使用Django REST Framework和JWT实现身份认证和授权

倾城之泪 2020-04-07 ⋅ 89 阅读

身份认证和授权是现代应用程序中非常重要的方面,它们用于确保只有授权用户可以访问受限资源。Django是一个功能强大的Web框架,而Django REST Framework(简称DRF)则为构建RESTful API提供了一组强大的工具。在本篇博客中,我们将了解如何结合使用DRF和JWT(JSON Web Token)来实现身份认证和授权。

什么是JWT?

JWT是一种开放标准(RFC 7519),用于在网络应用间传递声明。它被用于在发送方和接收方之间安全地传输声明信息,并且可以使用数字签名进行验证。JWT由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部通常包含有关令牌的类型和签名算法的信息,负载包含实际的声明信息,而签名用于验证令牌的完整性。

实现步骤

步骤1:安装DRF和JWT

首先,确保你已经安装了Django和DRF。使用以下命令来安装它们:

pip install django
pip install djangorestframework
pip install djangorestframework-jwt

步骤2:配置DRF和JWT

在你的Django项目的settings.py文件中,添加以下配置:

INSTALLED_APPS = [
    ...
    'rest_framework',
]

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ],
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',
    ],
}

JWT_AUTH = {
    'JWT_SECRET_KEY': 'your-secret-key',
    'JWT_ALGORITHM': 'HS256',
    'JWT_ALLOW_REFRESH': True,
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}

步骤3:实现认证和授权视图

在你的Django应用程序的views.py文件中,实现你的认证和授权视图。这些视图将决定哪些资源需要身份认证和授权。以下是一个简单的例子:

from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework_jwt.settings import api_settings

@api_view(['GET'])
@permission_classes([IsAuthenticated])
def protected_view(request):
    user = request.user
    return Response({'message': f'Hello, {user.username}!'})

@api_view(['POST'])
def login(request):
    username = request.data.get('username')
    password = request.data.get('password')

    if username and password:
        user = authenticate(username=username, password=password)
        if user:
            jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
            jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

            payload = jwt_payload_handler(user)
            token = jwt_encode_handler(payload)

            return Response({'token': token}, status=200)
        else:
            return Response({'error': 'Invalid username or password'}, status=400)
    else:
        return Response({'error': 'Username and password are required'}, status=400)

步骤4:将视图添加到URL配置中

在你的Django应用程序的urls.py文件中,将视图添加到URL配置中。以下是一个简单的例子:

from django.urls import path
from .views import protected_view, login

urlpatterns = [
    path('protected/', protected_view, name='protected'),
    path('login/', login, name='login'),
]

步骤5:测试API

现在,你可以使用任何HTTP客户端工具来测试你的API。首先,发送一个POST请求到/login/,并使用有效的用户名和密码进行身份验证。如果验证成功,将返回一个包含JWT令牌的响应。然后,将该令牌作为Bearer令牌在请求的Authorization头中发送到/protected/,你将获得一个带有"Hello, [用户名]!"消息的成功响应。

结论

使用Django REST Framework和JWT,我们可以轻松地实现身份认证和授权机制。JWT为我们提供了一种安全、灵活的方式来验证令牌和传递声明信息。希望本篇博客对你有所帮助,如果你有任何问题或疑问,请随时留言。


本文来自极简博客,作者:倾城之泪,转载请注明原文链接:使用Django REST Framework和JWT实现身份认证和授权

#JWT
阅读全部

全部评论: 0

    我有话说: