如何使用DRF + JWT验证/保护非api_views。呈现私有页面
DRF(Django REST Framework)是一个用于构建Web API的强大框架,而JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。在使用DRF + JWT验证/保护非api_views时,可以按照以下步骤进行操作:
- 安装DRF和JWT库:在Django项目中,使用pip安装DRF和JWT库。可以通过以下命令进行安装:
- 安装DRF和JWT库:在Django项目中,使用pip安装DRF和JWT库。可以通过以下命令进行安装:
- 配置DRF:在Django项目的settings.py文件中,将DRF添加到INSTALLED_APPS中:
- 配置DRF:在Django项目的settings.py文件中,将DRF添加到INSTALLED_APPS中:
- 配置JWT:在settings.py文件中,添加JWT配置项:
- 配置JWT:在settings.py文件中,添加JWT配置项:
- 创建私有页面视图:在Django项目中,创建一个视图函数或类来处理私有页面的请求。可以使用Django的装饰器来保护该视图,确保只有经过身份验证的用户才能访问:
- 创建私有页面视图:在Django项目中,创建一个视图函数或类来处理私有页面的请求。可以使用Django的装饰器来保护该视图,确保只有经过身份验证的用户才能访问:
- 配置URL路由:在项目的urls.py文件中,将私有页面的URL与对应的视图函数或类进行关联:
- 配置URL路由:在项目的urls.py文件中,将私有页面的URL与对应的视图函数或类进行关联:
- 获取JWT令牌:在登录或身份验证成功后,可以使用DRF提供的jwt_encode_handler生成JWT令牌,并将其返回给客户端。
- 发送JWT令牌:在访问私有页面时,客户端需要在请求的头部中包含JWT令牌。可以在请求头中添加Authorization字段,并将JWT令牌作为值发送给服务器:
- 发送JWT令牌:在访问私有页面时,客户端需要在请求的头部中包含JWT令牌。可以在请求头中添加Authorization字段,并将JWT令牌作为值发送给服务器:
通过以上步骤,可以使用DRF + JWT验证/保护非api_views,并呈现私有页面。JWT令牌将用于验证用户的身份,并确保只有经过身份验证的用户才能访问私有页面。
腾讯云相关产品和产品介绍链接地址:
- DRF:DRF是一个开源的Web API框架,提供了许多用于构建高性能API的工具和功能。腾讯云没有直接提供DRF相关产品,但可以在腾讯云的云服务器上部署Django项目来使用DRF。
- JWT:腾讯云没有直接提供JWT相关产品,但可以在腾讯云的云服务器上使用JWT库来实现JWT的生成和验证功能。
请注意,以上答案仅供参考,具体实现方式可能因项目需求和环境而有所不同。
相关·内容
我知道如何保护它,例如,获取令牌,将其存储为cookie,然后通过cookie获取访问令牌,并通过Ajax将其发送到/api/hello,然后我就可以获得JSON@permission_classesIsAuthenticated]) return Response({'message': 'hello this is protected'})
但是我如何保护这个页面,我只
浏览 5提问于2021-05-20得票数 0
1回答
我是Django和基于令牌的认证的新手,我有一个来自django (非DRF )的多页面站点和一个使用graphQL on DRF和JWT认证的react应用。它们位于不同的子域,但使用相同的django/db实例。
我希望我的用户能够在任何一个网站上登录,并导航到另一个网站,并仍然保持“身份验证”。即不必再次登录。我正在考虑尝试让我的非DRF站点使用JWT,但似乎没有多
浏览 21提问于2021-03-07得票数 2
1回答
我试图弄清楚我应该如何坚持身份验证。
假设用户使用电子邮件和密码成功地进行身份验证。因此,这意味着如果用户拥有无效/被盗的访问权限,那么在令牌被检查和失效之前,React似乎仍然暂时呈现私有页面(尽管没有私有内容)。这是个奇怪的行为吗?在这种情况下,应该在用户每次访问私有路由时响应app验证和刷新令牌吗?随时随地获取私有数据?目前,我已经为安全cookie分配了访问令牌和刷新令牌,并且在<
浏览 2提问于2019-10-19得票数 0
我想使用JWT身份验证来保护我的SPA私有路由。为了使一切尽可能安全,我想使用httpOnly cookie将我的access_token存储在客户端。使用httpOnly cookie在很大程度上保护我免受XSS攻击,但不幸的是,这种方法不允许我检查浏览器中是否确实存在cookie。我是被迫使用非</e
浏览 1提问于2018-08-07得票数 9
回答已采纳
我正在使用DRF和DRF-jwt来保护我的API。您如何确定没有人修改过JWT?我如何知道我的Django应用程序中的Secret_Token每次都被用来解码/编码/验证/验证每个请求所接收/发送的JWT?这样的安全性足够让我的API向公众开放吗?
浏览 0提问于2018-12-12得票数 0
因此,我使用DRF JWT进行身份验证。用户提交凭据,如果有效,则使用存储在sessionStorage中的JWT进行响应。每当用户导航受保护的路由时,JWT /api/auth/refresh将刷新令牌(如果令牌仍然有效)。无论如何,从身份验证转移到受保护的路由,根据DRF,如果用户是IsAuthenticated,就会在那里检索数据。问题是,在没有
浏览 2提问于2017-10-31得票数 0
回答已采纳
在下面的关系图中,我有两个选项用于身份验证到受保护的资源。这两个选项都使用身份和访问管理 (IDM)工具(在本例中是keycloak)来存储凭据,并在正确验证后作为JWT呈现。在选项1中,IDM是私有的,不向internet公开(但只暴露于执行身份验证的应用程序),而在选项2中,IDM公开,以至于应用程序重定向到IDM以处理所有身份验证。📷
从表面上看,保护如此关键的软件基础设施( IDM)似乎是非常合乎逻辑的,但是
浏览 0提问于2021-04-19得票数 1
1回答
我对next.js中受保护的路由有点困惑。
首先,我不想使用任何服务器端呈现。我想通过next export静态出口。在这种情况下,如何实现客户端受保护的路由?比方说,我有一个带有基本JWT身份验证的后端服务器。如何使某些路由免受特定用户的保护,并在/login页面中重定向它们?
浏览 3提问于2021-06-10得票数 3
回答已采纳
我在NestJS中添加了使用jwt和护照的无状态身份验证。现在,我想根据从我的Next.js后端接收到的jwt令牌的真实性,在我的NestJS应用程序中添加受保护的路由。实现这一目标的最佳途径是什么?我想为服务器端呈现和客户端呈现的页面添加受保护的路由。
浏览 4提问于2021-07-25得票数 0
回答已采纳
我刚刚在我的NextJS + DjangoRest项目中完成了之后的Google身份验证。我试图找出如何使保护的路线,将重定向的用户,如果他们没有登录。到目前为止我就是这样做的:
将用户数据保存为useContext()。加载受保护页面时,检查UserContext是否为空,
浏览 11提问于2022-05-04得票数 1
回答已采纳
1回答
客户端基于角色的授权
、、、
据我所知,JWT可以包含关于要在服务器上验证的用户角色的一些信息,例如在scope中,这样一个非角色用户将无法从保护到该角色的某些端点访问数据。考虑到JWT可能被客户端篡改,您如何在SPA中保护这样的页面?
浏览 2提问于2017-02-07得票数 1
回答已采纳
一点点上下文:··有一些公共端点不需要身份验证,所以我在DRF设置中使用了这
浏览 5提问于2021-12-27得票数 1
回答已采纳
1回答
我有角6/ASP.NETMVC application.My前端代码,使用web为后端DB interaction.Once构建角度代码,我将dist文件夹放在MVC应用程序中,引用MVC layout.cshtml发布的js,然后使用windows身份验证( intranet)在IIS中托管完整的应用程序。我不知道如何在这个体系结构中实现会话超时。我搜索了它,但没有找到任何相关的链接。我需要更改身份验证吗?
如果有人能把它重定向到一些相关的链接,这将是非常有帮助的。
浏览 0提问于2018-09-19得票数 0
回答已采纳
1回答
我有一个Angular 10Universal项目,它使用从localhost检索的JWT来验证私有路由的请求。我目前使用这个项目进行身份验证:
我认为我在使用Angular Universal时面临的问题是,当呈现需要身份验证的页面时,我的请求无法从localStorage检索JWT令牌。有没有办法使用用户登录网站时返回的JWT令牌对这些请求进行身份验证
浏览 9提问于2021-02-15得票数 0
回答已采纳
我试图使用djangorestframework (DRF:)视图将HTTPS请求发送到一个HTTPS服务。由于Django的跨站点请求伪造(CSRF)保护,我无法让它工作。PUT请求旨在允许未经身份验证的用户添加资源。
禁用CSRF -不可接受。API运行在与非API服务相同的Django实例上。禁用CSRF保护太危险了。在PUT请求上使用X-Requested-With: XMLHttpRequest头(我控制客户端)。不管用-
浏览 2提问于2012-07-06得票数 4
回答已采纳
当需要发送html文档体时,如何在客户机通过身份验证而不使用Cookies的情况下将JWT发送到客户端?有文档、博客文章和教程,它们解释了没有cookie的jwt身份验证,并利用Web来保存jwt客户端。但是,所有这些都是微不足道的例子,没有在http响应体中发送html文档进行身份验证,这在我可以想象的一些实际应用程序中是必要的。可以在cookie http响应头中发送cookie,同时在同一个响应体中使用html文档,我仍然无法看
浏览 4提问于2016-01-17得票数 0
在我的节点后端,我有一个端点,服务器呈现一个管理页面。身份验证是使用json令牌完成的,因此我希望使用jwt保护对此页面的访问('/ admin '),并确保只有admin才能访问此页面。问题是,当我得到这个页面时,我无法在授权头中传输jwt (例如,如果我在url栏中输入www.mydomain.com/admin )。
所以我想问我怎么保护</em
浏览 3提问于2017-07-03得票数 0
回答已采纳
1回答
微服务如何在异步通信中授权?
、、、、
我实现了在ASP.NET核心和UI中开发的一组微服务的身份验证和授权。相互作用/交流是指:
通过case)Micro-services网关(OCELOT)进行的UI <->微服务,授权是通过JWT完成的。(此<->微服务中没有问题,是异步的,并通过服务总线完成。想知道如何使用JWT在2,Micro<->微服务中实现授权.这里不想通过基于证书的实现。虽然我们已经通过私有网络、白名单进行了一些保护,但考虑到深度的保护</
浏览 2提问于2020-02-27得票数 1
回答已采纳
1回答
我正在尝试实现JWT身份验证和授权,但是我担心前端部分的JWT篡改。我得到了后端的顺利和安全的工作。现在我在Angular 5中实现了JWT授权和身份验证。后端将拒绝处理该请求,但假设前端有以下场景:3-恶意用户试图访问持有被篡改的JWT令牌的受保护</
浏览 27提问于2018-04-12得票数 1
回答已采纳
1回答
我有一个使用Simple-JWT进行身份验证的DRF项目。当用户登录时,他们会得到一个响应,其中包含serializer.data中的访问和刷新令牌。如何能够将access令牌添加到受保护的请求中?(他们不能像我一样复制粘贴)他们将如何使用refresh令牌来更新access令牌.
浏览 7提问于2022-09-17得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
