【Django】构建GraphQL的JWT认证

概述

我们将介绍如何在Django上构建GraphQL服务器并实现JWT认证。
我们将使Django的用户能够进行认证,并将刷新令牌保存在数据库中,以便立即将其设置为无效。
此外,我们还会设置使之一旦使用过的刷新令牌将被无效化,无法再次使用。
我们还会进行CORS设置,以便从其他服务器进行访问。

版本

    • python 3.9.0

 

    • django 3.1.3

 

    • django-graphql-jwt 0.3.1

 

    django-cors-headers 3.5.0

安装库。

我们假设Django项目已经创建好了,名为config。

$ pip install django-graphql-jwt==0.3.1 django-cors-headers==3.5.0

修改设置文件

将AuthenticationMiddleware添加到MIDDLEWARE中。
MIDDLEWARE = [
    # 追加
    'django.contrib.auth.middleware.AuthenticationMiddleware',
]
将JSONWebTokenMiddleware添加到GRAPHENE中。
GRAPHENE = {
    # configというプロジェクトを作成して、schemaというファイルを作成しています。
    'SCHEMA': 'config.schema.schema',
    'MIDDLEWARE': [
        # 追加
        'graphql_jwt.middleware.JSONWebTokenMiddleware',
    ],
}
在AUTHENTICATION_BACKENDS中添加JSONWebTokenBackend。
AUTHENTICATION_BACKENDS = [
    'graphql_jwt.backends.JSONWebTokenBackend',
    'django.contrib.auth.backends.ModelBackend',
]
将RefreshTokenConfig和corsheaders添加到INSTALLED_APPS中。

为了将刷新令牌保存在数据库中,您需要添加RefreshTokenConfig。
添加完成后,请运行python manage.py migrate。
将会创建refresh_token_refreshtoken表。

corsheaders是用于配置CORS的工具,将其添加进来。

INSTALLED_APPS = [
    'corsheaders',
    'graphql_jwt.refresh_token.apps.RefreshTokenConfig',
]
5. 增加了令牌的各种设置。

JWT_VERIFY_EXPIRATION设置为验证有效期限。
JWT_LONG_RUNNING_REFRESH_TOKEN启用长时间有效的刷新令牌。
JWT_EXPIRATION_DELTA将令牌的有效期限设置为5分钟。
JWT_REFRESH_EXPIRATION_DELTA将刷新令牌的有效期限设置为7天。

GRAPHQL_JWT = {
    'JWT_VERIFY_EXPIRATION': True,
    'JWT_LONG_RUNNING_REFRESH_TOKEN': True,
    'JWT_EXPIRATION_DELTA': timedelta(minutes=5),
    'JWT_REFRESH_EXPIRATION_DELTA': timedelta(days=7),
}
添加CORS设置。

允许从本地主机的3000端口进行访问。

CORS_ORIGIN_WHITELIST = [
    "http://localhost:3000",
]

修改根模式

在项目文件夹(config)中创建一个名为schema.py的文件,并添加jwt认证的Mutaion。

import graphene
import graphql_jwt

class Mutation(graphene.ObjectType):
    # トークン生成
    token_auth = graphql_jwt.ObtainJSONWebToken.Field()
    # トークン認証
    verify_token = graphql_jwt.Verify.Field()
    # トークンリフレッシュ
    refresh_token = graphql_jwt.Refresh.Field()
    # リフレッシュトークンの無効化
    revoke_token = graphql_jwt.Revoke.Field()

    # リフレッシュトークンを一度使用したら削除する設定を追加
    @receiver(refresh_token_rotated)
    def revoke_refresh_token(sender, request, refresh_token, **kwargs):
        refresh_token.revoke(request)

schema = graphene.Schema(mutation=Mutation)

创建一个端点

修改urls.py文件,并创建GraphQL的端点。
为了避免在从Django之外访问时出现CSRF错误,通过使用csrf_exempt解除其功能。

from graphene_django.views import GraphQLView
from django.views.decorators.csrf import csrf_exempt

urlpatterns = [
    path('graphql/', csrf_exempt(GraphQLView.as_view(graphiql=True)))
]

样本查询

请参考以下设置。
作为样本,我将附上每个用例的查询。
当执行查询时,您可能会了解到关于检索有效荷载、保存刷新令牌到表中,以及使其无效等方面的信息。

    トークン生成
mutation TokenAuth($username: String!, $password: String!) {
  tokenAuth(username: $username, password: $password) {
    token
    payload
    refreshToken
    refreshExpiresIn
  }
}
    トークン認証
mutation VerifyToken($token: String!) {
  verifyToken(token: $token) {
    payload
  }
}
    トークンリフレッシュ
mutation RefreshToken($refreshToken: String!) {
    refreshToken(refreshToken: $refreshToken) {
        token
        payload
        refreshToken
        refreshExpiresIn
    }
}
    リフレッシュトークンの無効化
mutation RevokeToken($refreshToken: String!) {
    revokeToken(refreshToken: $refreshToken) {
        revoked
    }
}

in Chinese: 最后

这次我们使用Django来构建GraphQL的JWT认证。
使用这个库可以很方便地进行构建,非常好。

我計畫在接下來構建的JWT驗證中使用React前端來使用。一旦構建完成,我會再次進行介紹。

参考网站