session和cookie 和jwt(jsonwebtoken)
内容摘自:
通过seesion和cookie的验证的缺点
- session:用户经过应用认证后会在服务端保存,以便于下次请求鉴别。
- 第一点session是储存在服务器上面的,会占用少量内存,如果网站用户非常多的话,会影响服务器的性能;
- 第二点拓展性:如果网站比较大,需要搭建有多个服务器,但是session是保存在当前服务器的,其他服务器调用不到。
- 第三点::session是基于cookie进行识别的,容易被CSRF跨站请求伪造拦截。
基于token的鉴权机制(加密的随机字符串)
- 基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。token放在请求头部中,不易被请求,而且可以设置过期时间。
第三方模块:JWT是由三段信息构成的:
- 第一部分我们称它为头部(header),
- 第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),
- 第三部分是签证(signature).
第一部分 jwt的头部(header)承载两部分信息
1.声明是jwt类型
2.声明加密的算法 通常直接使用 HMAC SHA256
第二部分有效载荷
有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT
除以上默认字段外,我们还可以自定义私有字段,如下例:
{
“sub”: “1234567890”,
“name”: “chongchong”,
“admin”: true
}生成签名
签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret)在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。
安装
pip install djangorestframework-jwt配置setting
#在REST_FRAMEWORK 添加jwt的认证
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
JWT_AUTH={
#配置过期时间
'JWT_EXPIRATION_DELTA':datetime.timedelta(days=1),
}使用
jwt_payload_handler 专门对payload加密
jwt_encode_handler方法对三个部分加密生成token
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
