django應用JWT(JSON?Web?Token)實戰(zhàn)教程

更新時間：2024年10月15日 11:49:00 作者：xiejava1018

在前后端分離的項目中,JWT（JSON?Web?Token）作為一種廣泛使用的身份驗證和授權機制,提供了一種安全、高效的方式來保護RESTful?API,本文詳細介紹了JWT的概念、優(yōu)勢、在Django中的應用步驟和使用方法,是構建安全、高效Web應用的有效指南

在前后端分離的項目中，前后端進行身份驗證通常用JWT來進行，JWT 提供了一個理想的認證解決方案，用來保護 RESTful API，確保只有經過認證的用戶才能訪問受保護的資源。基于前端框架（如React, Angular, Vue.js）的單頁面應用 (SPA)，開發(fā)者通過使用 JWT可以獲得一種簡單、安全、高效的方式來處理用戶認證和授權的問題。本文通過django項目的實戰(zhàn)來說明如何應用和使用JWT。

一、什么是JWT

JWT（JSON Web Token）是一種開放標準（RFC 7519），用于在網絡各方之間以安全且緊湊的形式傳輸信息。JWT 是一個小型的憑證，通常用于身份驗證和授權場景。JWT 由三部分組成：頭部 (Header)、負載 (Payload) 和簽名 (Signature)。
JWT信息由3段構成，它們之間用圓點“.”連接，格式如下：

aaaaaa.bbbbbb.cccccc

一個典型的JWT如下所示：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiZXhwIjoxNzI2OTcyMDc2LCJpYXQiOjE3MjY5NzAyNzYsImp0aSI6IjMyMTFiZjdmZDlhZTRmNTBhMDNmOGM2NjcwNDM2NjFiIiwidXNlcl9pZCI6Mn0.Ej6US4Uk-sSNm9P8kTU_cDAzBpO4I-BLhPstp5sG00Q

頭部 (Header)：包含了關于 JWT 類型的信息以及所使用的簽名算法。
負載 (Payload)：是 JWT 的主體部分，包含了實際需要聲明的數(shù)據。這些數(shù)據通常包括用戶ID、用戶名、角色等信息。
簽名 (Signature)：用于驗證 JWT 的發(fā)送者就是它聲稱的發(fā)送者，同時也確保了 JWT 在傳輸過程中沒有被篡改。

二、為什么使用JWT

使用 JWT 的原因主要有以下幾點：

安全性：JWT 通過簽名來保證數(shù)據的完整性和防篡改性。如果有人試圖修改 JWT 內容，簽名會失效，接收方可以檢測到這一行為。
無狀態(tài)性：JWT 是自包含的，這意味著不需要在服務器上保存會話狀態(tài)。每個 JWT 都包含了所有必要的信息，從而減少了對服務器端存儲的需求。
跨域支持：JWT 可以輕松地在不同的域之間共享，這使得它非常適合微服務架構和分布式系統(tǒng)。
性能提升：由于 JWT 是自包含的，所以服務器可以快速地驗證 JWT，而無需查詢數(shù)據庫來獲取用戶信息，這提高了應用的響應速度。
易于緩存和擴展：JWT 可以被緩存，并且因為它們是無狀態(tài)的，所以可以很容易地擴展到多個服務器，而無需擔心會話復制問題。CSRF 防護：使用 JWT 可以幫助緩解跨站請求偽造（CSRF）攻擊的風險，因為 JWT 不依賴于 cookie，也就不會隨同 HTTP 請求自動發(fā)送。

總的來說，JWT 提供了一種高效、安全的方式來處理用戶認證和授權，尤其是在需要跨域操作或構建無狀態(tài)服務的情況下。

三、在django項目中如何應用JWT

JWT（JSON Web Token）是一種用于在網絡應用中安全地傳輸信息的令牌。它通常用于身份驗證和授權，特別是在單頁應用（SPA）和API服務中。在Django中應用JWT，可以使用 djangorestframework-simplejwt。

1、安裝djangorestframework-simplejwt庫：

pip install djangorestframework-simplejwt

2、在settings.py中配置JWT認證：

在INSTALLED_APPS中添加rest_framework_simplejwt的應用

INSTALLED_APPS = [
    'blog',
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'rest_framework',
    'rest_framework_simplejwt',  # 添加 simplejwt 應用
    'django_filters',  # 注冊條件查詢
    'mdeditor',  # 注冊markdown的應用
    'drf_yasg2',  # 接口文檔
]

添加REST_FRAMEWORK的默認認證類為JWT認證

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ],
}

添加SIMPLE_JWT的相關配置

# JWT 相關設置
SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=30),  # 訪問令牌的有效時間
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),  # 刷新令牌的有效時間
    'ROTATE_REFRESH_TOKENS': False,  # 是否允許刷新令牌循環(huán)
    'BLACKLIST_AFTER_ROTATION': True,  # 刷新令牌后是否加入黑名單
    'UPDATE_LAST_LOGIN': False,  # 登錄時是否更新最后登錄時間
    'ALGORITHM': 'HS256',  # 簽名算法
    'SIGNING_KEY': SECRET_KEY,  # 簽名密鑰
    'VERIFYING_KEY': None,  # 驗證密鑰
    'AUDIENCE': None,  # 觀眾
    'ISSUER': None,  # 發(fā)行人
    'JWK_URL': None,  # JWK URL
    'LEEWAY': 0,  # 寬限期
    'AUTH_HEADER_TYPES': ('Bearer',),  # 授權頭類型
    'AUTH_HEADER_NAME': 'HTTP_AUTHORIZATION',  # 授權頭名稱
    'USER_ID_FIELD': 'id',  # 用戶 ID 字段
    'USER_ID_CLAIM': 'user_id',  # 用戶 ID 聲明
    'USER_AUTHENTICATION_RULE': 'rest_framework_simplejwt.authentication.default_user_authentication_rule',
    'AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),  # 認證令牌類
    'TOKEN_TYPE_CLAIM': 'token_type',  # 令牌類型聲明
    'TOKEN_USER_CLASS': 'rest_framework_simplejwt.models.TokenUser',
    'SLIDING_TOKEN_REFRESH_EXP_CLAIM': 'refresh_exp',  # 滑動令牌刷新過期聲明
    'SLIDING_TOKEN_LIFETIME': timedelta(minutes=5),  # 滑動令牌有效時間
    'SLIDING_TOKEN_REFRESH_LIFETIME': timedelta(days=1),  # 滑動令牌刷新有效時間
}

3、在urls.py中配置JWT的獲取和刷新路由：

from django.urls import path
from rest_framework_simplejwt.views import (TokenObtainPairView, TokenRefreshView)
urlpatterns = [
    path('token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
    # 其他路由...
]

4、在視圖中需要認證的地方使用JWT認證

如下modelviweset中使用，對于查詢方法如list，retrieve不做鑒權，對于其他方法需要鑒權。

def get_permissions(self):
    """
    Instantiates and returns the list of permissions that this view requires.
    """
    if self.action in ['list', 'retrieve']:
        # 對于list方法，返回AllowAny權限類，表示不需要鑒權
        permission_classes = [AllowAny, ]
    else:
        # 對于其他方法，返回IsAuthenticated權限類，表示需要用戶已認證
        permission_classes = [IsAuthenticated, ]
    return [permission() for permission in permission_classes]