我有一些要求,我需要能够使用username/password或api_key对用户进行身份验证,并为这两种情况返回 JWT 令牌。
我使用用户名/密码的方法:
if request.data['email'] and request.data['password']:
try:
user = User.objects.get(email=request.data['email'])
except User.DoesNotExist:
return Response({'Error': "Invalid username."}, status=status.HTTP_400_BAD_REQUEST)
if user:
if user.check_password(request.data['password']):
payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)
exp = datetime.now() + api_settings.JWT_EXPIRATION_DELTA
return Response({'token': token,
'exp': format(exp, 'U')},
status=status.HTTP_200_OK)
else:
return Response({'Error': "Invalid password."}, status=status.HTTP_400_BAD_REQUEST)
其中jwt_payload_handler实现为:
def jwt_payload_handler(user):
payload = {
"id": user.id,
"date": get_user_join_date(user),
"username": user.username, }
return payload
我的一个问题是关键字用户名不需要在有效负载中才能使令牌有效吗?
在api_key的情况下,考虑到密钥与用户无关,一个好的方法是什么?
我是否应该创建一个默认用户,该用户将在有效负载中使用,前提是提供api_key是正确的?
有什么建议吗?
是的,您可以创建用于 API 密钥的默认用户。当然,这意味着数据在使用该 API 密钥的每个人之间共享,这在您的用例中可能很好。
请注意,仅使用一个 API 密钥存在安全陷阱。如果 API 密钥被泄露,您将需要向 API 的每个用户发送一个新密钥。考虑为 API 的每个使用者创建单独的 API 令牌,就像每个使用者都有自己的用户名/密码一样。这样,如果使用者泄露了其 API 令牌,您只需为该特定使用者生成一个新的令牌。