使用JSON Web Token完成用戶認證(REST framework JWT Auth)
前提:
Python 3.6.5
Django 1.11
Django REST Framework 3.8
第一步:安裝jwt
pip install djangorestframework-jwt
注意:這裏,我們安裝的是djangorestframework-jwt 1.11;
第二步:局部JWT的使用設置,即在某個接口上使用JWT進行用戶認證。
例如,獲取當前用戶已下架的主題接口:
from rest_framework_jwt.authentication import JSONWebTokenAuthentication # jwt用戶認證
from rest_framework.authentication import SessionAuthentication # session用戶認證
class MyRepealTopicViewset(mixins.ListModelMixin, viewsets.GenericViewSet):
"""
list:
獲取當前用戶已下架的主題
"""
# 權限判斷:IsAuthenticated表示是否已經登錄
permission_classes = (IsAuthenticated,)
# 用戶認證:方式一:JSONWebTokenAuthentication;方式二:SessionAuthentication
authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
serializer_class = MyRepealTopicSerializer
def get_queryset(self):
"""返回當前用戶已下架的主題"""
return Topic.objects.filter(publisher=self.request.user, delete_flag=False, topic_status="已下架").order_by("-add_time")
補充:全局JWT的使用設置;
在setting.py中,將JSONWebTokenAuthentication 添加到DEFAULT_AUTHENTICATION_CLASSES中。
# 配置系統認證的方式
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.BasicAuthentication', # username和password形式認證
'rest_framework.authentication.SessionAuthentication',
'rest_framework_jwt.authentication.JSONWebTokenAuthentication', # 全局jwt
),
}
注意:一般使用局部JWT;
第三步:在urls.py中,添加url。
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
url(r'^login/$', obtain_jwt_token), # jwt的認證接口
]
第四步:測試接口是否可以返回用戶的token值;
(1)使用HttpRequester插件測試http://127.0.0.1:8000/login/接口,使用username和password生成token。
(2)將(1)生成的token添加到Headers中,然後再訪問需要用戶認證的接口;
第五步:其他設置,比如Token過期時間,在setting.py中添加以下代碼:
# 設置jwt的過期時間
import datetime
JWT_AUTH = {
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), # token過期時間是7天
'JWT_AUTH_HEADER_PREFIX': 'JWT',
}
拓展:手動生成Token
參考資料:
REST framework JWT Auth
源碼:https://github.com/GetBlimp/django-rest-framework-jwt
官網文檔:http://getblimp.github.io/django-rest-framework-jwt/