使用 Flask JWT 实现身份验证和授权

文章目录

• • 安装依赖
  • 导入必要的模块和库
  • [创建 Flask 应用](#创建 Flask 应用)
  • 创建用户模型和用户存储
  • 实现认证回调函数
  • 实现登录和获取令牌的路由
  • 添加保护的路由
  • 运行应用
  • 拓展
  • • [JWT 刷新](#JWT 刷新)
    • 自定义过期时间

在 Web 开发中，身份验证（Authentication）和授权（Authorization）是非常关键的功能。为了实现这两个功能，我们可以使用 Flask JWT（JSON Web Tokens）库。JWT 是一种用于在网络应用之间安全传输信息的开放标准，它基于 JSON 格式，可以实现在服务器和客户端之间安全传递被加密的信息。

本文将介绍如何使用 Flask JWT 来添加身份验证和授权功能到你的 Flask 应用中。

安装依赖

首先，我们需要安装 Flask JWT。打开终端，运行以下命令：

pip install flask-jwt

导入必要的模块和库

在你的 Flask 应用中，导入必要的模块和库：

from flask import Flask, request
from flask_jwt import JWT, jwt_required, current_identity
from werkzeug.security import safe_str_cmp

创建 Flask 应用

接下来，创建一个 Flask 应用实例：

app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret'  # 设置密钥

创建用户模型和用户存储

我们需要创建一个用户模型来表示应用中的用户，并创建一个用户存储来存储用户信息。这里我们简单起见，使用一个字典来存储用户信息：

users = {
    'admin': {'password': 'admin'}
}

实现认证回调函数

Flask JWT 需要一个认证回调函数来根据用户名和密码验证用户。我们可以使用 jwt_required 装饰器来标记需要进行身份验证的路由：

@jwt.authentication_handler
def authenticate(username, password):
    user = users.get(username)
    if user and safe_str_cmp(user['password'].encode('utf-8'), password.encode('utf-8')):
        return user

@jwt.identity_handler
def identity(payload):
    user_id = payload['identity']
    return users.get(user_id)

实现登录和获取令牌的路由

我们可以使用 /login 路由来处理登录请求，返回一个包含 JWT 的 JSON 响应：

@app.route('/login', methods=['POST'])
def login():
    username = request.form['username']
    password = request.form['password']
    user = authenticate(username, password)
    if user:
        token = jwt.jwt_encode_callback(user)
        return {'token': token.decode('utf-8')}
    else:
        return {'error': 'Invalid credentials'}, 401

添加保护的路由

使用 jwt_required 装饰器可以很容易地保护需要授权才能访问的路由：

@app.route('/protected')
@jwt_required()
def protected():
    return {'message': f'Hello, {current_identity}'}

运行应用

最后，运行应用并访问相关路由即可测试身份验证和授权功能：

flask run

以上就是使用 Flask JWT 实现身份验证和授权的基本步骤。通过 JWT，我们可以轻松地在 Flask 应用中添加安全的身份验证和授权功能。

注意：在实际开发中，请使用更复杂的用户存储方式和密码加密算法来增强安全性。

拓展

除了基本的身份验证和授权功能，Flask JWT 还可以进行一些拓展，下面介绍其中两个常用拓展：

JWT 刷新

JWT 刷新是指在访问令牌过期之后，使用刷新令牌来获取新的访问令牌。这里我们可以使用 Flask JWT 的 jwt_refresh_token_required 装饰器来保护需要刷新令牌的路由，并使用 jwt_refresh_token_handler 回调函数实现刷新令牌功能：

@jwt.jwt_refresh_token_required
def refresh():
    current_user = get_jwt_identity()
    new_token = create_access_token(identity=current_user)
    return {'access_token': new_token}, 200

自定义过期时间

默认情况下，Flask JWT 访问令牌的有效期为 15 分钟，刷新令牌的有效期为 30 天。如果需要自定义过期时间，我们可以通过配置 JWT_ACCESS_TOKEN_EXPIRES 和 JWT_REFRESH_TOKEN_EXPIRES 参数来实现：

app.config['JWT_ACCESS_TOKEN_EXPIRES'] = datetime.timedelta(minutes=30)
app.config['JWT_REFRESH_TOKEN_EXPIRES'] = datetime.timedelta(days=30)

以上就是使用 Flask JWT 实现身份验证和授权时的一些常用拓展。通过这些拓展，我们可以更加灵活地使用 Flask JWT 来满足不同的需求。