cookie

cookie是保存在本地浏览器的一个明文的用户信息

session

session是保存在服务器端的一个键值对类似字典的数据

他的主要作用就是加密和保存登录状态和会话

登陆时验证用户名密码，如果正确，就会返回session的key，以后，浏览器端直接携带key访问，无需验证用户名和密码

session缺点：

1.这种模式最大的问题是，没有分布式架构，无法支持横向扩展。

2.如果使用一个服务器，该模式完全没有问题。

3.但是，如果它是服务器群集或面向服务的跨域体系结构的话，则需要一个统一的session数据库库

来保存会话数据实现共享，

4.这样负载均衡下的每个服务器才可以正确的验证用户身份。

没有session持久化，没有分布式架构，无法支持横向扩展 session默认存储在内存中，如果把代码部署在多台服务器上， session只会保存在其中的某台服务器上，这样，如果用户访问的不是该台服务器，请求nginx路由到另一台服务器上，那就需要重新登录，会造成数据冗余

写入数据库或者文件持久层，这样的方法解决了横向扩展问题，但是这样的问题是，如果数据库持久层出现问题，所有集群都没有办法登录，单点故障 如果数据放到mysql中，用户量过大，查询很慢，效率很低

JWT

jwt本质是就是，把用户信息加密后生成的一个字符串

JWT原则是在服务器身份验证之后，将生成一个JSON对象并将其发送回用户

之后，当用户与服务器通信时，客户在请求中发回JSON对象，服务器仅依赖于这个JSON对象来标识用户。 为了防止用户篡改数据，服务器将在生成对象时添加签名 服务器不保存任何会话数据，即服务器变为无状态，使其更容易扩展

JWT是由头部，载荷，签名三部分组成：

头部:

# JWT头部分是一个描述JWT元数据的JSON对象，通常如下所示。 { "alg": "HS256", "typ": "JWT" } # 1）alg属性表示签名使用的算法，默认为HMAC SHA256（写为HS256）； # 2）typ属性表示令牌的类型，JWT令牌统一写为JWT。 # 3）最后，使用Base64 URL算法将上述JSON对象转换为字符串保存。

载荷:没有敏感数据的用户信息

七个默认字段+自定义私有字段

#1、有效载荷部分，是JWT的主体内容部分，也是一个JSON对象，包含需要传递的数据。 JWT指定七个默认 字段供选择。 ''' iss：发行人 exp：到期时间 sub：主题 aud：用户 nbf：在此之前不可用 iat：发布时间 jti：JWT ID用于标识该JWT ''' #2、除以上默认字段外，我们还可以自定义私有字段，如下例： { "sub": "1234567890", "name": "chongchong", "admin": true } #3、 注意 默认情况下JWT是未加密的，任何人都可以解读其内容，因此不要构建隐私信息字段，存放保密信息，以防 止信息泄露。 JSON对象也使用Base64 URL算法转换为字符串保存。

签名:

签名哈希部分是对上面两部分数据签名，通过指定的算法生成嗨，以确保数据不会被篡改首先，需要指定一个密码(secret)，该密码仅仅为保存在服务器中，并且不能向用户公开然后使用标头中指定的签名算法，根据以下公式生成签名 HMACSHA256(base64UrlEncode(header)+'.'+base64UrlEncode(payload),secret)在计算出签名哈希后，JWT头载荷和签名哈希的三个部分组成一个字符串，每个部分用’.'分割，就构成了整个JWT

jwt特点分析

1、JWT的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限，一旦JWT签发，在有效期内将会一直有效。

2、JWT本身包含认证信息，因此一旦信息泄露，任何人都可以获得令牌的所有权限。

3、为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。

4、JWT不仅可用于认证，还可用于信息交换，善用JWT有助于减少服务器请求数据库的次数。

jwt配置

# jwt载荷中的有效期设置 JWT_AUTH = { # 1.token前缀：headers中 Authorization 值的前缀 'JWT_AUTH_HEADER_PREFIX': 'JWT', # 2.token有效期：一天有效 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), # 3.刷新token：允许使用旧的token换新token 'JWT_ALLOW_REFRESH': True, # 4.token有效期：token在24小时内过期, 可续期token 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(hours=24), # 5.自定义JWT载荷信息：自定义返回格式，需要手工创建 'JWT_RESPONSE_PAYLOAD_HANDLER': 'users.utils.jwt_response_payload_handler', } # 自定义验证后端 AUTHENTICATION_BACKENDS = ['apps.users.utils.EmailAuthBackend']

在settings中配置：

REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_jwt.authentication.JSONWebTokenAuthentication',# 在DRF中配置JWT认证 ] }

url中配置：

urlpatterns = [ path('index/',views.index), #函数视图 path('api-auth/',include('rest_framework.urls',namespace='res_framework')), # 认证地址 path('login/',obtain_jwt_token),# 获取token，登录视图 path('refresh/',refresh_jwt_token), # 刷新token path('register/', views.RegisterView.as_view()), # 注册视图, /user/register/ ]

views中写注册API：

#注册API class RegisterView(APIView): """ 用户注册, 权限是: 匿名用户可访问 """ # 自定义权限类 permission_classes = (AllowAny,) def post(self, request): """ 接收邮箱和密码, 前端校验两遍一致性, 注册成功后返回成功, 然后用户自行登录获取token 1. 随机用户名 2. 生成用户 3. 设置用户密码 4. 保存用户 :param request: :return: {'code':0,'msg':'注册成功'} """ email = request.data.get('email') passwrod = request.data.get('password') if all([email, passwrod]): pass else: return Response({'code': 9999, 'msg': '参数不全'}) rand_name = self.randomUsername() user = User(username=rand_name, email=email) user.set_password(passwrod) user.save() return Response({'code': 0, 'msg': '注册成功'}) def randomUsername(self): """ 生成随机用户名: 格式: SYL + 年月日时分 + 5位随机数 :return: """ d = datetime.datetime.now() base = 'SYL' time_str = 'ddddd' % (d.year, d.month, d.day, d.hour, d.minute) rand_num = str(random.randint(10000, 99999)) return base + time_str + rand_num