今日所学10.15 jwt和其他_jwt strings must contain exactly 2 period characte

session和cookie 和jwt（jsonwebtoken）

内容摘自：https://blog.csdn.net/python_nice/article/details/81474794

通过seesion和cookie的验证的缺点

• session:用户经过应用认证后会在服务端保存，以便于下次请求鉴别。

• 第一点session是储存在服务器上面的，会占用少量内存，如果网站用户非常多的话，会影响服务器的性能；

• 第二点拓展性:如果网站比较大，需要搭建有多个服务器，但是session是保存在当前服务器的，其他服务器调用不到。

• 第三点：:session是基于cookie进行识别的，容易被CSRF跨站请求伪造拦截。

基于token的鉴权机制（加密的随机字符串）

• 基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息。基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了，这就为应用的扩展提供了便利。token放在请求头部中，不易被请求，而且可以设置过期时间。

第三方模块：JWT是由三段信息构成的：

1. 第一部分我们称它为头部（header),
2. 第二部分我们称其为载荷（payload, 类似于飞机上承载的物品)，
3. 第三部分是签证（signature).

第一部分 jwt的头部（header）承载两部分信息

	1.声明是jwt类型
	
	2.声明加密的算法 通常直接使用 HMAC SHA256
1
2
3

第二部分有效载荷

有效载荷部分，是JWT的主体内容部分，也是一个JSON对象，包含需要传递的数据。 JWT指定七个默认字段供选择。

iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT
除以上默认字段外，我们还可以自定义私有字段，如下例：
{
“sub”: “1234567890”,
“name”: “chongchong”,
“admin”: true
}

生成签名

签名哈希部分是对上面两部分数据签名，通过指定的算法生成哈希，以确保数据不会被篡改。
首先，需要指定一个密码（secret）。该密码仅仅为保存在服务器中，并且不能向用户公开。然后，使用标头中指定的签名算法（默认情况下为HMAC SHA256）根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret)

在计算出签名哈希后，JWT头，有效载荷和签名哈希的三个部分组合成一个字符串，每个部分用"."分隔，就构成整个JWT对象。

安装

pip install djangorestframework-jwt
1

配置setting

#在REST_FRAMEWORK 添加jwt的认证

        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',


JWT_AUTH={
    #配置过期时间
    'JWT_EXPIRATION_DELTA':datetime.timedelta(days=1),
}
1
2
3
4
5
6
7
8
9

使用

jwt_payload_handler 专门对payload加密
jwt_encode_handler方法对三个部分加密生成token