0

我有一些要求,我需要能够使用username/password或使用 an对用户进行身份验证,api_key并为这两种情况返回 JWT 令牌。

我使用用户名/密码的方法:

 if request.data['email'] and request.data['password']:
            try:
                user = User.objects.get(email=request.data['email'])
            except User.DoesNotExist:
                return Response({'Error': "Invalid username."}, status=status.HTTP_400_BAD_REQUEST)

            if user:
                if user.check_password(request.data['password']):
                    payload = jwt_payload_handler(user)
                    token = jwt_encode_handler(payload)

                    exp = datetime.now() + api_settings.JWT_EXPIRATION_DELTA
                    return Response({'token': token,
                                     'exp': format(exp, 'U')},
                                    status=status.HTTP_200_OK)
                else:
                    return Response({'Error': "Invalid password."}, status=status.HTTP_400_BAD_REQUEST)

其中jwt_payload_handler实现为:

def jwt_payload_handler(user):
 payload = {
        "id": user.id,
        "date": get_user_join_date(user),
        "username": user.username,  }
 return payload

我的问题之一是关键字 username 是否需要在有效负载中才能使令牌有效

考虑到密钥与用户无关,在 api_key 的情况下,一个好的方法是什么?

如果提供的 api_key 正确,我应该创建一个将在有效负载中使用的默认用户吗?

有什么建议么?

4

1 回答 1

0

是的,您可以创建一个默认用户来使用 API 密钥。当然,这意味着数据在使用该 API 密钥的每个人之间共享,这在您的用例中可能没问题。

请注意,仅使用一个 API 密钥存在安全隐患。如果 API 密钥被泄露,您需要向 API 的每个用户发送一个新密钥。考虑为 API 的每个使用者创建一个单独的 API 令牌,就像每个使用者都有自己的用户名/密码一样。这样,如果消费者泄露了他们的 API 令牌,您只需为该特定消费者生成一个新令牌。

于 2018-10-10T16:41:10.287 回答