Django(65)jwt认证原理

最新推荐文章于 2024-04-19 07:45:00 发布
原创 最新推荐文章于 2024-04-19 07:45:00 发布 · 503 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jwt #python #django #安全

本文详细介绍了JWT(JSON Web Token)的原理、优势、组成及加密方式,并结合Django框架展示了JWT的使用方法、代码实现以及实战案例,包括手机号、邮箱和账号密码登录方式。同时,探讨了如何在Django中自定义JWT权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

带着问题学习是最有目的性的,我们先提出以下几个问题,看看通过这篇博客的讲解,能解决问题吗?

  1. 什么是JWT?
  2. 为什么要用JWT?它有什么优势?
  3. JWT的认证流程是怎样的?
  4. JWT的工作原理?

我们带着4个问题进入学习

1.什么是JWT?

JWT全称Json Web Token,JWT 是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明。目前,JWT广泛应用在系统的用户认证方面,特别是现在前后端分离项目。

2.为什么要使用JWT?它有什么优势?

用户登录认证方式分为传统的token登录方式和JWT 方式,传统的方式又分为session登录和缓存登录

2.1 session登录

"""
接收到登录请求, 1.得到用户 2.产生token 3.记录到session表 4.返回token

接收需要认证信息的请求, 1.拿到token 2.数据库校验 3.确定登录用户 4.返回认证后信息           与数据库session表交互
"""

2.2 缓存登录

"""
接收到登录请求, 1.得到用户 2.产生token 3.记录到缓存 4.返回token

接收需要认证信息的请求, 1.拿到token 2.缓存校验 3.确定登录用户 4.返回认证后信息            用户登录信息缓存存储
"""

2.3 JWT方式

"""
接收到登录请求, 1.得到用户 2.根据用户产生有用户信息的token 3.返回token

接收需要认证信息的请求, 1.拿到token 2.检验token是否合法,校验出用户 3.返回认证后信息
"""

2.4 JWT优点

  1. 服务器不需要存储tokentoken交给每一个客户端自己存储,服务器压力小
  2. 服务器存储的是 签发和校验token两段算法,签发认证的效率高
  3. 算法完成各集群服务器同步成本低,路由项目完成集群部署(适应高并发)

2.5 JWT特点

  1. token一定在服务器产生,且在服务器校验
  2. token一定参与网络传输
  3. token携带的信息存在能被反解不能被反解的多部分组成

3.JWT组成以及加密原理

JWT是由头部header、载荷payload、签名signature,三段式组成,用.进行拼接,例如官网的这段字符串

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

每一部分都是一个json字典加密形参的字符串,头部和载荷采用的是base64url加密(前台后台都可以解密),签名采用hash256不可逆加密注意:base64url加密是先做base64加密,然后再将字符串中的 - 替代 + _替代 /

3.1 Header

头部包含了两部分,token 类型和采用的加密算法

{
  "alg": "HS256",
  "typ": "JWT"
}
  • typ: (Type)类型,指明类型是JWT
  • alg: (Algorithm)算法,必须是JWS支持的算法,主要是HS256RS256

它会使用 base64url编码组成 JWT 结构的第一部分

3.2 Payload

这部分就是我们存放信息的地方了,你可以把用户ID等信息放在这里,JWT规范里面对这部分有进行了比较详细的介绍,JWT 规定了7个官方字段,供选用

  • iss (issuer):签发人
  • exp (expiration time):过期时间,时间戳
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间,时间戳
  • iat (Issued At):签发时间,时间戳
  • jti (JWT ID):编号

常用的有

最低0.47元/天 解锁文章

200万优质内容无限畅学
Django实现API配合JWT进行用户验证的方法
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目中通过 JWT 实现 API 认证控制。从 Session 与 JWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
Django-rest-framework-JWT之(JWT原理解析及配置和错误解决)
weixin_43286092的博客
01-04 938
文章目录Django-rest-framework-JWT之(JWT原理解析及配置和错误解决)1.测试工具2.JWT原理介绍3.Django-rest-framework-JWT安装配置及其错误处理4.测试 Django-rest-framework-JWT之(JWT原理解析及配置和错误解决) 1.测试工具 使用的Web接口测试工具:Postman 2.JWT原理介绍 JWT的介绍以及对比,参考...
基于DjangoJWT 原理
叱咤少帅的博客
05-30 596
json web token的结构 jwt的结构由三个部分组成: Header Payload Signature header头的格式如下 headers = { #typ 属性表示令牌类型,这里就是 JWT。 'typ': ' jwt', # alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256 就是 HMAC SHA256 算法 'alg': 'HS256'
理解JWT(JSON Web Token)认证python实践
weixin_34258078的博客
07-23 1333
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT认证方式。这一篇主要内容是 JWT认证原理,以及python 使用 jwt 认识的实践。 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提...
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django实现jwt身份认证
a961634066的博客
08-12 3072
文章中使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程中遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt............
Django中实现JWT(构成原理、base64)
最新发布
AZURE060606的博客
04-19 697
JWT (JSON Web Token)通常用于对用户进行身份验证和授权,是一种无状态的认证机制,通过在用户和服务器之间传递加密的令牌来验证用户身份区别于之前的cookie和session签发阶段:登陆成功后签发token,将token存储到客户端的cookies中认证阶段:从请求中拿到token,利用token签发的逆运算解析token得到user对象并存储到request.user中,然后才能在后端进行使用。
strawberry-django-jwt 0.1.6:DjangoJWT认证Python
2.JWT认证原理JWT是一种轻量级的认证机制,常用于服务器与客户端之间的身份验证。它通过将用户信息加密成一个字符串(token),客户端将这个token存储起来,每次发送请求时携带这个token,服务端通过解密验证token...
实现Django JWT认证django-jwt-auth软件包全解析
有了django-jwt-auth库的支持,Django应用能够方便地集成JWT认证方式,实现用户登录、令牌刷新和安全性验证等功能。 安装django-jwt-auth非常简单,通过Python的包管理器pip即可快速安装。具体命令如下: ``` $ pip...
Python Web 框架】Django023---drf ---jwt内置签发方法修改返回格式、token认证的源码分析、RBAC介绍
初遇我ㄖ寸の热情呢?
08-09 255
使用当此请求的request对象,取出获取的页码数-通过页码数和每页显示多少条,具体的取出当前页码的数据代码:###########使用自己的用户表,签发tokenfrom rest_framework_jwt.settings import api_settings # 源码里面jwt_payload_handle = api_settings.JWT_PAYLOAD_HANDLER # 源码里面。...
计算机网络学习笔记五、Cookie、Session和Token
菜到不敢run
04-03 948
Cookie和Session   HTTP协议是无状态的,前后两次请求是相互独立,没有必然联系的,它并不会跟踪用户信息。Cookie和Session就是为了弥补这一不足,而引入的一种机制。 1. Cookie   Cookie实际是一小段文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。当浏览器再请求该网站时,浏览器把url+cookie一同提交。服务器检查该Cookie,以此来辨认用户状态。   Cookie具有不可跨域名性。它在客户端是由
django使用JWT保存用户登录信息
菜鸟教程
12-30 1534
更多编程教程请到:菜鸟教程 https://www.piaodoo.com/ 友情链接: 高州阳光论坛https://www.hnthzk.com/ 人人影视http://www.sfkyty.com/ 在使用前必须弄明白JWT的相关知识,可以看我的另一篇博文:https://www.jb51.net/article/166843.htm 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON
django rest framework jwt 不使用django user来生成和认证token的方法
feng3615的博客
06-15 9076
简单介绍一下jwt Json Web Token(JWTJWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小...
Django项目之配置JWT认证机制
Python打杂工程师
10-14 711
在验证完用户的身份后(检验用户名和密码),需要向用户签发JWT,在需要用到用户身份信息的时候,还需核验用户的JWT。 关于签发和核验JWT,我们可以使用Django REST framework JWT扩展来完成。 文档网站 http://getblimp.github.io/django-rest-framework-jwt/ 安装配置 安装 pip install djangorestfram...
一文搞懂JWT
kuokay的博客
10-31 2036
Django REST framework JWT一、JWT简介二、JWT 组成headerpayloadsignature三.使用手动生成jwt前端保存jwt 一、JWT简介 JWT(Json Web Token) 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP hea
JSON WEB TOKEN
weixin_34273481的博客
03-19 810
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
DjangoJWT -- obtain_jwt_token的原理
gymaisyl的博客
11-19 5737
首先先声明以下本次进行登陆验证操作的环境: Django框架中,在项目名同名的文件包下创建一个users子应用(正常流程下,咱们在注册时,已经将这个子应用创建好了);具体的一些文件可以参考下图。 当前,在使用JWT之前,我相信大家应该知道把JWT安装一下的吧 pip install djangorestframework-jwt Django REST framework JWT提供了登录签发...
JWT原理详解
Zijian Su的博客
04-30 875
文章目录JWT介绍JWT认证原理详解 JWT介绍 jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。与传统token认证的比较:面试的时候一定要提及到相比传统的token,JWT的token不用保存在服务端 传统token认证 用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token...
Django(62)自定义认证
weixin_43880991的博客
06-13 583
前言 如果我们不用使用drf那套认证规则,我们想自定义认证类,那么我们首先要知道,drf本身是如何定义认证规则的,也就是要查看它的源码是如何写的 源码分析 源码的入口在APIView.py文件下的dispatch方法下的self.initial方法中的self.perform_authentication(request),点击查看后如下 def perform_authentication(s...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值