JWT之header

jwt的头部承载两部分信息:

  • 声明类型 这里是jwt
  • 声明机密的算法,通常直接使用HMAC SHA256

完整的头部就像下面这样的JSON

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

3.JWT之荷载(payload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明:公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
  • 私有的声明:私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到JWT的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

JWT之签证(signature)

JWT的第三部分是一个签证信息,这个签证信息由三部分组成

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

再者三部分用 . 连接成一个完整的字符串,构成了最终的jwt

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

PS:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了

总结:

 -头:header
    	声明类型,这里是jwt
		声明加密的算法 通常直接使用 HMAC SHA256
        公司信息。。。
-荷载:payload
    	-存放有效信息的地方
        -过期时间
        -签发时间
        -用户id
        -用户名字。。。
-签名:signature
    	-第一部分和第二部分通过秘钥+加密方式得到的

img

drf项目的jwt认证开发流程(重点)

1)用账号密码访问登录接口,登录接口逻辑中调用 签发token 算法,得到token,返回给客户端,客户端自己存到cookies中

2)校验token的算法应该写在认证类中(在认证类中调用),全局配置给认证组件,所有视图类请求,都会进行认证校验,所以请求带了token,就会反解出user对象,在视图类中用request.user就能访问登录的用户

注:登录接口需要做 认证 + 权限 两个局部禁用

补充base64编码解码

#  base64编码和解码

import base64
import json
# dic={'user_id':1,'username':"lqz"}
#
# dic_str=json.dumps(dic)
#
# #把这个字符串使用base64编码
# res=base64.b64encode(dic_str.encode('utf-8'))
# print(res)   #


# 注意:base64编码后,字符长度一定是4的倍数,如果不是,使用  =  补齐,  = 不表示数据
# 解码
res=base64.b64decode('TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ=')
print(res)



# base64 应用场景
'''
1 jwt 使用了base64
2 网络中传输数据,也会经常使用 base64编码
3 网络传输中,有的图片使用base64编码

'''
s=''
res=base64.b64decode(s)
with open('a.png','wb') as f:
    f.write(res)

img

drf-jwt快速使用

#django+drf 平台开发jwt这套,有两个模块
	-djangorestframework-jwt  ---》一直可以用
    -djangorestframework-simplejwt---》公司用的多---》希望你们试一下
    -自己封装jwt签发和认证
# 使用步骤
	- 1 安装
    - 2 快速签发token---》登录接口,路由中配置
    	path('login/', obtain_jwt_token),
    -3  postman,向http://127.0.0.1:8000/login/发送post请求,携带username和password
            

我们得找到这个函数
img

img

img

返回结果

img

定制返回格式

# 以后,如果是基于auth的User表签发token,就可以不自己写了,但是登录接口返回的格式,只有token,不符合公司规范

# 使用步骤
1 写个函数:jwt_response_payload_handler
   def jwt_response_payload_handler(toker, user=None, request=None):
      return{
        'code':100,
        'msg':'登录成功',
        'token':token,
        'username':user.username,
      }
    
 2 配置一下 项目配置文件
JWT_AUTH = {
  'JWT_RESPONSE_PAYLOAD_HANDLER': 'app01.utils.jwt_response_payload_handler', 
}

3 使用postman测试, 就能看到返回格式了

img

jwt的认证类

# 以后接口要登录后才能访问使用

	1 在视图类上加一个认证类,一个权限类class BookView(ViewSetMixin, RetrieveAPIView):
    	authentication_classes = [JSONWebTokenAuthentication]
    	permission_classes = [IsAuthenticated]  # 登录用户有权限,不登录用户没权限
	2 postman测试
    -请求头中key值叫Authorization
    -请求头的value值是:  jwt 有效的token值

img

postman访问结果:

意思就是你带了token,带错了不行,没带反而可以

img

这样就必须携带:请求头中key值叫Authorization,value值是: jwt 空格 有效的token值

img

结果:

img

标签:jwt,base64,JWT,接口,token,payload,drf
From: https://www.cnblogs.com/zjl248/p/17109935.html

相关文章