小程序模板網(wǎng)

使用django開發(fā)微信小程序后端

發(fā)布時(shí)間:2018-02-01 18:27 所屬欄目:小程序開發(fā)教程

微信小程序后端與普通web的區(qū)別

微信小程序的后端開發(fā)和普通的restful API 大致上相同,只不過要注意以下幾點(diǎn)限制

  • 必須使用HTTPS協(xié)議請(qǐng)求后端服務(wù)器
  • 不支持COOKIE
  • 不支持django內(nèi)置的user登錄, 因?yàn)樗褂玫氖俏⑿诺挠脩粝到y(tǒng)

應(yīng)對(duì)方法

  • 對(duì)于HTTPS的限制, 很簡單, 去godaddy等網(wǎng)站申請(qǐng)一個(gè)https證書, 下載后使用nginx指定即可, 可以參照此文章, 這篇文章的證書是自己生成的, 這里需要替換為申請(qǐng)的證書

  • 不支持cookie, django原生的session機(jī)制就會(huì)失效

  • 不支持django內(nèi)置的user登錄, 因?yàn)樗褂玫氖俏⑿诺挠脩粝到y(tǒng)

    對(duì)于上邊這兩個(gè)問題,我使用了JWT來保證了用戶的在線驗(yàn)證. 那么什么是JWT呢, 可以看下推酷的這篇文章了解一下, 簡要的來說就是用戶登錄以后, 原先保存在cookie里邊的一個(gè)隨機(jī)的sessionid變成了保存在http頭部的Authorization字段的一個(gè)token值, 這個(gè)值是服務(wù)端自身加密的, 客戶端無需解密, 只要服務(wù)端知道這個(gè)token對(duì)應(yīng)這個(gè)用戶就好, 當(dāng)然這里也有很多的附加功能, 比如超時(shí)等等, 不再贅述

    然而網(wǎng)上有很多的jwt開源項(xiàng)目, 比如django-jwt, rest-framework-jwt, 你都可以使用, 但是卻不適用于微信小程序, 為什么這么說? 是因?yàn)檫@兩個(gè)項(xiàng)目都和django內(nèi)置的user相耦合, 在上邊提出的第三個(gè)問題的地方會(huì)引起問題, 在嘗試了rest-framework-jwt發(fā)現(xiàn)問題后, 我毅然決定自己使用pyjwt實(shí)現(xiàn)一個(gè)用戶登錄/鑒權(quán)的組件.

    首先要知道微信小程序的登錄流程是:

    1. 客戶端請(qǐng)求用戶授權(quán)
    2. 用戶授權(quán)成功
    3. 客戶端或得到用戶基本信息(包括code,沒有openid的用戶明文信息, 有openid的加密后的信息, 解密向量iv)
    4. 客戶端把返回的信息發(fā)送到服務(wù)器
    5. 服務(wù)器使用code去微信服務(wù)器換取session_key
    6. 服務(wù)器用這個(gè)session_key+iv去解密用戶密文, 得到用戶完整信息(基本+openid)
    7. 將用戶在服務(wù)器登錄, 維持用戶session(這里的失效時(shí)間微信約定是30天)

    看起來好像步驟很多, 但是我們沒有必要去重新造輪子, 早有人已經(jīng)寫好認(rèn)證流程python-weixin我們可以省去4-6的步驟, 那么剩下的問題就是如何解決第7步也就是維持session的問題了.

因?yàn)閖wt始終使用http頭部的token進(jìn)行驗(yàn)證這里我的思路是:

  1. 微信用戶登錄后, 返回客戶端token, 并在緩存創(chuàng)建用戶的session信息
  2. 客戶端請(qǐng)求時(shí)附加http頭Authorization=JWT <token>
  3. 使用中間件檢驗(yàn)http頭的token, 審查通過則在request上追加一個(gè)jwt_user屬性(這里不想覆蓋django自帶user), 同時(shí)去緩存尋找這個(gè)用戶的session信息, 加載到request.jwt_session, 審查如果不通過則jwt_user設(shè)置為None, jwt_session為一個(gè)空的session對(duì)象
  4. 使用認(rèn)證方法, 對(duì)于需要進(jìn)行登錄的接口檢驗(yàn)用戶是否為None

到這一步就已經(jīng)完成了整個(gè)的用戶鑒權(quán)/session持久化流程, 如果你只是為了了解django開發(fā)小程序注意的點(diǎn)到這里已經(jīng)可以結(jié)束了, 下邊我要介紹的是我實(shí)現(xiàn)的一套中間件邏輯, 有興趣可以拿去直接使用.

這里中間件我已經(jīng)實(shí)現(xiàn)了參見django-jwt-session-auth, 調(diào)用模塊內(nèi)部的jwt_login函數(shù), 登錄你的用戶時(shí)會(huì)返回一個(gè)token, 這個(gè)token將要返回客戶端, 同時(shí)它也會(huì)做user的session緩存動(dòng)作.下一次客戶端帶著Authorization=JWT <token>調(diào)用的時(shí)候中間件會(huì)直接將對(duì)應(yīng)的user和session加載到request.jwt_user和request.jwt_session, 這里你需要設(shè)置的只有設(shè)置兩個(gè)值: USER_TO_PAYLOAD和PAYLOAD_TO_USER兩個(gè)方法:

* USER_TO_PAYLOAD: 根據(jù)當(dāng)前登錄的用戶生成一個(gè)字典payload方法
* PAYLOAD_TO_USER: 根據(jù)你之前生成的payload找到對(duì)應(yīng)的用戶

注: 2017.1.15我這個(gè)組件還沒有完整的readme, 后續(xù)會(huì)加上

最后, 關(guān)于認(rèn)證器, 如果你使用rest-framework可以直接繼承BaseAuthentication在authenticate方法里校驗(yàn)jwt_user是否為None即可, 如果直接使用django原生的view, 可以寫一個(gè)裝飾器裝飾在類view的dispatch方法上或直接裝飾在函數(shù)的view上.

示例

# django-jwt-session-auth設(shè)置, 放在settings.py文件中
JWT_AUTH = {
    'PAYLOAD_TO_USER': 'user.auth.payload_to_user',
    'USER_TO_PAYLOAD': 'user.auth.user_to_payload',
}

# rest-framework驗(yàn)證器
class WechatUserAuthentication(BaseAuthentication):
    def authenticate(self, request):
        if not request.jwt_user:
            msg = u'請(qǐng)先授權(quán)'
            raise exceptions.AuthenticationFailed(msg)
        return (request.jwt_user, request.jwt_user.uuid)

# 原生django驗(yàn)證裝飾器
def login_required(func):
    @wraps(func)
    def verify_login(request, *args, **kwargs):
        if request.jwt_user:
            return func(request, *args, **kwargs)
        else:
            # 返回HTTP_401
    return verify_login


易優(yōu)小程序(企業(yè)版)+靈活api+前后代碼開源 碼云倉庫:starfork
本文地址:http://22321a.com/wxmini/doc/course/21399.html 復(fù)制鏈接 如需定制請(qǐng)聯(lián)系易優(yōu)客服咨詢:800182392 點(diǎn)擊咨詢
QQ在線咨詢