平底斜

平底斜

关注
发信
关注(28)粉丝(399)

使用 Flask JWT 实现身份验证和授权

在 Web 开发中,身份验证(Authentication)和授权(Authorization)是非常关键的功能。为了实现这两个功能,我们可以使用 Flask JWT(JSON Web Tokens)库。JWT 是一种用于在网络应用之间安全传输信息的开放标准,它基于 JSON 格式,可以实现在服务器和客户端之间安全传递被加密的信息。
使用 Flask JWT 实现身份验证和授权-LMLPHP

本文将介绍如何使用 Flask JWT 来添加身份验证和授权功能到你的 Flask 应用中。

安装依赖

首先,我们需要安装 Flask JWT。打开终端,运行以下命令:

pip install flask-jwt

导入必要的模块和库

在你的 Flask 应用中,导入必要的模块和库:

from flask import Flask, request
from flask_jwt import JWT, jwt_required, current_identity
from werkzeug.security import safe_str_cmp

创建 Flask 应用

接下来,创建一个 Flask 应用实例:

app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret'  # 设置密钥

创建用户模型和用户存储

我们需要创建一个用户模型来表示应用中的用户,并创建一个用户存储来存储用户信息。这里我们简单起见,使用一个字典来存储用户信息:

users = {
    'admin': {'password': 'admin'}
}

实现认证回调函数

Flask JWT 需要一个认证回调函数来根据用户名和密码验证用户。我们可以使用 jwt_required 装饰器来标记需要进行身份验证的路由:

@jwt.authentication_handler
def authenticate(username, password):
    user = users.get(username)
    if user and safe_str_cmp(user['password'].encode('utf-8'), password.encode('utf-8')):
        return user

@jwt.identity_handler
def identity(payload):
    user_id = payload['identity']
    return users.get(user_id)

实现登录和获取令牌的路由

我们可以使用 /login 路由来处理登录请求,返回一个包含 JWT 的 JSON 响应:

@app.route('/login', methods=['POST'])
def login():
    username = request.form['username']
    password = request.form['password']
    user = authenticate(username, password)
    if user:
        token = jwt.jwt_encode_callback(user)
        return {'token': token.decode('utf-8')}
    else:
        return {'error': 'Invalid credentials'}, 401

添加保护的路由

使用 jwt_required 装饰器可以很容易地保护需要授权才能访问的路由:

@app.route('/protected')
@jwt_required()
def protected():
    return {'message': f'Hello, {current_identity}'}

运行应用

最后,运行应用并访问相关路由即可测试身份验证和授权功能:

flask run

以上就是使用 Flask JWT 实现身份验证和授权的基本步骤。通过 JWT,我们可以轻松地在 Flask 应用中添加安全的身份验证和授权功能。

拓展

除了基本的身份验证和授权功能,Flask JWT 还可以进行一些拓展,下面介绍其中两个常用拓展:

JWT 刷新

JWT 刷新是指在访问令牌过期之后,使用刷新令牌来获取新的访问令牌。这里我们可以使用 Flask JWT 的 jwt_refresh_token_required 装饰器来保护需要刷新令牌的路由,并使用 jwt_refresh_token_handler 回调函数实现刷新令牌功能:

@jwt.jwt_refresh_token_required
def refresh():
    current_user = get_jwt_identity()
    new_token = create_access_token(identity=current_user)
    return {'access_token': new_token}, 200

自定义过期时间

默认情况下,Flask JWT 访问令牌的有效期为 15 分钟,刷新令牌的有效期为 30 天。如果需要自定义过期时间,我们可以通过配置 JWT_ACCESS_TOKEN_EXPIRESJWT_REFRESH_TOKEN_EXPIRES 参数来实现:

app.config['JWT_ACCESS_TOKEN_EXPIRES'] = datetime.timedelta(minutes=30)
app.config['JWT_REFRESH_TOKEN_EXPIRES'] = datetime.timedelta(days=30)

以上就是使用 Flask JWT 实现身份验证和授权时的一些常用拓展。通过这些拓展,我们可以更加灵活地使用 Flask JWT 来满足不同的需求。

05-23 21:28
Powered by LMLPHP ©2024 平底斜 0.005457