[翻訳] DjangoおよびAngularJSでのJSON Webトークン認証：パート1

最も一般的な認証方法はCookie認証です。 より現代的な認証方法は、JSON Web Token（文字通り：JSON形式のWebマーカー）の使用に基づいており、急速に普及しています。 この記事では、それに焦点を合わせます。

JSON Web Tokenとは何ですか？

マーカーは実際には非常に単純です。 毎日オフィスに入室する助けを借りて、マーカーをカードの形のキーとして想像してください。 会社に雇われたとき、運転免許証や社会保障番号などの資格情報のセットを提供することにより、身元（ログイン）を確認しました。 このデータと引き換えに、建物内にいることができるキー（マーカー）が与えられました。 仕事を辞めるか、解雇（ログアウト）された場合、会社は単にキーをオフにすることができます。 もちろん、このキーはあなたのポケットに残っているかもしれませんが、それはあなたに良いものを与えません。



JSON Web Tokenは、特別な形式のシンプルなトークンです。 フォーマットは標準化されていませんが、多くはすでにその実装（ JWT ）の1つを使用しています。



JWT （発音発音）は3つの部分で構成されています。

• 見出し
• ペイロード
• 署名

実装を掘り下げる前に、それぞれを見てみましょう。

見出し

デフォルトでは、ヘッダーには、暗号化に使用されるトークンのタイプとアルゴリズムのみが含まれます。

マーカーのタイプは「typ」キーに保存されます。 JWTでは「typ」キーは無視されます（これはこの記事では重要ではありませんが、理由を確認するために読むことができます ）。 typキーが存在する場合、このオブジェクトがJSON Webトークンであることを示すために、その値はJWTでなければなりません。

2番目のalgキーは、トークンの暗号化に使用されるアルゴリズムを定義します。 デフォルトでは、HS256に設定する必要があります。 さまざまな実装で使用される多くの代替アルゴリズムがあります。 ライブラリの完全なリストは、JWT.ioにあります。

ヘッダーはbase64でエンコードされます。

ペイロード

ペイロードには、検証が必要な情報がすべて格納されます。 ペイロードの各キーは「ステートメント」と呼ばれます。 たとえば、招待によってのみコミュニティに参加できるソーシャルネットワークを考えてみましょう。 コミュニティに誰かを招待したいときは、招待状を送ります。 電子メールアドレスが招待を受け入れる人のものであることを確認することが重要です。そのため、このアドレスをペイロードに含めます。そのため、「電子メール」キーに保存します。

{ "email": "example@jamesbrewer.io" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ペイロードのキーは任意です。 ただし、知っておく必要がある予約済みのものがいくつかあります。

• iat（発行済み）。 このキーは、マーカーが発行された時間を表し、JWTの年齢を判断するために使用できます。 iatキーは、Unix形式のタイムスタンプである必要があります。
• exp（有効期限）。 このキーは、トークンの有効期限を示します。 標準

JWTでは、すべての実装で、期限切れのトークンを拒否する必要があります。 実装によっては、同期外れの時間を考慮して追加のキーが追加される場合があります。 expキーは、Unix形式のタイムスタンプでなければなりません。

ペイロードは暗号化された形式では送信されないことを理解することが重要です（ただし、トークンをネストして、暗号化されたデータを送信することは可能です）。 したがって、秘密情報を保存することはできません。 たとえば、パスワード、社会保障番号など。

ヘッダーと同様に、ペイロードはbase64でエンコードされます。

署名

ヘッダーとペイロードがあれば、署名を計算できます。

Base64でエンコードされたものが取得されます。ヘッダーとペイロードは、ドットを介して1行に結合されます。 次に、この行と秘密鍵が、ヘッダーで指定された暗号化アルゴリズムの入力に送信されます（キー「alg」）。 キーには任意の文字列を使用できます。 一致するのにより多くの時間がかかるので、長い文字列が望ましいでしょう。

Jwt

ヘッダー、ペイロード、および署名ができたので、JWTを作成できます。 最終的なJWTは次のとおりです。

 <encoded header>.<encoded payload>.<signature>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

注：マーカーをデータベースに保存しないでください。 有効なトークンはパスワードと同等であるため、トークンの保存はパスワードをクリアテキストで保存するようなものです。 したがって、保存する前に必ずハッシュを使用してください。

JSON Web Token認証を実装する

先に進んでプロジェクトを作成しましょう。

プロジェクトディレクトリに移動し、コマンドを実行します。

 $ django-admin.py startproject django_angular_token_auth $ cd django_angular_token_auth/ $ mkdir static templates
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

設定STATICFILES_DIRSおよびTEMPLATE_DIRSがdjango_angular_token_auth / settings.pyに存在し、次のようになっていることを確認する必要があります。

 STATICFILES_DIRS = ( os.path.join(BASE_DIR, 'static'), ) TEMPLATE_DIRS = ( os.path.join(BASE_DIR, 'templates'), )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Django Rest Framework

次に、Django REST Frameworkをインストールする必要があります。 Django REST Frameworkは、シングルページアプリケーションとAPIを作成したい人向けの大規模なオープンソースプロジェクトです。



Django REST Frameworkの仕組みについては詳しく説明しませんので、初めて使用する場合はドキュメントをご覧ください。



Django REST Frameworkをインストールするには、次のコマンドを実行します。

 $ pip install djangorestframework
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Django REST Frameworkをインストール済みのアプリケーションに追加する必要があります（django_angular_token_auth / settings.pyのINSTALLED_APPS :)

 INSTALLED_APPS = ( ..., 'rest_framework', )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

また、次のパラメーターをdjango_angular_token_auth / settings.pyに追加する必要があります。

 REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ), 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

SessionAuthenticationやBasicAuthenticationは使用しませんが、Django REST Frameworkで利用でき、すぐに使用可能なAPIを提供します。

django-rest-framework-jwt

最後に行うことは、django-rest-framework-jwtをインストールすることです。 このパッケージは、Django REST FrameworkのJWTサポートを提供し、PyJWT実装をJSON Webトークンとして使用します。 django-rest-framework-jwtをインストールするには、次のコマンドを実行します。

 $ pip install djangorestframework-jwt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のパラメーターをdjango_angular_token_auth / settings.pyに追加する必要があります。

 import datetime JWT_AUTH = { 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=14) }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このパラメーターは、マーカーの寿命を示し、この場合は14日間です。 独自の設定に基づいて変更できます。



更新されたREST_FRAMEWORK設定も追加する必要があります。

 REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ), 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', ) }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

追加したことに注意してください。

「rest_framework_jwt.authentication.JSONWebTokenAuthentication」、「DEFAULT_AUTHENTICATION_CLASSES」

Djangoアプリケーションの作成

それでは、ビューとシリアライザーを保存するDjangoアプリケーションを作成しましょう。

 $ python manage.py startapp authentication
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

「認証」をINSTALLED_APPSに追加します（django_angular_token_auth / settings.pyのように）：

 INSTALLED_APPS = ( ..., 'rest_framework', 'authentication', )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

原則として、アプリケーションを作成した後、データベースにモデルを作成するために移行を実行する必要があります。 ただし、独自のモデルを作成することはありませんので、これについて心配する必要はありません。

シリアライザー

APIの機能を確認するには、AJAXリクエストにデータを送信する必要があります。 これを行う最も簡単な方法は、システム内のユーザーデータを送り返すことです。



最初に行うことは、ユーザーの作成です。 次のコマンドを実行し、画面の指示に従います。

 $ python manage.py createsuperuser
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ユーザーを作成した後、Djangoは自分のデータをAngularアプリケーションに送信する必要があります。 明らかに、JavaScriptでDjangoオブジェクトをアプリケーションに送信できないため、オブジェクトをJSONに、またはその逆に変換するシリアライザーが必要です。 Django REST Frameworkを使用して簡単に作成できます。

serializers.pyというファイルを作成し、次のコードを追加します。

 from django.contrib.auth.models import User from rest_framework import serializers class UserSerializer(serializers.ModelSerializer): class Meta: model = User fields = (id, username, email)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコードは、Django REST Frameworkに、ユーザーモデルをシリアル化し、id、username、emailのフィールドのみを含めることを指示します。

視聴回数

シリアライザーが整理されたら、ビューに移りましょう。

この目的のために、ユーザーオブジェクトのリストを返すビューが1つだけ必要です。

Django REST Frameworkは、同じタイプのオブジェクトのリストを表示するなど、さまざまな機能を実行するさまざまなビューを提供します。 この機能は、ListAPIViewクラスによって提供されます。

authentication / views.pyに次を追加します。

 from django.contrib.auth.models import User from rest_framework import generics from authentication.serializers import UserSerializer class UserListAPIView(generics.ListAPIView): queryset = User.objects.all() serializer_class = UserSerializer
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パターン

アプリケーションを表す簡単なテンプレートを作成しましょう。

templates / index.htmlというファイルを作成し、次のコードを追加します。

 <!DOCTYPE html> <html> <head> <title>django-angular-token-auth</title> </head> <body> Hello, World! </body> </html>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

将来、このファイルに角度コードを追加します。

ウルル

次に、プロジェクトのURLを構成する必要があります。

django_angular_token_auth / urls.pyを開き、次のようにします。

 from django.conf.urls import include, patterns, url from django.views.generic import TemplateView from authentication.views import UserListAPIView urlpatterns = patterns('', url(r'api/v1/auth/login/', 'rest_framework_jwt.views.obtain_jwt_token'), url(r'api/v1/users/', UserListAPIView.as_view()), url(r'^.*$', TemplateView.as_view(template_name='index.html')), )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで何が起こっているのか見てみましょう。



最初に気付くことができるのは、最初のURLパターンの2番目の引数が文字列であることです。 この行は、トークンを生成するdjango-rest-framework-jwtビューを指します。 どのように機能するかは考慮しませんが、Githubリポジトリのdjango-rest-framework-jwtコードを見ることができます：django-rest-framework-jwt / rest_framework_jwt / views.py。

また、以前にTemplateViewを使用しませんでした。 Django REST FrameworkのListAPIViewクラスと同様に、テンプレートを処理する簡単な方法を提供します。



おそらく、最後のURLパターンで使用されている正規表現がどのURLとも一致することに気づいたでしょう。



適切なアドレス処理のために、このテンプレートが最後であることが重要です。 なぜなら、Djangoは定義された順序でアドレスをテンプレートと照合し、最初の一致でテストが停止するためです。 使用される正規表現はすべてのアドレスと一致するため、他のすべてのアドレスが処理される機会を与えます。 Djangoに準拠していないものはすべて、Angularで処理する必要があります。 また、API名前空間/ api / v1 /は、DjangoとAngularパターンが競合しないことを保証します。

第二部

停止します。 2番目の部分では、クライアントアプリケーションを構築し、主に登録とログインセッションに焦点を当てます。 システムを正しく開始および終了できるように、サービスを作成します。