说说web应用程序中的用户认证

阅读本文大概需要 3 分钟。

我们都知道 web 应用程序分两个部分，即前端和后端。

前端发送请求，后端返回数据。这里后端是指服务器，前端是指浏览器。

后端只能收到前端发送的请求头，请求参数，及资源定位符（url）。在没有用户认证的情况下，无论前端是谁，只要发送的请求一样，后端返回的数据也是一样的，前端人人平等，后端对他们一视同仁。

随着技术的发展，用户的增加，后端的服务器越来越跑不动了，因为前端的请求太多了，有些资源并不想让所有用户查看，还有些是恶意请求，会导致服务器崩溃（DDoS 攻击）。

因此，后端必须验证前端的身份，根据前端是否拥有相应的权限，来确定是否返回对应的数据。于是很多网站都有用户登陆、注册功能，只有登陆的用户才可能做更多的事情。

但是 http 设计之初是无状态的，也就是说每次请求，服务器都认为这是一个新的请求，之前的请求是否发生过，服务器并不知道。用户登陆时服务器验证通过，但用户的下一次请求时，服务器已不记得用户是否登陆过，这就需要借助一些额外的工具来实现有状态的请求。这就是 cookie（小甜品）。

用户第一次登陆服务器时，服务器生成一些和用户相关联的信息，比如 session_id，token，user_id，可能是一个，也可能是多个，都是经过加密的，把这些信息放在 cookie 中，返回给前端用户，用户下一次请求时，附带上这个 cookie ，服务器拿到这个 cookie，就知道用户之前已经登陆过了，这就变成了有状态的请求。

服务器可以设置相关信息的过期时间，比如 2 个小时，那么用户登陆网站后，2 个小时内未做任何操作，那么 2 个小时后，再次发送请求，服务器就会认为未登陆，需要重新登陆。

登陆后的一系列请求，借助于 cookie，服务器就能确认是哪个用户，然后根据角色、权限确认哪些用户拥有哪些资源的访问权限，这样就实现了用户认证，权限控制等一系列复杂的功能。

那么问题来了，使用 Django Rest Framework 框架实现后端 REST API 时，如何做好用户认证呢？

在 Django Rest Framework 中，认证功能是可插拨的，非常方便。REST框架提供了现成的身份验证方案，如下。并且还允许您实现自定义方案。

1、BasicAuthentication 此身份验证方案使用 HTTP 基本身份验证，该身份针对用户的用户名和密码进行了签名。基本身份验证通常仅适用于测试。

2、TokenAuthentication 此身份验证方案使用简单的基于令牌的 HTTP 身份验证方案。令牌认证适用于客户端-服务器设置，例如台式机和移动客户端。

3、SessionAuthentication 此身份验证方案使用 Django 的默认会话后端进行身份验证。会话身份验证适用于在与您的网站相同的会话上下文中运行的 AJAX 客户端。

4、RemoteUserAuthentication 通过此身份验证方案，您可以将身份验证委派给 Web 服务器。

但是对于需要前后端分离的生产环境来说，方式 1 不适用，官方已经说明仅适用于测试。方式 4 也不适用，没有多少人愿意委派别人来验证自己的用户。方式 2 并不安全，可能导致 XSS 攻击，方式 3 采用 django 默认的会话后端，适用于在与网站相同的会话上下文中运行的 AJAX 客户端，也不适用前后端分离这种方式。

这里必须要自己实现自定义的验证吗？其实不然，这里我推荐使用： JSON Web Token，也就是 django-rest-framework-jwt 安全加密功夫做得比较足，而且工作原理也清楚明了，使用也简单。适合用于向 Web 应用传递一些非敏感信息，经常用于设计用户认证和授权系统，实现 Web 应用的单点登录。

Json Web Token（JWT）

JWT 是一个开放标准 (RFC 7519)，它定义了一种用于简洁，自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。

JWT 使用方法：

1. 首先，前端通过 Web 表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个 HTTP POST 请求。建议的方式是通过 SSL 加密的传输（https协议），从而避免敏感信息被嗅探。
2. 后端核对用户名和密码成功后，将用户的 id 等其他信息作为 JWT Payload（负载），将其与头部分别进行 Base64 编码拼接后签名，形成一个 JWT。形成的JWT 就是一个字符串。
3. 后端将 JWT 字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在 localStorage 或 sessionStorage 上，退出登录时前端删除保存的 JWT 即可。
4. 前端在每次请求时将 JWT 放入 HTTP Header 中的 Authorization 位。(解决XSS 和 XSRF 问题)
5. 后端检查是否存在，如存在，则验证 JWT 的有效性。例如，检查签名是否正确；检查 Token 是否过期；检查 Token 的接收方是否是自己（可选）。
6. 验证通过后后端使用 JWT 中包含的用户信息进行其他逻辑操作，返回相应结果。

阅读原文发表你的看法。

专注于Python技术分享

欢迎订阅、在看、转发