摘要:
REST_ FRAMEWORK={#异常处理用户定义的异常处理类“Exception_HANDLER”:用于记录日志记录器=logging,
jwt使用配置:
settings文件中添加:
REST_FRAMEWORK = { # 异常处理 自定义的异常处理类 'EXCEPTION_HANDLER': 'drf_meiduo.utils.exceptions.exception_handler', 'DEFAULT_AUTHENTICATION_CLASSES': ( # 引入JWT认证机制 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } JWT_AUTH = { #设置jwt的有效时间 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), }
import logging from rest_framework.views import exception_handler as drf_exception_handler from rest_framework.response import Response from rest_framework import status from django.db import DatabaseError from redis.exceptions import RedisError # 获取在配置文件中定义的logger,用来记录日志 logger = logging.getLogger('django') def exception_handler(exc, context): """ 自定义异常处理 :param exc: 异常 :param context: 抛出异常的上下文 :return: Response响应对象 """ # 调用drf框架原生的异常处理方法 response = drf_exception_handler(exc, context) if response is None: # 获取异常视图对象 view = context['view'] if isinstance(exc, DatabaseError) or isinstance(exc, RedisError): # 数据库异常 logger.error('[%s] %s' % (view, type(exc))) response = Response({'message': '服务器内部错误'}, status=status.HTTP_500_INTERNAL_SERVER_ERROR) return response
示例代码:django-restframework已经封装好了。
Django REST framework JWT提供了登录签发JWT的视图,可以直接使用 from rest_framework_jwt.views import obtain_jwt_token urlpatterns = [ url(r'^authorizations/$', obtain_jwt_token), ] 注:默认JWT扩展登录视图的返回值仅有token,我们还需在返回值中增加username和user_id。 3. 自定义JWT扩展登录视图响应数据函数 1)在users/utils.py 中,创建 def jwt_response_payload_handler(token, user=None, request=None): """ 自定义jwt认证成功返回数据 """ return { 'token': token, 'user_id': user.id, 'username': user.username } 2)修改配置文件 # JWT扩展配置 JWT_AUTH = { 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), 'JWT_RESPONSE_PAYLOAD_HANDLER': 'users.utils.jwt_response_payload_handler', }
1 ,session 认证机制:
1,用户登录,传递用户名和密码给客户端 2,服务器进行用户名和密码的校验,如果校验成功,将用户保存到session 3,将sessionid通过cookie返回给客服端,客服端会保存sessionID 4,客服端再次访问服务器,会携带cookie:sessionID ,服务端就可以获取对应的session信息,然后对用户的身份进行校验
session认证存在的问题:
1,session 信息存放在服务器端,如果用户过多,就占用过多的服务器的存储空间
2,session 依赖于cookie,如果cookie被截获,可能产生csrf跨站请求伪造
3,在分布式网站应用中,如果session存储到服务器的内存,session共享会用问题
2 ,jwt 认证机制
jwt token 组成:
字符串,由头部(header),载荷(payload)和签名(signatrue)3部分组成,用.隔开(点号)
1,头部(header):存储的是token类型和签名加密的算法
{‘token类型’,‘签名加密算法’} 对头部内容使用base64进行加密,生成的就是header
2,载荷(payload):存储有效的数据和token的有效时间
{"user_id": "用户id",
"username": "用户名"
"mobile": "15211111111"
...
"exp": "token有效时间"}
对载荷内容进行base64加密,生成的内容就是payload
3,签名(signature):作用:防止jwt token 被伪造
jwt 使用注意点:
payload载荷不要存过于敏感数据
服务器需要保存好签名加密密钥
可以使用安全网络协议:https
jwt扩展使用:
功能:生成jwt token和校验jwt token