一、账号登录:
1. 业务说明
验证用户名和密码,验证成功后,为用户签发JWT,前端将签发的JWT保存下来。
4.后端接口分析:
请求方式: POST authorizations/
请求参数: JSON或表单
| 参数名 | 类型 | 是否必须 | 说明 |
|---|---|---|---|
| username | str | 是 | 用户名 |
| password | str | 是 | 密码 |
返回值: JSON
| 返回值 | 类型 | 是否必须 | 说明 |
|---|---|---|---|
| username | str | 是 | 用户名 |
| user_id | str | 是 | 用户id |
| token | str | 是 | jwt_token(作状态保持) |
{
"username": "python",
"user_id": 1,
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo5LCJ1c2VybmFtZSI6InB5dGhvbjgiLCJleHAiOjE1MjgxODI2MzQsImVtYWlsIjoiIn0.ejjVvEWxrBvbp18QIjQbL1TFE0c0ejQgizui_AROlAU"
}
3.业务分析:
- 登录后需要jwt token做状态保持,而且在Django REST framework JWT中恰恰提供了公户验证登录功能.。
- 在users/urls中,使用JWT提供的路由方法,登陆后实现了状态保持,但是在用户名位置没有显示用户名
,查看登录页面js代码,发现后端只返回了token,
这是不能满足需求,所以我们要重写JWT提供的登录验证方法。
-通过查看JWT的源码可知,
# obtain_jwt_token = ObtainJSONWebToken.as_view()
# ==> class ObtainJSONWebToken(JSONWebTokenAPIView):
class JSONWebTokenAPIView(APIView):
"""
Base API View that various JWT interactions inherit from.
"""
...
def post(self, request, *args, **kwargs):
serializer = self.get_serializer(data=request.data)
if serializer.is_valid():
user = serializer.object.get('user') or request.user
token = serializer.object.get('token')
response_data = jwt_response_payload_handler(token, user, request)
response = Response(response_data)
if api_settings.JWT_AUTH_COOKIE:
expiration = (datetime.utcnow() +
api_settings.JWT_EXPIRATION_DELTA)
response.set_cookie(api_settings.JWT_AUTH_COOKIE,
token,
expires=expiration,
httponly=True)
return response
return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)
...
中的 response_data = jwt_response_payload_handler(token, user, request) 方法是生成响应数据的方法,默认只返回token,因此要重写jwt_response_payload_handler()方法。
- 当然在JWT的官方文档中也给出了说明:
4.重写JWT的验证方法:
# users/utils.py
def jwt_response_payload_handler(token, user=None, request=None):
return {
'token': token,
'user_id':user.id,
'username':user.username
}
指定属性,告诉JWT要是用自定义返回参数的方法,进行结果返回。
# meiduo_mall/settings/dev.py 添加
# 指定JWT属性
JWT_AUTH = {
# 返回属性设置
'JWT_RESPONSE_PAYLOAD_HANDLER':
'users.utils.jwt_response_payload_handler',
# token有效期配置
'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=1),
}
5. 增加支持用户名与手机号均可作为登录账号:
JWT扩展的登录视图,在收到用户名与密码时,也是调用Django的认证系统中提供的**authenticate()**来检查用户与密码是否正确。
我们可以通过修改Django认证系统的认证后端(主要是authenticate方法)来支持登录账号既可以是用户名也可以是手机号。
修改Djnago认证系统的认证后端需要继承django.contrib.auth.backends.ModelBackend, 并重写authenticate方法。
authenticate(self, request, username=None, password=None, **kwargs)方法的参数说明:
- request 本次认证的请求对象
- username 本次认证提供的用户账号
- password 本次认证提供的密码
我们想要让用户既可以以用户名登录,也可以以手机号登录,那么对于authenticate方法而言,username参数即表示用户名或者手机号。
重写authenticate方法的思路:
1.根据username参数查找用户User对象,username参数可能是用户名,也可能是手机号;
2.若查找到User对象,调用User对象的check_password方法检查密码是否正确;
#users/utils.py
class UsernameMobileAuthorBackend(ModelBackend):
"""
自定义用户名或手机号认证
"""
def authenticate(self, request, username=None, password=None, **kwargs):
"""
验证用户名或手机号,返回用户对象
:param request:
:param username:
:param password:
:param kwargs:
:return:
"""
try:
if re.match("r1[3-9]\d{9}$", username):
user = User.objects.get(mobile=username)
else:
user=User.objects.get(username=username)
except:
user = None
# 判断密码.使用django的用户模块自带的方法
if user is not None and user.check_password(password):
return user
在配置文件中告知Django使用我们自定义的认证后端
# settings/dev.py
# 用户验证逻辑
AUTHENTICATION_BACKENDS = [
'users.utils.UsernameMobileAuthBackend',
]