关于Django obtain_jwt_token (authenticate自动验证)获取token返回bad request 400的原因

最新推荐文章于 2025-01-12 19:16:11 发布
原创 最新推荐文章于 2025-01-12 19:16:11 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #django #jwt #tokenization #mysql

本文主要探讨Django中obtain_jwt_token获取token返回bad request 400的原因。一是数据库用户名和密码与登录信息不一致,可能是密码明文存储或字段长度不足;二是Django 2.1版本后authenticate会验证is_active,可通过配置取消关联或重写字段解决。

关于Django obtain_jwt_token (authenticate自动验证)获取token返回bad request 400的原因

首先JWT obtain_jwt_token 签发token需要引用django的authenticate()方法,所以问题一般是出在authenticate()
1.普遍都是数据库内的用户名和密码与登陆的用户密码不一致。
1.1一种是创建用户时用create()创建或直接手动录入数据,这种方法会导致出入数据库的密码是明文的,authenticate()验证不了明文密码(因为authenticate()验证的是加密过的密码),存入时使用User.objects.create_user()或者使用check_password()对密码加密。具体怎么做其他博文有写,可以看看。

1.2另一种是比较傻的错误(就是我,搞得我炸裂),由于设置model里面的User表的password字段max_length=50!!!。正常思维一般的密码也不会那么长对吧,想着50长度怎么都够用了(个人项目)。但是由于上面authenticate()需要验证加密的password,所以就不好说了。存入的password经过加密,包括使用python manage.py createsuperuser创建的超级用户的密码也是经过加密的。所以你会发现超级用户也登陆不了。加密过的密码在存入时django会发出一个警告**"Data truncated for column ‘password’ at row 1**,这就说明password只存入了一部分并没有全部存入数据库。所以就导致登陆的密码与数据库取出来解密后的密码不一致的问题,导致登陆失败。只要设置max_length=255,就OK了(男的女的折磨,菜是原罪。。。)

2.就是django2.1 版本后authenticate()还会验证is_active

最低0.47元/天 解锁文章
DjangoJWT -- obtain_jwt_token的原理
gymaisyl的博客
11-19 5762
首先先声明以下本次进行登陆验证操作的环境: Django框架中,在项目名同名的文件包下创建一个users子应用(正常流程下,咱们在注册时,已经将这个子应用创建好了);具体的一些文件可以参考下图。 当前,在使用JWT之前,我相信大家应该知道把JWT安装一下的吧 pip install djangorestframework-jwt Django REST framework JWT提供了登录签发...
rest_framework_jwt源码分析——obtain_jwt_token
h_h_y1994的博客
05-11 611
1 踩坑过程记录: 项目使用的是SQL Server数据库,而且大部分数据表是现成的,前期因为安装一些连接sql的一些库老是失败,所以就没有把sql设置为默认数据库,直接使用sql的原生操作语句,这也为后面使用jwt踩坑埋下伏笔。 2 obtan_jwt_token流程分析 之前没有接触过jwt,在网上查阅rest_framework_jwt的使用,描述的都是大同小异,都是一些无关痛痒的内容,详细...
django应用JWT(JSON Web Token)实战
学而思(xiejava的blog)
09-22 3305
在前后端分离的项目中,前后端进行身份验证通常用JWT来进行,JWT 提供了一个理想的认证解决方案,用来保护 RESTful API,确保只有经过认证的用户才能访问受保护的资源。基于前端框架(如React, Angular, Vue.js)的单页面应用 (SPA),开发者通过使用 JWT可以获得一种简单、安全、高效的方式来处理用户认证和授权的问题。本文通过django项目的实战来说明如何应用和使用JWT
Django】基于JWTtoken认证
无邪的博客
03-28 2199
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
Django DRF -JWT Token】认证使用
Mr_WoLong
04-21 1209
Django DRF - JWT Token认证使用
四、【Django】基于Jwttoken认证(登录接口)
Ataoker的博客
07-18 7106
django 使用jwt token的东西来进行认证
Django DRF】使用rest_framework_simplejwt搭建jwt——全解
qq_59344127的博客
01-12 1465
动态生成 Token 和 Refresh,或者在后端提供一个用户登录接口直接返回这些信息。通过这种方式,您可以在登录时动态生成和返回 Token,以供客户端使用。
httpRequest请求400错误
u014515854的博客
04-02 3090
请求url报错 : http Error 400 bat request修改请求参数如下:@RequestParam(required = false, defaultValue = "15") int pageSize这个地方需要注意基本类型和对象。基本类型 例如: @RequestMapping(value = "/getRecentOrders", method = RequestMe...
obtain_jwt_token的源码追踪分析
一夜奈何梁山
09-28 746
一:代码追踪分析: 1:首先在路由位置开始追踪: re_path(r'^authorizations/$', obtain_jwt_token), 2:第一层追踪:找到ObtainJSONWebToken 3:第二层追踪:父类是JSONWebTokenAPIView,序列化器是JSONWebTokenSerializer。 4:代码追踪上层,不追踪序列化器。 5:继续向下追踪开看看django自己定义的返回格式是怎样的呢?? 发现追踪到配置文件指定的类了。我们导包继续追踪: 在任意位置导包:按住ct
python3 requests post 请求400错误
SOPHIA16527的博客
12-22 8939
post请求 参数赋给data变量时,返回400 参数赋给json变量后,正常200 # coding:utf-8 import requests url = r'http://**/**' data = { 'fq': 'false', 'limit': 10, 'page': 1 } headers = { 'User-Agent': 'Mozilla/5.0 (Linux; Android 4.0.4; Galaxy Nexus Build/IMM76B) Apple
python requests 400错误,关于python:DEBUG = False时Django给出错误请求(400)
weixin_36078737的博客
03-25 1066
我是django-1.6的新手。 当我用DEBUG = True运行django服务器时,它运行得很好。 但是,当我在设置文件中将DEBUG更改为False时,服务器停止了运行,并在命令提示符下给出了以下错误:CommandError: You must set settings.ALLOWED_HOSTS if DEBUG is False.将ALLOWED_HOSTS更改为["http://1...
JSON Web Token令牌(JWT)简单使用(重写自带的用户认证和token流程)
咸鱼!!!
06-26 3420
重写自带的用户认证和token流程token应用流程:Django提供内置的用户认证功能。为何要自己写认证如何使用的jwt自带的验证视图在前端登录ajax请求重写jwt返回内容JWT如何返回用户信息或者修改信息serializers.py写一个序列化器view.py设置指定模型(重要)js根据JWT的值发送get请求获取信息js里根据JWT的值发送PUT请求 官方文档:https://yiyib...
JWT token 相关配置 (全局配置 身份认证 重写Authenticate方法)
weixin_69282446的博客
04-27 2031
文章目录一. jwt 全局配置 判断用户是否登录1.settings配置二. 配置jwt过期时间 自定义返回的json数据1.utils.py函数编写,返回指定格式的json数据2.settings配置三. 配置django的认证后端 目的是只让管理员登录 自定义一个认证类 重写Authenticate方法1.utils.py类编写 重写Authenticate方法2.settings配置四. 路由配置五. 模型类1.models.py里定义用户类2.settings配置3 添加测试数据 一.
认证与授权,JWT 认证
qq_40132294的博客
07-17 948
session_key会保存在服务端,有可能是保存在mysql,有可能是保存在redis,服务端会把这个session_key发送给浏览器客户端,下次来自客户端的请求就会带上这个session_key,服务端校验这个key是否存在,并且是否过期,以判断是否认证通过.obtain_jwt_token生成获取token。refresh_jwt_token刷新token。verify_jwt_token校验token。6.4.3全局路由表中注册路由obtain_jwt_token。......
JSON Web Token令牌(JWT)的使用(二)重写自带的用户认证和token流程
paul0926的博客
06-18 4840
重写django自带的用户认证 前文,查看官方文档:https://yiyibooks.cn/xx/Django_1.11.6/topics/auth/index.html
只需两步就能实现JWT认证
ares_beyong的博客
04-04 1043
使用 djangorestframework-jwt 不需要定义视图函数吗? 一般情况下,DRF-JWT在登陆功能中应用最为广泛。而登陆视图的功能就是生成签证token ,然后将其返回给前端。 而生成签证token的事情,已有 djangorestframewo
django实现jwt身份认证
a961634066的博客
08-12 3102
文章中使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程中遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt。............
【远程调用返回400问题排查(已解决)
热门推荐
JAVA_ZZX的博客
09-08 1万+
远程调用返回400问题排查
djangorestframework-jwt使用,生成tokentoken认证
weixin_46371752的博客
12-06 2576
使用djangojwt模块: 安装:pip install djangorestframework-jwt 配置: 将djangorestframework-jwt注册到apps中 settings.py下配置 import datetime JWT_AUTH = { 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), ​ 'JWT_AUTH_HEADER_PREFIX': 'JWT', #前缀需要家jwt } ....
Djiango 实现查询数据库验证用户登录返回token
最新发布
06-15
<think>我们参考用户提供的引用内容,特别是引用[1]和引用[4]中关于生成Token的部分,以及引用[5]中关于使用djangorestframework-simplejwt的内容。用户的需求是:在Django中实现通过查询数据库验证用户登录并返回token的功能。我们可以采用两种方式:1.自定义Token生成和验证(基于数据库存储Token)2.使用第三方库(如djangorestframework-simplejwt)实现JWT下面分别介绍这两种方法:方法一:自定义Token(参考引用[1]和引用[4])步骤:1.创建模型存储Token(如果使用自定义Token)2.编写登录视图,验证用户凭证,生成Token返回3.编写中间件或装饰器进行Token验证(可选,这里先完成登录生成Token部分)方法二:使用djangorestframework-simplejwt(参考引用[5])步骤:1.安装配置djangorestframework-simplejwt2.编写登录视图,使用simplejwt提供的视图或自定义返回格式由于用户要求通过查询数据库验证用户登录并返回token,我们分别实现两种方法的登录部分。注意:方法一中的Token可以是一个随机字符串(如使用secrets.token_hex),也可以使用JWT(如引用[4]中使用了PyJWT)。这里我们分别展示。我们先看方法一(自定义Token)的实现:步骤1:创建模型(如果还没有)我们可以创建一个Token模型,或者将Token直接存储在用户模型上(如引用[4]在User模型上添加token字段)。这里为了简单,我们假设在用户模型上添加token字段。步骤2:编写登录视图参考引用[1]和引用[4]的视图,我们编写如下:但是注意:引用[1]使用了CustomToken模型(一个与用户一对一关联的Token模型),引用[4]使用了JWT生成Token并存储在用户模型的token字段。这里我们提供两种自定义Token生成方式:A.随机字符串(类似引用[1])B.JWT(类似引用[4])我们先看A:随机字符串首先,确保用户模型有一个token字段(或者使用单独的Token模型,这里以用户模型为例)。在views.py中:```pythonfromdjango.contrib.authimportauthenticatefromdjango.httpimportJsonResponseimportsecretsdeflogin(request):ifrequest.method=="POST":username=request.POST.get('username')password=request.POST.get('password')user=authenticate(request,username=username,password=password)ifuserisnotNone:#生成一个随机token(例如64个字符)token=secrets.token_hex(32)#将token保存到用户模型的token字段user.token=tokenuser.save()returnJsonResponse({'token':token,'status':'success'})else:returnJsonResponse({'error':'Invalidcredentials'},status=401)returnJsonResponse({'error':'Methodnotallowed'},status=405)```再看B:使用JWT生成Token(需要安装PyJWT,`pipinstallPyJWT`)```pythonimportjwtimportjsonfromdjango.viewsimportViewfromdjango.httpimportJsonResponsefromdjango.contrib.authimportauthenticatefrom.modelsimportUser#假设用户模型是UserclassLoginView(View):defpost(self,request):#从请求体中获取JSON数据data=json.loads(request.body)username=data.get('username')password=data.get('password')user=authenticate(request,username=username,password=password)ifuserisnotNone:#使用JWT生成Token,需要设置一个密钥(secret)和算法payload={'user_id':user.id,'username':user.username}secret_key='your_secret_key'#这个密钥要保密,且足够复杂token=jwt.encode(payload,secret_key,algorithm='HS256')#注意:jwt.encode返回的可能是字节串,我们解码为字符串ifisinstance(token,bytes):token=token.decode('utf-8')#可以选择将token保存到用户模型(可选)user.token=tokenuser.save()returnJsonResponse({'token':token,'status':'success'})else:returnJsonResponse({'error':'Invalidcredentials'},status=401)```方法二:使用djangorestframework-simplejwt(参考引用[5])步骤1:安装```pipinstalldjangorestframework-simplejwt```步骤2:配置settings.py```pythonINSTALLED_APPS=[...'rest_framework','rest_framework_simplejwt',...]REST_FRAMEWORK={'DEFAULT_AUTHENTICATION_CLASSES':('rest_framework_simplejwt.authentication.JWTAuthentication',)}```步骤3:配置urls.py(为simplejwt提供的TokenObtainPairView添加路由)```pythonfromrest_framework_simplejwt.viewsimportTokenObtainPairView,TokenRefreshViewurlpatterns=[...path('api/token/',TokenObtainPairView.as_view(),name='token_obtain_pair'),path('api/token/refresh/',TokenRefreshView.as_view(),name='token_refresh'),...]```但是,默认的TokenObtainPairView返回的格式是:```json{"access":"xxx","refresh":"yyy"}```如果我们想要像引用[2]那样自定义返回格式(包含用户信息),我们可以自定义一个视图继承TokenObtainPairView,并重写其响应方法。步骤4:自定义返回格式(参考引用[2])在views.py中:```pythonfromrest_framework_simplejwt.viewsimportTokenObtainPairViewfromrest_framework_simplejwt.serializersimportTokenObtainPairSerializerclassMyTokenObtainPairSerializer(TokenObtainPairSerializer):@classmethoddefget_token(cls,user):token=super().get_token(user)#添加自定义声明token['username']=user.usernametoken['email']=user.emailreturntokendefvalidate(self,attrs):data=super().validate(attrs)#添加自定义返回内容data['user']={'id':self.user.id,'username':self.user.username,'email':self.user.email}returndataclassMyTokenObtainPairView(TokenObtainPairView):serializer_class=MyTokenObtainPairSerializer```然后在urls.py中使用这个视图:```pythonpath('api/token/',MyTokenObtainPairView.as_view(),name='token_obtain_pair'),```这样,当用户使用用户名和密码登录时,就会返回包含用户信息的Token。总结:用户可以根据需求选择:1.自定义Token(简单随机字符串或JWT)并存储在用户模型中,然后自己编写验证逻辑(中间件或装饰器)。2.使用djangorestframework-simplejwt,它提供了JWT的生成、刷新和验证功能,并且可以自定义返回格式。注意:方法一需要自己处理Token验证和过期等,方法二则已经实现了这些功能,推荐使用方法二。下面我们针对方法二(使用djangorestframework-simplejwt)给出完整的登录示例步骤。完整步骤(方法二):1.安装djangorestframework-simplejwt2.配置settings.py3.创建自定义的Token序列化器和视图4.配置urls.py这样,当用户向`/api/token/`发送POST请求(包含username和password)时,就会返回Token和用户信息。如果用户希望使用自定义的登录视图(例如不使用simplejwt的视图,而是自己写一个视图,但内部使用simplejwt生成token),也可以:例如,自定义登录视图(使用simplejwt生成token):```pythonfromrest_framework.viewsimportAPIViewfromrest_framework.responseimportResponsefromrest_framework_simplejwt.tokensimportRefreshTokenfromdjango.contrib.authimportauthenticateclassCustomLoginView(APIView):defpost(self,request):username=request.data.get('username')password=request.data.get('password')user=authenticate(username=username,password=password)ifuser:refresh=RefreshToken.for_user(user)returnResponse({'refresh':str(refresh),'access':str(refresh.access_token),'user':{'id':user.id,'username':user.username}})else:returnResponse({'error':'Invalidcredentials'},status=401)```然后把这个视图配置到urls.py。以上提供了多种实现方式,用户可以根据项目需求选择。最后,注意安全:1.使用HTTPS2.密钥要保密(JWT的密钥)3.考虑Token的有效期相关问题:1.如何验证自定义Token的有效性?2.如何在Django中使用JWT实现无状态认证?3.djangorestframework-simplejwt如何配置Token过期时间?4.如何在前端使用Django返回Token?5.自定义TokenJWTToken各自的优缺点是什么?</think>在 Django 中实现通过数据库验证用户登录并生成返回 Token 的功能,主要有两种推荐方法:自定义 Token 机制和使用第三方库(如 djangorestframework-simplejwt)。以下是具体实现步骤: --- ### 方法一:自定义 Token 机制(适合简单需求) #### 1. 创建用户模型和 Token 模型 ```python # models.py from django.db import models from django.contrib.auth.models import AbstractUser import secrets class CustomUser(AbstractUser): # 可添加自定义字段 pass class AuthToken(models.Model): user = models.ForeignKey(CustomUser, on_delete=models.CASCADE) key = models.CharField(max_length=64, unique=True) created = models.DateTimeField(auto_now_add=True) @classmethod def generate_token(cls): return secrets.token_hex(32) # 生成64字符随机Token ``` #### 2. 实现登录视图 ```python # views.py from django.contrib.auth import authenticate from django.http import JsonResponse from .models import AuthToken def custom_login(request): if request.method == "POST": username = request.POST.get("username") password = request.POST.get("password") # 验证用户凭证 user = authenticate(username=username, password=password) if user: # 创建或获取现有Token token, created = AuthToken.objects.get_or_create(user=user) if not created: # 重新生成新Token token.key = AuthToken.generate_token() token.save() return JsonResponse({ "token": token.key, "user_id": user.id, "username": user.username }) return JsonResponse({"error": "用户名或密码错误"}, status=401) return JsonResponse({"error": "仅支持POST请求"}, status=405) ``` #### 3. 配置路由 ```python # urls.py from django.urls import path from . import views urlpatterns = [ path('login/', views.custom_login, name='login'), ] ``` --- ### 方法二:使用 JWT(推荐生产环境使用) #### 1. 安装必要库 ```bash pip install djangorestframework djangorestframework-simplejwt ``` #### 2. 配置 settings.py ```python # settings.py INSTALLED_APPS = [ ... 'rest_framework', 'rest_framework_simplejwt', ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_simplejwt.authentication.JWTAuthentication', ) } # JWT配置 from datetime import timedelta SIMPLE_JWT = { 'ACCESS_TOKEN_LIFETIME': timedelta(minutes=30), 'REFRESH_TOKEN_LIFETIME': timedelta(days=1), } ``` #### 3. 实现登录视图 ```python # views.py from rest_framework.views import APIView from rest_framework.response import Response from rest_framework_simplejwt.tokens import RefreshToken class JWTLoginView(APIView): def post(self, request): username = request.data.get("username") password = request.data.get("password") user = authenticate(username=username, password=password) if not user: return Response({"error": "认证失败"}, status=401) # 生成JWT Token refresh = RefreshToken.for_user(user) return Response({ "access": str(refresh.access_token), "refresh": str(refresh), "user_id": user.id }) ``` #### 4. 配置路由 ```python # urls.py from django.urls import path from .views import JWTLoginView urlpatterns = [ path('jwt-login/', JWTLoginView.as_view(), name='jwt_login'), ] ``` --- ### 客户端调用示例 ```javascript // JavaScript示例 fetch('/login/', { method: 'POST', headers: {'Content-Type': 'application/x-www-form-urlencoded'}, body: `username=testuser&password=securepassword123` }) .then(response => response.json()) .then(data => { console.log("Token:", data.token); localStorage.setItem('authToken', data.token); }); ``` --- ### 关键安全实践 1. **HTTPS强制使用**:所有Token传输必须通过HTTPS 2. **Token存储安全**: ```javascript // 前端避免XSS攻击 localStorage.setItem('token', token); // 替代cookie存储 ``` 3. **设置合理有效期**: ```python # JWT配置示例 SIMPLE_JWT = { 'ACCESS_TOKEN_LIFETIME': timedelta(minutes=15), // 短有效期 'REFRESH_TOKEN_LIFETIME': timedelta(days=7), // 长刷新周期 } ``` 4. **敏感操作二次验证**:关键操作要求重新输入密码 --- ### 方法对比 | 特性 | 自定义Token | JWT | |--------------------|--------------------------------|-------------------------------| | 实现复杂度 | 简单 | 中等 | | 无状态性 | 需数据库查询 | 无需数据库查询 | | 安全性 | 依赖实现细节 | 标准化加密 | | 自动过期 | 需手动实现 | 内置支持 | | 适用场景 | 小型项目/简单API | 分布式系统/RESTful API | > 对于新项目,**强烈推荐使用JWT方案**(方法二),它提供了开箱即用的安全功能和标准化实现[^5]。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值