Contents
23.7.4. 区块链时代与Token登录¶
1.Cookie/Session在前后端分离项目中的局限性¶
Cookie的特点:
● 保存在用户的浏览器中。
● 可以主动清除。
● 可以被伪造。
● 不可以跨站共享Cookie。
根据Cookie的原理和Cookie的特点可以看出,Cookie是一种非常方便、高效的解决HTTP/HTTPS协议无状态问题的方案,但也暴露出了很多Cookie潜在的安全隐患。
1.1 Django中使用Cookie¶
(1)新建Django项目demo5
(2)在app01/models.py中建一个简单的管理员表类:
from django.db import models
# Create your models here.
class Administrator(models.Model):
username = models.CharField(max_length=32)
password = models.CharField(max_length=32)
(3)执行数据更新命令:
python manage.py makemigrations
python manage.py migrate
注意:为了演示方便,我们新建一个管理员表来充当用户表,而没有使用Django自带的用户表。
(4)通过PyCharm的Database手动在管理员表内添加一条记录
INSERT INTO app1_administrator (id, username, password) VALUES (1, 'admin', '666');
(5)在templates目录下新建login.html:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<style>
label{
width: 80px;
text-align: right;
display: inline-block;
}
</style>
</head>
<body>
<form action="login.html" method="post">
<div>
<label for="user">用户名:</label>
<input id="user" type="text" name="user" />
</div>
<div>
<label for="pwd">密码:</label>
<input id="pwd" type="password" name="pwd" />
</div>
<div>
<label> </label>
<input type="submit" value="登录" />
<span style="color: red;">{{ msg }}</span>
</div>
</form>
</body>
</html>
(6)在templates目录下新建index.html:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>Hello {{ username }}</h1>
</body>
</html>
(7)在settings.py中的TEMPLATES配置里添加路径设置代码:
TEMPLATES = [
{
'BACKEND': 'django.template.backends.django.DjangoTemplates',
'DIRS': [BASE_DIR / 'templates']
,
'APP_DIRS': True,
'OPTIONS': {
'context_processors': [
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
},
},
]
(8)在settings.py中注释掉csrf的验证中间件:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
# 'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
(9)在app01/views.py编写登录视图函数和访问首页的视图函数:
from django.shortcuts import render, redirect, HttpResponse
from .models import Administrator
# Create your views here.
# 自定义登录函数视图
def login(request):
message = ""
if request.method == "POST":
user = request.POST.get('user')
pwd = request.POST.get('pwd')
c = Administrator.objects.filter(username=user, password=pwd).count()
if c:
rep = redirect('index.html')
rep.set_cookie('username', user)
rep.set_cookie('password', pwd)
return rep
else:
message = "用户名或密码错误"
return render(request, 'login.html', {'msg': message})
# 访问首页视图函数
def index(request):
# 如果用户已经登录,获取当前登录的用户名
# 否则,返回登录页面
username = request.COOKIES.get('username')
password = request.COOKIES.get('password')
c = Administrator.objects.filter(username=username, password=password).count()
if c:
return render(request, 'index.html', {'username': username})
else:
return redirect('/login.html')
(10)在urls.py中添加路由代码:
"""demo5 URL Configuration
The `urlpatterns` list routes URLs to views. For more information please see:
https://docs.djangoproject.com/en/3.2/topics/http/urls/
Examples:
Function views
1. Add an import: from my_app import views
2. Add a URL to urlpatterns: path('', views.home, name='home')
Class-based views
1. Add an import: from other_app.views import Home
2. Add a URL to urlpatterns: path('', Home.as_view(), name='home')
Including another URLconf
1. Import the include() function: from django.urls import include, path
2. Add a URL to urlpatterns: path('blog/', include('blog.urls'))
"""
from django.contrib import admin
from django.urls import path
from app1.views import login, index
urlpatterns = [
path('admin/', admin.site.urls),
path('login.html', login),
path('index.html', index),
]
(11)运行demo5项目,然后在浏览器中访问http://127.0.0.1:8000/login.html,可以看到首页的效果图
(12)当我们通过浏览器访问首页127.0.0.1:8000/index.html的时候,发现浏览器又访问到了登录页面。按F12键,打开开发者模式,查看Network检测,我们可以看到一个302状态码,代表站内重定向,表示访问index页面的请求被重定向回了登录页面.
在用户通过Cookie机制成功登录网站以后,只要通过按F12键,打开浏览器的开发者模式,刷新网页即可找到缓存在浏览器中的Cookie信息,而用户的用户名和密码就出现在这里。
要知道,浏览器的缓存区从来就不是一个“保险柜”,只要你开着计算机,“有心人”,可以很容易地将你浏览器中的Cookie偷走,而当其发现你所登录的网站是将用户名和密码以明文的形式缓存于Cookie之中时,那么后果真是不堪设想。
将views.py中的相关代码改写为加密的登录逻辑:
def login(request):
message = ""
if request.method == "POST":
user = request.POST.get('user')
pwd = request.POST.get('pwd')
c = Administrator.objects.filter(username=user, password=pwd).count()
if c:
#加密
rep = redirect('index.html')
rep.set_signed_cookie('username', user)
rep.set_signed_cookie('password', pwd)
return rep
else:
message = "用户名或密码错误"
return render(request,'login.html', {'msg': message})
def index(request):
# 如果用户已经登录,获取当前登录的用户名
# 否则,返回登录页面
username = request.get_signed_cookie('username')
password = request.get_signed_cookie('password')
c = Administrator.objects.filter(username=username, password=password).count()
if c:
return render(request, 'index.html', {'username': username})
else:
return redirect('/login.html')
将代码改写以后,再次运行项目,然后通过Chrome浏览器进行登录后访问主页http://127.0.0.1:8000/index.html。
通过这种将Cookie内的信息加密的方式,将原本的明文账号和密码形成密文。
1.2 什么是Session机制¶
Session机制的工作原理与Cookie的签名加密机制的原理相似。区别在于,Cookie机制是将用户的信息存储在客户端浏览器里,而Session机制是将用户的信息存储于服务端的一个散列表里,返回给用户一个Session_id,让用户在登录成功后的每一次数据请求都带上Session_id,服务端根据Session_id来创建和更新Session表中的数据,并返回给用户特定的数据。
Session是基于Cookie的一种机制,属于Cookie机制的一种改进。
(1)Session机制比Cookie机制更安全,比如用户名和密码等敏感信息不用返回给浏览器。有的读者可能会困惑,Cookie签名加密的机制和Session机制在原理上是相似的,为什么Session机制比Cookie机制安全呢?Cookie的签名加密存在Cookie被反解的风险,Session机制的Session_id就不会被反解吗?
答案是:是的,Session机制无法被反解。能做到这一点,归根结底是因为Session机制是将用户的登录信息存储在服务器端,而非存储在客户端浏览器中。
(2)Session机制更适合存储用户的状态信息,比如用户的搜索记录、用户观看视频的进度等。
1.3 Django中使用Session¶
(1)在settings.py中增加代码:
# setting session
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认)
SESSION_COOKIE_NAME = "sessionid" # Session的Cookie保存在浏览器上时的key
SESSION_COOKIE_PATH = "/" # Session的Cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None # Session的Cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输Cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的Cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600 # Session的Cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session默认修改之后才保存
其中,SESSION_ENGINE配置项有必要说明一下,不同的Session引擎,代表了将Session数据储存在服务器的不同地方。
Django中支持Session,其中内部提供了5种类型的Session供开发者使用,分别是
数据库(默认)
缓存
文件
缓存+数据库
加密Cookie。
存储在数据库中:
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认)
存储在缓存中:
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' #(引擎)
SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache)
存储在文件中:
#以文件形式保存
SESSION_ENGINE = 'django.contrib.sessions.backends.file'
#使用文本保存可设置文件保存路径,/MyDjango代表将文本保存在项目MyDjango的根目录
SESSION_FILE_PATH = '/MyDjango'
存储在缓存+数据库中:
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'
在这个项目中,是采用默认存储在数据库中,所以当运行项目以后,在Database界面可以看到一个Session表。
(2)改造app01/views.py代码:
from django.shortcuts import render, redirect, HttpResponse
from .models import Administrator
# Create your views here.
def login(request):
message = ""
if request.method == "POST":
request.session['is_login'] = True
user = request.POST.get('user')
pwd = request.POST.get('pwd')
c = Administrator.objects.filter(username=user, password=pwd).count()
if c:
request.session['is_login'] = True
request.session['username'] = user
rep = redirect('/index.html')
return rep
else:
message = "用户名或密码错误"
return render(request, 'login.html', {'msg': message})
def auth(func):
def inner(request, *args, **kwargs):
is_login = request.session.get('is_login')
if is_login:
return func(request, *args, **kwargs)
else:
return redirect('/login.html')
return inner
@auth
def index(request):
# 如果用户已经登录,获取当前登录的用户名
# 否则,返回登录页面
print(666)
username = request.session.get('username')
c = Administrator.objects.filter(username=username).count()
if c:
return render(request, 'index.html', {'username': username})
else:
return redirect('/login.html')
def logout(request):
request.session.clear()
return redirect('/login.html')
注意:为了更加完整地介绍Session机制的功能,在views中,我们加入了一个登出的函数,用来完成用户退出登录功能。
(3)在urls.py中配置路由:
from django.contrib import admin
from django.urls import path
from app1.views import login, index,logout
urlpatterns = [
path('admin/', admin.site.urls),
path('login.html', login),
path('index.html', index),
path('logout.html', logout()),
]
(4)改造index.html代码:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>Hello {{ username }}</h1>
<a href="/logout.html">注销</a>
</body>
</html>
(5)运行项目,通过浏览器访问http://127.0.0.1:8000/login.html,输入admin和密码666,然后单击“登录”按钮,
1.4 Cookie/Session的局限性¶
为什么Cookie机制和Session机制不适合在多端分离的项目中使用?
首先Cookie和Session都将数据存储于浏览器的Cookie中,如果在没有浏览器的智能硬件上完成登录,就无法实现登录功能。
由于同源策略的局限性,Cookie不能跨站,但是随着大数据时代的普及,越来越多的平台之间的数据共享成为了企业间的主要合作模式,Cookie/Session的局限性会给这样的合作创造很多麻烦。
2. 为什么是Token¶
Cookie/Session机制的局限性,对于Token机制而言并不存在。因为Token信息除了可以存储在Cookie中,也可以储存在Local Storage中。
2.1 什么是Token¶
从各个终端与服务端进行数据交互的身份验证的字符串,就是Token。Token被翻译为“令牌”,顾名思义,其作用就是给每一次需要身份验证的从客户端向服务端发送的数据请求一张代表了权限的“令牌”。
2.2 基于区块链技术发展中Token的技术展望¶
关于Token的技术展望有三点:
(1)消灭假货。基于区块链技术,每一个品牌的每一件商品,都可以有全世界唯一的商品标识,而且还可以非常低的成本验证这些商品的信息。目前市面上的二维码认证很容易伪造,一些不良的商家,只要复制一件正品的二维码,即可造出无数贴有正品二维码标识的假货。
(2)消灭注册。当网络实名制彻底普及以后,完全可以通过区块链技术,让每个人都可以使用同一个账号登录任何一个网站,不需要像现在这样,每下载一个新的应用程序,都要通过手机号注册一个账号,如果长时间不使用,还容易将账号和密码忘记。人脸识别技术和区块链技术的配合,说不定可以使“登录密码”这种验证方式成为历史。
(3)消灭盗版。目前所有打击盗版的成本,都由支持正版的人在承担,这显然并不合理。区块链技术可以帮助那些支持正版的人分享利润,同时区块链技术也有利于打击盗版。
2.3 Django实现Token登录的业务模式¶
2.3.1 Django REST framework的Token生成¶
通过安装和配置Django REST framework及其依赖包,改造项目demo5,实现将demo5的登录机制换成Token模式。生成Token的步骤如下:
(1)在demo5中安装Django REST framework及其依赖包markdown和django-filter。
pip install Djangorestframework markdown Django-filter -i "https://pypi.doubanio.com/simple/"
(2)在settings.py中添加注册代码:
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'app1.apps.App1Config',
'rest_framework',
'rest_framework.authtoken'
]
(3)打开终端,执行数据更新命令:
python manage.py makemigrations
python manage.py migrate
执行数据更新命令,数据库中会自动生成一张authtoken_token表.
(4)打开终端运行创建超级用户命令:
python manage.py createsuperuser
然后输入用户名root,邮箱1@1.com,密码aaaa1111。在demo5的用户表auth_user中,生成了一条记录,password被自动加密了
用户表才是Django项目在建立时自动生成的用户表,这张表包含很多字段,而且对密码字段也有加密处理,可以说是一张功能相对比较强大的表。
(5)在urls.py中配置Token登录的路由:
from django.contrib import admin
from django.urls import path
from rest_framework.authtoken import views
urlpatterns = [
path('api-token-auth/',views.obtain_auth_token),
]
(6)运行项目,然后使用Postman模拟网络请求,采用post的方式,向http://127.0.0.1:8000/api-token-auth/提交用户名和密码,将会返回Token信息:
{
"token": "9246c96b4ac9abb127dcc4bd2a3ab954ed33e9dc"
}
当我们刷新Database中的authtoken_token表,可以看到生成的Token记录已经存在。
2.3.2 Django REST framework的Token认证¶
我们已经通过对demo5的改造,成功生成并且获取到了Token,接下来开发Token认证的功能,步骤如下:
(1)在settings.py中添加配置代码:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated', #必须有
),
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.TokenAuthentication',
)
}
注意:上述代码中,在settings中不但要加入认证的配置代码,还要加入权限的配置代码,如果不加入权限的配置代码,那么认证代码将无法阻止未认证用户获取到本应该只有已认证的用户才可以获取到的数据信息,这一点与Django RESTframework的官方文档存在差异,有可能是因为版本问题而产生的Bug。
(2)将app01/views.py中的代码重写为:
from .models import Administrator
from django.shortcuts import render, redirect, HttpResponse
from rest_framework.views import APIView
# Create your views here.
class IndexView(APIView):
"""
首页
"""
# authentication_classes = []
# permission_classes = []
def get(self, request):
# print(request)
return HttpResponse('首页')
(3)将urls.py中的代码重写为:
from django.contrib import admin
from django.urls import path
from rest_framework.authtoken import views
from app1.views import IndexView
urlpatterns = [
path('admin/', admin.site.urls),
path('api-token-auth/', views.obtain_auth_token),
path('index/', IndexView.as_view(), name='index'),
]
(4)运行项目demo5,然后使用Postman在协议头中加入键值对:
{"key":"Authorization","value":"Token 9246c96b4ac9abb127dcc4bd2a3ab954ed33e9dc"}
注意:Token与字符串之间有一个空格。
(5)如果Token信息不正确,则会返回以下内容
{
"detail": "Authentication credentials were not provided."
}
Token正确返回信息如下:
首页
(6)取消认证限制。
综上可知,由Django REST framework所完成的Token认证流程,是作用于整个项目全局的,也就是说,任何一个数据请求,都会被要求携带Token。
但是获取Token需要进行数据请求,在没有登录之前,用户根本无法获得Token,所以我们至少要让已登录的数据请求不受Token的认证限制。
要完成这个需求非常简单,在views.py中编写代码如下:
from django.shortcuts import render, redirect, HttpResponse
from rest_framework.views import APIView
# Create your views here.
class IndexView(APIView):
"""
首页
"""
authentication_classes = []
permission_classes = []
def get(self, request):
# print(request)
return HttpResponse('首页')
这时,再启动项目,即使没有Token,也可以获取首页内容了。
2.3.3 Django REST framework的Token的局限性¶
我们再来看一下Django REST framework所自建的Token表,可以发现这个表格只有三个字段(不算ID字段):记录Token内容的key字段,记录生成Token时间的created字段,以及外键user_id字段。
很显然,缺少了一个Token的有效期时间字段。从原理上来说,有效期时间字段并没有存在的必要,但是从网络安全的角度上来看,这个字段却是必不可少的。试想,如果一个Token字符串没有有效期限制,只要网络请求被抓包,被黑客获取了一条Token,那么与获取到用户的账号和密码是没有区别的。所以,Django RESTframework的Token,第一个局限性就是其自建的Token表缺少记录有效期时间的字段。
第二个局限性表现在不利于分布式部署或多个系统使用一套验证,Token表只能放在一台服务器上,如果每一次数据请求都要查询一次数据库的整个用户表,那么对于服务器来说将是很大的消耗。试想一下,假如一个平台有四五亿用户,用户任何一次点赞的操作,都要在四五亿数量级的数据表中完成一次查询,那将是一件多么麻烦的事情啊!
使用Json Web Token机制,便可以解决这些问题。
2.3.4 Json Web Token的原理¶
Json Web Token,简称JWT,在如今的技术圈内,算是鼎鼎大名了。可以说所有的前后端分离项目中,不论是使用Python、Java、PHP还是C#开发的网站,大部分都是使用JWT进行登录验证的。
JWT的生命周期如下
(1)用户在前端通过账号和密码进行登录操作,将身份信息发送到后端服务器进行身份验证。
(2)如果后端服务器通过了身份验证,则会将一部分身份信息通过非对称加密生成JWT,返回给前端。
(3)前端获取到JWT之后,将JWT保存在本地。
(4)从前端向后端发送数据请求,都携带JWT。
(5)后端验证JWT,如果通过验证,就返回请求的数据;如果没通过,则返回错误提示。
JWT的数据结构是很长的一段字符串,使用.将其分为3个部分,依次如下:
Header(头部)
Payload(负载)
Signature(签名)
虽然JWT会因为字符串很长而导致自动折行,但是JWT本身就是一行。
2.3.5 JWT在Django中的应用¶
(1)新建Django项目,命名为demo5_jwt,新建App命名为app01。
(2)安装Django REST framework及其依赖包markdown和Django-filter:
pip install Djangorestframework markdown Django-filter -i "https://pypi.doubanio.com/simple/"
(3)在settings.py中加入注册代码:
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'app1.apps.App1Config',
'rest_framework'
]
(4)安装JWT依赖包:
pip install djangorestframework-jwt -i "https://pypi.doubanio.com/simple/"
(5)在settings.py中追加配置相关代码:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated', #必须有
),
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
)
}
import datetime
JWT_AUTH = {
# 指明token的有效期
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}
(6)在urls.py中配置JWT的路由代码:
from django.contrib import admin
from django.urls import path
from app1.views import IndexView
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
path('admin/', admin.site.urls),
# jwt的认证接口
path('jwt-token-auth/', obtain_jwt_token),
path('index/', IndexView.as_view(), name='index')
]
(7)执行数据更新命令:
python manage.py makemigrations
python manage.py migrate
(8)打开终端运行创建超级用户命令:
python manage.py createsuperuser
生成超级用户,输入用户名root,密码root2222。
(9)运行项目,使用Postman以post的方式,向 http://127.0.0.1:8000/jwt-token-auth/提交
{
"username":"root"
"password":"root2222"
}
返回JWT:
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InJvb3QiLCJleHAiOjE2MTg2NjUxMjMsImVtYWlsIjoiMUAxLmNvbSJ9.XPQuGlw6tRHGW0Oa-jb--Y4SSaYsUUBGRKQtLgZfoCc"
}
结果如图
(10)JWT的身份验证。在app01/views.py中编写身份认证视图类:
from django.shortcuts import render, redirect, HttpResponse
from rest_framework.views import APIView
# Create your views here.
class IndexView(APIView):
"""
首页
"""
# authentication_classes = []
# permission_classes = []
def get(self, request):
print(request)
return HttpResponse('首页')
在urls.py中增加路由代码:
from django.contrib import admin
from django.urls import path
from app1.views import IndexView
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
path('admin/', admin.site.urls),
# jwt的认证接口
path('jwt-token-auth/', obtain_jwt_token),
path('index/', IndexView.as_view(), name='index')
]
然后运行项目,如图所示,使用Postman以get的方式,在头文件内添加键值对:
{
"Authorization":"JWT eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InJvb3QiLCJleHAiOjE2MTg2NjU1NjYsImVtYWlsIjoiMUAxLmNvbSJ9.vj5XW1D9MJYBF76eZsB2HLEbKnnkgiZvsIdmUyxtDmE"
}
(5)如果Token信息不正确,则会返回以下内容
{
"detail": "Error decoding signature."
}
Token信息正确返回
首页
身份验证已通过,获取到了“首页”数据。至此,完成了JWT在Django项目里的应用。