Django如何使用jwt获取用户信息
HTTP请求是无状态的,我们通常会使用cookie或session对其进行状态保持,cookie存储在客户端,容易被用户误删,安全性不高,session存储在服务端,在服务器集群情况下需要解决session不共享的问题,常用的解决方案有4种:客户端Cookie保存、服务器间Session同步、使用集群管理Session、把Session持久化到数据库。
jwt:jsonwebtoken
在用户注册登录后,记录用户登录状态,我们可以用cookie和session来做状态保持,cookie存储在客户端,安全性低,session存储在服务器端,安全性高,但是在分布式架构中session不能同步化,所以我们用jwt来验证接口安全
组成:头部载荷签证
Jwt服务端不需要存储token串,用户请求时携带着经过哈希加密和base64编码后的字符串过来,服务端通过识别token值判断用户信息、过期时间等信息,在使用期间内不可能取消令牌或更改令牌权限。
jwt的安装与配置
#安装pipinstalldjangorestframework-jwt
Fromrest_framework_jwt.authenticationimportJSONWebTokenAuthentication
Settings.py
INSTALLED_APPS=[
'''
'rest_framework.authtoken',
'''
]
###################2、配置jwt验证######################
REST_FRAMEWORK={
#身份认证
'DEFAULT_AUTHENTICATION_CLASSES':(
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
),
}
importdatetime
JWT_AUTH={
'JWT_AUTH_HEADER_PREFIX':'JWT',
'JWT_EXPIRATION_DELTA':datetime.timedelta(days=1),
}
AUTH_USER_MODEL='app.User'#指定使用APP中的modelUser进行验证
在django中,我们用内置的User表做登录功能
fromrest_framework_jwt.viewsimportobtain_jwt_token#验证密码后返回token urlpatterns=[ re_path(r'v1/login/$',obtain_jwt_token,name='login'),#用户登录后返回token ]
前端获取到token并且setitem
vartoken='JWT'+data.token
localStorage.setItem('token',token);
在我们封装的拦截器里有请求拦截器和响应拦截器,需要在每次发起请求的时候获取token
importAxiosfrom'axios'
import{Toast}from'vant';
importURLSfrom'../../config/urls'
//1、使用自定义配置新建一个axios实例
constinstance=Axios.create({
baseURL:URLS.API_URL,
responseType:'json',
});
//2、添加请求拦截器:每次发送请求就会调用此拦截器,添加认证token
instance.interceptors.request.use(
config=>{
//发送请求前添加认证token,
console.log(localStorage.getItem('token'))
config.headers.Authorization=localStorage.getItem('token');#获取token
//config.headers.Authorization=sessionStorage.getItem('token')
returnconfig
},
err=>{
returnPromise.reject(err)
});
//3、响应拦截器
instance.interceptors.response.use(
response=>{
if(response.status===200){
returnPromise.resolve(response);
}else{
returnPromise.reject(response);
}
},
//服务器状态码不是200的情况
error=>{
if(error.response.status){
switch(error.response.status){
//401:未登录
//未登录则跳转登录页面,并携带当前页面的路径
//在登录成功后返回当前页面,这一步需要在登录页操作。
case401:
router.replace({
path:'/login',
query:{redirect:router.currentRoute.fullPath}
});
break;
//403token过期
//登录过期对用户进行提示
//清除本地token和清空vuex中token对象
//跳转登录页面
case403:
Toast({
message:'登录过期,请重新登录',
duration:1000,
forbidClick:true
});
//清除token
localStorage.removeItem('token');
store.commit('loginSuccess',null);
//跳转登录页面,并将要浏览的页面fullPath传过去,登录成功后跳转需要访问的页面
setTimeout(()=>{
router.replace({
path:'/login',
query:{
redirect:router.currentRoute.fullPath
}
});
},1000);
break;
//404请求不存在
case404:
Toast({
message:'网络请求不存在',
duration:1500,
forbidClick:true
});
break;
//其他错误,直接抛出错误提示
default:
Toast({
message:error.response.data.message,
duration:1500,
forbidClick:true
});
}
returnPromise.reject(error.response);
}
}
);
exportdefaultinstance
这样即完成了jwt接口安全的认证
那么在python后端如何去获取jwt并提取我们需要的信息呢?
fromrest_framework_jwt.authenticationimportJSONWebTokenAuthentication
fromrest_framework.viewsimportexception_handler
fromrest_framework_jwt.utilsimportjwt_decode_handler
#获取登陆的用户
token=request.META.get('HTTP_AUTHORIZATION')[4:]
token_user=jwt_decode_handler(token)
user_id=token_user['user_id']#获取用户id
这个方法不用在前端封装getitemtoken
或者从前端传过来token然后获取
.vue
varformdata={
id:this.$route.params.id,//获取/id
//this.$route.query.subid获取?subid=id
token:localStorage.getItem('token'),
}
postCreate(formdata).then(resp=>{
console.log(resp)
alert(resp.mes)
}).catch(err=>{
alert(err)
console.log(err)
})
}
pythonviews.py
defpost(self,request):
data=request.data#获取post方法的数据
#print(data)
token=data.get('token')[4:]
toke_user=jwt_decode_handler(token)
user_id=toke_user['user_id']
defget(self,request):
data=request.query_params#获取get方法的参数
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。