DRF从入门到精通七（djangorestframework-simplejwt、定制返回格式、多方式登录）

一、djangorestframework-simplejwt快速使用

JWT主要用于签发登录接口需要配合认证类 JWT目前有两种 Jtw和Simplejwt（jwt比较老了 simple现在比较流行）

1.基础使用步骤

1. 安装：建议使用pycharm可以安装到指定解释器

	pip install djangorestframework-simplejwt

2. simplejwt默认使用auth_user表签发token，所以我们直接新建项目后执行迁移命令

	-makemigrations
	-migrate

3. 创建一个超级用户：createsuperuser
4. 签发登录：只需要在路由中配置(simplejwt帮我们写好了登录接口以及权限类)

路由配置

	'导入模块'
	from rest_framework_simplejwt.views import token_obtain_pair, token_verify, token_refresh
	urlpatterns = [
	    path('login/', token_obtain_pair),  # 登录  签发token
	    path('verify/', token_verify),  # 验证token 是否有效
    	path('refresh/', token_refresh),  # 刷新token
	]

settings配置

	'注册app'
	INSTALLED_APPS = [
	    ...
	    'rest_framework_simplejwt',
	    ...
	]

	
	import datetime
	SIMPLE_JWT = {
	    # token有效时长
	    'ACCESS_TOKEN_LIFETIME': datetime.timedelta(minutes=30),
	    # token刷新后的有效时间
	    'REFRESH_TOKEN_LIFETIME': datetime.timedelta(days=1),
	}

此时直接访问即可，它都帮我们写好了，在请求体中携带刚刚创建的超级用户的账号密码就会返回token(因为是simplejwt它是双Token认证)

因为是双token认证，获取到的access才是真正使用的token，而refresh则是用于更新access。因为access过期时间很短，过期后就需要重新生成access的token保证token的安全，所以就需要使用refresh用来变更新的有效token

变更新的有效token

---

验证有效期token

---

2.自己配置视图校验访问

我们定义了一个book视图类，它只允许访问时在请求头里面携带了合法的token值才能通过认证。

路由配置

	from rest_framework_simplejwt.views import token_obtain_pair, token_verify
	urlpatterns = [
	    path('login/', token_obtain_pair),  # 登录  签发token
	    path('verify/', token_verify),  # 验证token 是否有效
	    path('refresh/', token_refresh),  # 刷新token
	]

局部配置认证及权限类

视图配置

	from rest_framework.views import APIView
	from rest_framework_simplejwt.authentication import JWTAuthentication
	from rest_framework.permissions import IsAuthenticated
	from rest_framework.response import Response
	
	'局部配置，必须配合权限类'
	class BookView(APIView):
	    '''配置的Jwt认证，但是得在headers添加，如果不添加的话，就不会生效，添加才可生效'''
	    authentication_classes = [JWTAuthentication]  # 登录认证
	    permission_classes = [IsAuthenticated]  # 配置了权限类，没登录的就没有权限访问了
	    '一旦配置了去认证类和权限类后，refresh的token就无法使用，会显示令牌类型错误，只能使用access的token'
	
	    def get(self,reqeust):
	        return Response({'测试测试'})
	
	'''
	这个时候直接访问我们的接口，就会发生错误，"detail":"身份认证信息未提供"
	因为我们访问的时候需要带上simplejwt的token
	固定格式为：Authorization：Bearer 注意这里哟一个空格，在空格后面填写签发过的token
	'''

全局配置认证及权限类

settings中配置

	# 全局配置
	REST_FRAMEWORK = {  '它自己内置的登录是哪怕配置了全局也不会进行认证，源码中进行了禁用'
	    'DEFAULT_AUTHENTICATION_CLASSES': [
	        'rest_framework_simplejwt.authentication.JWTAuthentication'
	    ],
	    'DEFAULT_PERMISSION_CLASSES': [
	        'rest_framework.permissions.IsAuthenticated',
	    ],
	}

携带登录后，服务端响应给我们的token值来访问，token值的开头必须是Bearer+空格，因为在源码内部获取校验token值前，会先通过空格进行分隔一下，第一个值是否为Bearer，如果是的话才会获取空格后面的token值来进行校验，所以我们后续会重写一些方法，不需要遵守一些不必要的规则

注意：只要当前的access的token没过期，而之前签发的access的token和后来刷新签发的access的token都可以使用

3.关于双token认证问题

	1）单token
		-用户登录后----->签发token---->但是有过期时间
			1.设置太短的token过期时间，如：3 minute后就需要重新登录，体验太差，一天啥事不干就重新登录
			2.设置太长的token过期时间，如：7 day，7天都不需要登录----->容易被人截获到长时间使用--->不安全
	2）双token
		-用户登录后---->签发两个token----->目前的verify检验接口，只要是它签发的token，都会认证通过
			例如：access：过期时间短 3分钟
			例如：refresh：过期时间长 7天
			
		-用户正常用，都会用access，不会用refresh
		-access过会有过期了，一旦过期就用不了了---->然后可以通过refresh这个token调用刷新接口，在签发一个access的token
		-通过refresh再次签发的token这个过程，是不需要登录的，这对用户是无感知的
		-后续再使用access这个token发请求

	'认证类：就不能使用refresh的token' 

	'''
	双认证的好处就是，一旦access的token被别人截取到了，拿着模拟发请求，只能在有效时间内使用，
	因为access的token很快会过期，这样就保障安全
	'''

---

二、定制返回格式

继承auth_user表完成签发登录，但是它的返回格式太固定了只有Token，但是我们想自定义格式呢？

	如：
	{
		'code': 100,
	    'msg': '登录成功',
	    'username': self.user.username,
	    'token':'fdsafsfsafsadf'
    }

1.写个序列化类，重写validate ，返回什么，前端看到什么

	from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
	
	class MyTokenObtainPairSerializer(TokenObtainPairSerializer):
	    @classmethod
	    def get_token(cls, user):
	        token = super().get_token(user)  # 签发用户
	        token['name'] = user.username  # 往荷载里面添加用户名称
	        return token
		'''重写get_token方法，它返回的token中就是荷载的内容'''
	
	    def validate(self, attrs):
	        old_data = super().validate(attrs)
	        data = {'code': 100,
	                'msg': '登录成功',
	                'username': self.user.username,
	                'refresh': old_data['refresh'],
	                'access': old_data['access']
	                }
	        return data

2.在settings配置文件中配置

	SIMPLE_JWT = {
	    "TOKEN_OBTAIN_SERIALIZER": "app01.serializer.MyTokenObtainPairSerializer",
	}

效果如下

---

三、多方式登录