微信小程序的后端開發(fā)和普通的restful API 大致上相同,只不過要注意以下幾點(diǎn)限制
對(duì)于HTTPS的限制, 很簡單, 去godaddy等網(wǎng)站申請(qǐng)一個(gè)https證書, 下載后使用nginx指定即可, 可以參照此文章, 這篇文章的證書是自己生成的, 這里需要替換為申請(qǐng)的證書
不支持cookie, django原生的session機(jī)制就會(huì)失效
不支持django內(nèi)置的user登錄, 因?yàn)樗褂玫氖俏⑿诺挠脩粝到y(tǒng)
對(duì)于上邊這兩個(gè)問題,我使用了JWT來保證了用戶的在線驗(yàn)證. 那么什么是JWT呢, 可以看下推酷的這篇文章了解一下, 簡要的來說就是用戶登錄以后, 原先保存在cookie里邊的一個(gè)隨機(jī)的sessionid變成了保存在http頭部的Authorization字段的一個(gè)token值, 這個(gè)值是服務(wù)端自身加密的, 客戶端無需解密, 只要服務(wù)端知道這個(gè)token對(duì)應(yīng)這個(gè)用戶就好, 當(dāng)然這里也有很多的附加功能, 比如超時(shí)等等, 不再贅述
然而網(wǎng)上有很多的jwt開源項(xiàng)目, 比如django-jwt, rest-framework-jwt, 你都可以使用, 但是卻不適用于微信小程序, 為什么這么說? 是因?yàn)檫@兩個(gè)項(xiàng)目都和django內(nèi)置的user相耦合, 在上邊提出的第三個(gè)問題的地方會(huì)引起問題, 在嘗試了rest-framework-jwt發(fā)現(xiàn)問題后, 我毅然決定自己使用pyjwt實(shí)現(xiàn)一個(gè)用戶登錄/鑒權(quán)的組件.
首先要知道微信小程序的登錄流程是:
看起來好像步驟很多, 但是我們沒有必要去重新造輪子, 早有人已經(jīng)寫好認(rèn)證流程python-weixin我們可以省去4-6的步驟, 那么剩下的問題就是如何解決第7步也就是維持session的問題了.
因?yàn)閖wt始終使用http頭部的token進(jìn)行驗(yàn)證這里我的思路是:
到這一步就已經(jīng)完成了整個(gè)的用戶鑒權(quán)/session持久化流程, 如果你只是為了了解django開發(fā)小程序注意的點(diǎn)到這里已經(jīng)可以結(jié)束了, 下邊我要介紹的是我實(shí)現(xiàn)的一套中間件邏輯, 有興趣可以拿去直接使用.
這里中間件我已經(jīng)實(shí)現(xiàn)了參見django-jwt-session-auth, 調(diào)用模塊內(nèi)部的jwt_login函數(shù), 登錄你的用戶時(shí)會(huì)返回一個(gè)token, 這個(gè)token將要返回客戶端, 同時(shí)它也會(huì)做user的session緩存動(dòng)作.下一次客戶端帶著Authorization=JWT <token>調(diào)用的時(shí)候中間件會(huì)直接將對(duì)應(yīng)的user和session加載到request.jwt_user和request.jwt_session, 這里你需要設(shè)置的只有設(shè)置兩個(gè)值: USER_TO_PAYLOAD和PAYLOAD_TO_USER兩個(gè)方法:
* USER_TO_PAYLOAD: 根據(jù)當(dāng)前登錄的用戶生成一個(gè)字典payload方法 * PAYLOAD_TO_USER: 根據(jù)你之前生成的payload找到對(duì)應(yīng)的用戶
注: 2017.1.15我這個(gè)組件還沒有完整的readme, 后續(xù)會(huì)加上
最后, 關(guān)于認(rèn)證器, 如果你使用rest-framework可以直接繼承BaseAuthentication在authenticate方法里校驗(yàn)jwt_user是否為None即可, 如果直接使用django原生的view, 可以寫一個(gè)裝飾器裝飾在類view的dispatch方法上或直接裝飾在函數(shù)的view上.
示例
# django-jwt-session-auth設(shè)置, 放在settings.py文件中 JWT_AUTH = { 'PAYLOAD_TO_USER': 'user.auth.payload_to_user', 'USER_TO_PAYLOAD': 'user.auth.user_to_payload', } # rest-framework驗(yàn)證器 class WechatUserAuthentication(BaseAuthentication): def authenticate(self, request): if not request.jwt_user: msg = u'請(qǐng)先授權(quán)' raise exceptions.AuthenticationFailed(msg) return (request.jwt_user, request.jwt_user.uuid) # 原生django驗(yàn)證裝飾器 def login_required(func): @wraps(func) def verify_login(request, *args, **kwargs): if request.jwt_user: return func(request, *args, **kwargs) else: # 返回HTTP_401 return verify_login
工作日 8:30-12:00 14:30-18:00
周六及部分節(jié)假日提供值班服務(wù)