Django实现微信小程序的登录验证功能并维护登录态
作者:门牙 发布时间:2022-03-14 22:56:48
这次自己做了一个小程序来玩,在登录方面一直有些模糊,网上看了很多文档后,得出以下一种解决方案。
环境说明:
1、小程序只需要拿到openid,其他信息不存储。
2、Django自带的User类不适合。
具体操作流程:
1、用户点进小程序,就调用wx.login()
获取临时登录凭证code, wx.login()
用户是无感知的,
2、通过wx.request()
将code传到开发者服务器的后台程序,
3、后台拿到code之后,调用微信提供的接口,获取openid和session_key,
4、后台自定义User表,将openid作为用户名,不设置用户密码,如果用户不存在,则创建新用户,接着根据openid和session_key生成新的自定义登录态3rd_session(这里使用skey表示)返回给小程序,
5、后台将skey存入缓存中(Redis),设置为2小时过期,
6、小程序接收到skey,说明登录成功,将skey保存到本地Storage中,下次请求时,在请求头中携带skey,
7、后台接收到请求,从请求头中拿到skey,判断缓存中是否还有此skey,如果有,说明还在登录态,允许执行请求相关操作,如果没有,说明需要重新登录,给小程序返回401.
第三方库: Django、Djando rest framework、Django-redis
用户信息
自定义User类
models.py
from django.db import models
from django.utils import timezone
class User(models.Model):
openid = models.CharField(max_length=50, unique=True)
created_date = models.DateTimeField(auto_now_add=True)
User接口序列化
serializers.py
from rest_framework import serializers
from django.utils import timezone
from .models import User
class UserSerializer(serializers.ModelSerializer):
class Meta:
model = User
fields = '__all__'
登录接口设计
views.py
import hashlib
import json
import requests
from rest_framework import status
from rest_framework.decorators import api_view
from rest_framework.response import Response
from django_redis import get_redis_connection
from .models import User
from .serializers import UserSerializer
@api_view(['POST'])
def code2Session(request):
appid = ''
secret = ''
js_code = request.data['code']
url = 'https://api.weixin.qq.com/sns/jscode2session' + '?appid=' + appid + '&secret=' + secret + '&js_code=' + js_code + '&grant_type=authorization_code'
response = json.loads(requests.get(url).content) # 将json数据包转成字典
if 'errcode' in response:
# 有错误码
return Response(data={'code':response['errcode'], 'msg': response['errmsg']})
# 登录成功
openid = response['openid']
session_key = response['session_key']
# 保存openid, 需要先判断数据库中有没有这个openid
user, created = User.objects.get_or_create(openid=openid)
user_str = str(UserSerializer(user).data)
# 生成自定义登录态,返回给前端
sha = hashlib.sha1()
sha.update(openid.encode())
sha.update(session_key.encode())
digest = sha.hexdigest()
# 将自定义登录态保存到缓存中, 两个小时过期
conn = get_redis_connection('default')
conn.set(digest, user_str, ex=2*60*60)
return Response(data={'code': 200, 'msg': 'ok', 'data': {'skey': digest})
其中,redis的安装,配置与使用,可以参考这篇文档。
登录后,返回skey给小程序端,小程序保存到本地,下次请求携带skey。
用户登录认证
因为我的User类是自定义的,skey也是自定义的,没有使用token或者jwt等技术,这里就需要自定义登录认证了,在执行视图里相应的请求处理函数前,先对skey做判断,判断通过就从skey中取得openid的值。
我在这里考虑了几种方法:
1、利用Django中间件,
2、利用装饰器,
3、利用rest_framework的认证类,
这里先分析Django的请求处理流程:
从上图也可以看出,在中间件中做认证,完全是可行的,认证不通过就可以直接返回了,不用到达路由映射表和视图。但是rest_framework中,对request进行了封装,中间件中的request是django的HttpRequest,而rest_framework将django的request封装成rest_framework的Request
。
如果是装饰器的话,在本次设计中不够灵活,因为除了登录接口,其他接口的每个method都需要做认证。
所以综合考虑,自定义一个rest_framework的认证类是最适合这次小程序的验证的,在认证类中设置request.user,然后在视图中就可以通过request.user直接获取用户信息了。
接下来,先分析一下rest_framework的源码,看看是怎么做认证的。
从上图源码分析中,可以看出最后是调用了认证类的认证方法:authenticator.authenticate().
然后先看看rest_framework自带的认证类,在rest_framework.authentication
中,
接下来就自定义一个适用于本次小程序设计的认证类: 新建authentication.py文件
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication
from django_redis import get_redis_connection
class UserAuthentication(BaseAuthentication):
def authenticate(self, request):
if 'HTTP_SKEY' in request.META:
skey = request.META['HTTP_SKEY']
conn = get_redis_connection('default')
if conn.exists(skey):
user = conn.get(skey)
return (user, skey)
else:
raise exceptions.AuthenticationFailed(detail={'code': 401, 'msg': 'skey已过期'})
else:
raise exceptions.AuthenticationFailed(detail={'code': 400, 'msg': '缺少skey'})
def authenticate_header(self, request):
return 'skey'
最后利用全局设置DEFAULT_AUTHENTICATION_CLASSE
将UserAuthentication
设置为全局使用,同时登录接口应该设计为不使用认证类,将登录接口添加两行代码。
settings.py文件:
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'note.authentication.UserAuthentication', # 用自定义的认证类
),
'DEFAULT_RENDERER_CLASSES': (
'rest_framework.renderers.JSONRenderer',
),
'DEFAULT_PARSER_CLASSES': (
'rest_framework.parsers.JSONParser',
),
}
登录接口
import hashlib
import json
import requests
from rest_framework import status
from rest_framework.decorators import api_view, authentication_classes
from rest_framework.response import Response
from django_redis import get_redis_connection
from .models import User
from .serializers import UserSerializer
@api_view(['POST'])
@authentication_classes([]) # 添加
def code2Session(request):
appid = ''
secret = ''
js_code = request.data['code']
url = 'https://api.weixin.qq.com/sns/jscode2session' + '?appid=' + appid + '&secret=' + secret + '&js_code=' + js_code + '&grant_type=authorization_code'
response = json.loads(requests.get(url).content) # 将json数据包转成字典
if 'errcode' in response:
# 有错误码
return Response(data={'code':response['errcode'], 'msg': response['errmsg']})
# 登录成功
openid = response['openid']
session_key = response['session_key']
# 保存openid, 需要先判断数据库中有没有这个openid
user, created = User.objects.get_or_create(openid=openid)
user_str = str(UserSerializer(user).data)
# 生成自定义登录态,返回给前端
sha = hashlib.sha1()
sha.update(openid.encode())
sha.update(session_key.encode())
digest = sha.hexdigest()
# 将自定义登录态保存到缓存中, 两个小时过期
conn = get_redis_connection('default')
conn.set(digest, user_str, ex=2*60*60)
return Response(data={'code': 200, 'msg': 'ok', 'data': {'skey': digest})
之后,在接口中通过request.user
就可以取到本次请求的用户信息了。
总结
以上所述是小编给大家介绍的Django实现微信小程序的登录验证功能并维护登录态,网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
来源:https://juejin.im/post/5d1d6fc8e51d4510835e02fc
猜你喜欢
- 对于xml2ddl项目,Freshmeat.org提供了一整套基于GNU或者GPL通用公共许可证下的Python程序。在一个运行的Pytho
- ewebeditor支持兼容IE8 的方法方法:前几天ie8正式公布了,当天中午我就去下载了一个迫不急待的将自己的浏览器升级到ie8,偶还刻
- 问题:数据库实际大小为600MB, 日志文件实际大小为33MB, 但日志文件占用空间为2.8GB!试了多种方式,SHIRNK DATABAS
- 安装Nginx首先拉下centos镜像docker pull centos我们安装最新的nginx1.19版本:下载地址将centos镜像运
- 为了防止某些别有用心的人从外部访问数据库,盗取数据库中的用户姓名、密码、信用卡号等其他重要信息,在我们创建数据库驱动的解决方案时,我们首先需
- 以下的文章主要介绍的是MySQL 查询缓存的实际应用代码以及查看MySQL 查询缓存的大小 ,碎片整理,清除缓存以及监视MySQL 查询缓存
- 用Python基于Google Bard做一个交互式的聊天机器人之前已经通过浏览器试过了 Google Bard ,更多细节请看: Try
- 一、前言准备编写一个篮球游戏,运动员带球跑,跳起投篮。在每帧图片中包括运动员和篮球,使用多帧图片,实现运动员运球跑动的效果。运动员运球跑动作
- 作者:JavaScript Kit译者:子乌(Sheneyan)翻译日期:2006-02-12英文原文:Conditional Compil
- asp ajax json教程首先用ACCESS建json.mdb的库,然后建一个表t_jsontable,字段如下:jt_id,jt_na
- 从BbsXp提出来的生肖函数Zodiac(birthday)。使用方法:birthday为把要判断的出生时间,如2008-3-24 20:0
- 昨天打包下载了一个服务器整站,拿到这个*.mdb的文件后,却不知道怎么用,百度了一下,才知道是一种木马打包的形式文件,不能用WINrar来解
- 前言列表(list)同字符串一样都是有序的,因为他们都可以通过切片和索引进行数据访问,且列表是可变的。创建列表的几种方法第一种name_li
- 本文实例讲述了Go语言中使用反射的方法。分享给大家供大家参考。具体实现方法如下:// Data Modeltype Dish struct
- 最新在学习Python的基础入门系列课程,今天学习到使用python 的内置库smtplib发送邮件内容。使用Python发送邮件步骤简单:
- 以下是演示**“如何在Python中复制文件”的九种方法**。shutil copyfile()方法shutil copy()方法shuti
- 笔者在网站开发中,采用PHP4.0+MySQL3.23.38建立了多种应用。下面,以一个简单的聊天室设计为例,介绍PHP+MySQL在网页开
- python2.7,下面是跑在window上的,稍作修改就可以跑在linux上。实测win7和raspbian均可,且raspbian可以直
- 在良好的数据库设计基础上,能有效地使用索引是SQL Server取得高性能的基础,SQL Server采用基于代价的优化模型,它对每一个提交
- 外观模式(Facade Pattern)是什么外观模式是一种结构型模式,它提供了一个简单的接口,隐藏了系统的复杂性,为客户端提供了一个简单的