阅读本文大概需要 3 分钟。
我们都知道 web 应用程序分两个部分,即前端和后端。
前端发送请求,后端返回数据。这里后端是指服务器,前端是指浏览器。
后端只能收到前端发送的请求头,请求参数,及资源定位符(url)。在没有用户认证的情况下,无论前端是谁,只要发送的请求一样,后端返回的数据也是一样的,前端人人平等,后端对他们一视同仁。
随着技术的发展,用户的增加,后端的服务器越来越跑不动了,因为前端的请求太多了,有些资源并不想让所有用户查看,还有些是恶意请求,会导致服务器崩溃(DDoS 攻击)。
因此,后端必须验证前端的身份,根据前端是否拥有相应的权限,来确定是否返回对应的数据。于是很多网站都有用户登陆、注册功能,只有登陆的用户才可能做更多的事情。
但是 http 设计之初是无状态的,也就是说每次请求,服务器都认为这是一个新的请求,之前的请求是否发生过,服务器并不知道。用户登陆时服务器验证通过,但用户的下一次请求时,服务器已不记得用户是否登陆过,这就需要借助一些额外的工具来实现有状态的请求。这就是 cookie(小甜品)。
用户第一次登陆服务器时,服务器生成一些和用户相关联的信息,比如 session_id,token,user_id,可能是一个,也可能是多个,都是经过加密的,把这些信息放在 cookie 中,返回给前端用户,用户下一次请求时,附带上这个 cookie ,服务器拿到这个 cookie,就知道用户之前已经登陆过了,这就变成了有状态的请求。
服务器可以设置相关信息的过期时间,比如 2 个小时,那么用户登陆网站后,2 个小时内未做任何操作,那么 2 个小时后,再次发送请求,服务器就会认为未登陆,需要重新登陆。
登陆后的一系列请求,借助于 cookie,服务器就能确认是哪个用户,然后根据角色、权限确认哪些用户拥有哪些资源的访问权限,这样就实现了用户认证,权限控制等一系列复杂的功能。
那么问题来了,使用 Django Rest Framework 框架实现后端 REST API 时,如何做好用户认证呢?
在 Django Rest Framework 中,认证功能是可插拨的,非常方便。REST框架提供了现成的身份验证方案,如下。并且还允许您实现自定义方案。
1、BasicAuthentication 此身份验证方案使用 HTTP 基本身份验证,该身份针对用户的用户名和密码进行了签名。基本身份验证通常仅适用于测试。
2、TokenAuthentication 此身份验证方案使用简单的基于令牌的 HTTP 身份验证方案。令牌认证适用于客户端-服务器设置,例如台式机和移动客户端。
3、SessionAuthentication 此身份验证方案使用 Django 的默认会话后端进行身份验证。会话身份验证适用于在与您的网站相同的会话上下文中运行的 AJAX 客户端。
4、RemoteUserAuthentication 通过此身份验证方案,您可以将身份验证委派给 Web 服务器。
但是对于需要前后端分离的生产环境来说,方式 1 不适用,官方已经说明仅适用于测试。方式 4 也不适用,没有多少人愿意委派别人来验证自己的用户。方式 2 并不安全,可能导致 XSS 攻击,方式 3 采用 django 默认的会话后端,适用于在与网站相同的会话上下文中运行的 AJAX 客户端,也不适用前后端分离这种方式。
这里必须要自己实现自定义的验证吗?其实不然,这里我推荐使用: JSON Web Token,也就是 django-rest-framework-jwt 安全加密功夫做得比较足,而且工作原理也清楚明了,使用也简单。适合用于向 Web 应用传递一些非敏感信息,经常用于设计用户认证和授权系统,实现 Web 应用的单点登录。
Json Web Token(JWT)
JWT 是一个开放标准 (RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。
JWT 使用方法:
- 首先,前端通过 Web 表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个 HTTP POST 请求。建议的方式是通过 SSL 加密的传输(https协议),从而避免敏感信息被嗅探。
- 后端核对用户名和密码成功后,将用户的 id 等其他信息作为 JWT Payload(负载),将其与头部分别进行 Base64 编码拼接后签名,形成一个 JWT。形成的JWT 就是一个字符串。
- 后端将 JWT 字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在 localStorage 或 sessionStorage 上,退出登录时前端删除保存的 JWT 即可。
- 前端在每次请求时将 JWT 放入 HTTP Header 中的 Authorization 位。(解决XSS 和 XSRF 问题)
- 后端检查是否存在,如存在,则验证 JWT 的有效性。例如,检查签名是否正确;检查 Token 是否过期;检查 Token 的接收方是否是自己(可选)。
- 验证通过后后端使用 JWT 中包含的用户信息进行其他逻辑操作,返回相应结果。
阅读原文发表你的看法。
专注于Python技术分享
欢迎订阅、在看、转发