简介

在使用特定功能时，需要验证用户是否登录。使用jwt将用户不敏感的信息保存在客户端上，然后访问时，将加密的信息发送给服务端验证。

和session的不同之处在于，session需要在两端都存储，而jwt仅在客户端存储。

该项目的github地址: tornado_learning.git (opens new window)

栗子

创建异步验证的装饰器

从header中获取tsessionid的jwt token信息，然后从token获取用户id，从数据库中查找用户信息，再验证token是否过期。

代码: utils/authenticated_async.py

def authenticated_async(method):
    async def wrapper(self, *args, **kwargs):

        # ret_data = {}

        tsessionid = self.request.headers.get("tsessionid", None)
        if tsessionid:

            try:
                payload = jwt.decode(tsessionid, self.settings["secret_key"], leeway=self.settings["jwt_expire"],
                                     options={"verify_exp": True})

                user_id = payload["id"]
                try:
                    user = await self.application.objects.get(User, id=user_id)
                    self._current_user = user
                    await method(self, *args, **kwargs)
                except User.DoesNotExist as e:
                    self.set_status(401)
            except jwt.ExpiredSignatureError as e:
                self.set_status(401)

    return wrapper

在请求上添加用户认证

每次在请求该接口时，都需要对进行用户认证，认证通过才能访问该接口。

代码: apps/school/handle.py

from utils.authenticated_async import authenticated_async

class StudentHandler(BaseHandler):

    @authenticated_async
    async def get(self):
        id = self.get_argument("id", None)
        if not id:
            return self.write("please provide the 'id'")

        student = await self.application.objects.get(Student, id=id)

        try:
            self.write({
                "id": student.id,
                "name": student.name
            })
        except Student.DoesNotExist:
            raise tornado.webHttpError(404, "Object not found")