🛠️ Django 后端架构开发:JWT 项目实践与Drf版本控制
📌 JWT 项目实践:从理论到实战
JSON Web Token(JWT)是当前最流行的身份认证机制之一,在后端开发中被广泛使用。它基于Token的身份验证方式,避免了传统的Session认证在分布式系统中的局限性。在本节中,我们将通过一个实际的Django项目,详细解析JWT的应用场景和实现方式。
首先,在Django中使用JWT进行用户认证时,通常需要借助第三方库,如 djangorestframework-jwt
或 django-rest-framework-simplejwt
。这些库提供了方便的工具和方法,帮助我们在Django REST Framework中集成JWT。
以下是一个简单的项目示例,我们将逐步解析其中的关键代码。
python
# settings.py 配置
INSTALLED_APPS = [
...
'rest_framework',
'rest_framework_simplejwt',
]
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
# 配置JWT的过期时间等参数
SIMPLE_JWT = {
'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
'ROTATE_REFRESH_TOKENS': True,
'BLACKLIST_AFTER_ROTATION': True,
'ALGORITHM': 'HS256',
'SIGNING_KEY': SECRET_KEY,
'VERIFYING_KEY': None,
'AUTH_HEADER_TYPES': ('Bearer',),
...
}
在 settings.py
中,我们配置了JWT的认证方式,并设置了相关参数。ACCESS_TOKEN_LIFETIME
是访问令牌的有效时间,而 REFRESH_TOKEN_LIFETIME
则决定了刷新令牌的有效期。这些参数的设置直接影响了系统的安全性和用户体验。
接下来,我们在 views.py
中实现JWT的登录逻辑。
python
from rest_framework_simplejwt.views import TokenObtainPairView
from rest_framework_simplejwt.tokens import RefreshToken
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.decorators import api_view, permission_classes
@api_view(['POST'])
def login(request):
"""
用户登录视图,使用JWT进行身份验证
"""
serializer = TokenObtainPairView.as_view()(request._request).data
return Response(serializer)
@api_view(['POST'])
@permission_classes([IsAuthenticated])
def logout(request):
"""
用户注销视图,废弃当前的Refresh Token
"""
try:
token = request.data['refresh']
token_obj = RefreshToken(token)
token_obj.blacklist()
return Response({'message': '注销成功'}, status=200)
except Exception as e:
return Response({'error': str(e)}, status=400)
在这个示例中,我们创建了 login
和 logout
视图。login
视图通过 TokenObtainPairView
生成访问令牌和刷新令牌,logout
视图则通过黑名单机制废弃用户的刷新令牌,确保其后续的请求失效。
通过这种方式,我们实现了一个基于JWT的完整认证流程,并且支持令牌的手动废弃,提升了系统的安全性。
📌 JWT 使用方式和特点:灵活且高效的认证机制
JWT的全称是JSON Web Token,是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式用于通信双方之间以JSON对象的形式传递信息。该信息通过数字签名进行验证,从而确保数据的真实性与完整性。JWT的应用场景广泛,尤其在现代Web应用中,因其无状态、跨域支持等优点,广受欢迎。
与传统的Session认证机制不同,JWT的无状态性使其非常适合于微服务架构和分布式系统。在传统的Session认证中,服务器需要保存每个用户的Session数据,这在分布式环境下会带来很多挑战。而JWT的自包含性允许服务器不必保存会话状态,极大地减轻了服务器的负担。
JWT的结构包括三部分:头部(Header)、载荷(Payload)和签名(Signature)。
-
头部:头部通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。
json{ "alg": "HS256", "typ": "JWT" }
-
载荷 :载荷部分包含声明(claims),声明是一些实体(通常是用户)的状态信息。声明可以分为三类:注册声明(如
iss
、exp
、sub
)、公共声明和私有声明。json{ "sub": "1234567890", "name": "John Doe", "admin": true }
-
签名:签名是将头部、载荷和一个密钥进行编码后生成的。签名部分是保证JWT数据完整性的重要手段,只有拥有密钥的一方才能生成或验证签名。
JWT的使用方式非常简单,通常在用户登录时,服务器会生成一个JWT并返回给客户端,客户端将其保存在本地存储中。在后续的请求中,客户端将JWT放入HTTP请求头中,服务器通过验证JWT的签名来判断请求是否合法。
python
# 示例:在请求头中携带JWT
import requests
headers = {
'Authorization': 'Bearer <your_jwt_token_here>',
}
response = requests.get('https://example.com/api/resource', headers=headers)
这种无状态的认证机制,使得JWT特别适合跨域认证以及微服务架构的系统。客户端不需要每次请求都与服务器进行会话状态的校验,极大地提升了系统的性能。
📌 REST Framework-JWT 介绍和使用:集成与扩展
Django REST Framework(DRF)提供了强大的身份验证机制,而 djangorestframework-jwt
或 django-rest-framework-simplejwt
则进一步扩展了DRF,方便我们集成JWT。
rest_framework_simplejwt
是一个简单易用的JWT扩展库,它能够轻松地与DRF集成,并提供了丰富的配置选项和自定义功能。在本节中,我们将通过实际代码演示如何在DRF中集成JWT认证,并进行扩展以满足项目需求。
首先,我们在项目中安装并配置 rest_framework_simplejwt
。
bash
pip install djangorestframework-simplejwt
安装完成后,我们在 settings.py
中进行配置,指定默认的认证类为 JWTAuthentication
。
python
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
接下来,我们创建自定义的视图和路由,以支持JWT的生成和刷新。
python
# urls.py 配置
from django.urls import path
from rest_framework_simplejwt.views import (
TokenObtainPairView,
TokenRefreshView,
)
urlpatterns = [
path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
]
在这个配置中,我们创建了两个路由,一个用于获取初始的访问令牌和刷新令牌,另一个用于刷新访问令牌。这种机制确保了令牌在过期后可以通过刷新令牌获取新的访问令牌,而不需要重新登录。
为了增强项目的安全性,我们还可以自定义 TokenObtainPairSerializer
,以加入额外的用户信息到JWT载荷中。
python
# serializers.py
from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
def validate(self, attrs):
data = super().validate(attrs)
data['username'] = self.user.username
data['email'] = self.user.email
return data
然后在视图中使用我们自定义的序列化器。
python
from rest_framework_simplejwt.views import TokenObtainPairView
class CustomTokenObtainPairView(TokenObtainPairView):
serializer_class = CustomTokenObtainPairSerializer
通过这种方式,我们可以将更多的用户信息嵌入到JWT中,满足项目的具体需求。
📌 REST Framework 身份验证和权限管理:安全与灵活性的完美结合
在构建Web API时,身份验证和权限管理是不可忽视的重要环节。Django REST Framework(DRF)为我们提供了灵活且强大的身份验证与权限管理机制。通过合理配置和扩展,我们可以确保API的安全性,并实现精细化的权限控制。
1. 身份验证
在DRF中,身份验证是通过设置 DEFAULT_AUTHENTICATION_CLASSES
来实现的。常见的身份验证方式包括Session、Token、JWT等。在本节中,我们将重点讨论JWT的身份验证。
python
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES
': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
通过上述配置,DRF将使用JWT进行身份验证。每次API请求时,DRF会从请求头中提取JWT,并验证其有效性。若验证通过,则请求将继续处理,否则返回401未授权错误。
2. 权限管理
DRF的权限管理机制允许我们根据请求用户的身份、请求方法、请求资源等条件,精细控制访问权限。DRF提供了多种内置权限类,如 AllowAny
、IsAuthenticated
、IsAdminUser
和 IsAuthenticatedOrReadOnly
等。
例如,我们可以使用 IsAuthenticated
权限类,确保只有经过身份验证的用户才能访问某些敏感资源。
python
from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
from rest_framework.response import Response
class SecureAPIView(APIView):
permission_classes = [IsAuthenticated]
def get(self, request):
return Response({'message': '只有认证用户可以看到这条信息'})
此外,我们还可以自定义权限类,以满足特定的业务需求。例如,我们可以创建一个 IsOwner
权限类,确保只有资源的所有者才能对其进行修改。
python
from rest_framework.permissions import BasePermission
class IsOwner(BasePermission):
"""
只允许资源的所有者进行操作
"""
def has_object_permission(self, request, view, obj):
return obj.owner == request.user
在视图中,我们可以将自定义权限类与其他权限类组合使用,以实现复杂的权限控制逻辑。
python
class UserDetailAPIView(APIView):
permission_classes = [IsAuthenticated, IsOwner]
def get(self, request, pk):
user = get_object_or_404(User, pk=pk)
self.check_object_permissions(request, user)
return Response({'username': user.username, 'email': user.email})
通过上述配置,我们可以确保只有资源所有者本人才能查看或修改其个人信息,提升了系统的安全性和用户体验。
📌 REST Framework 版本控制 - URLPathVersioning、QueryParameterVersioning 和 NamespaceVersioning:灵活应对API演化
在API开发中,随着业务的发展和用户需求的变化,API的版本控制变得尤为重要。Django REST Framework(DRF)提供了多种版本控制策略,包括 URLPathVersioning
、QueryParameterVersioning
和 NamespaceVersioning
,帮助我们灵活应对API的演化。
1. URLPathVersioning
URLPathVersioning
是一种将版本号嵌入到URL路径中的版本控制方式。例如,/api/v1/resource/
和 /api/v2/resource/
分别对应API的第一个版本和第二个版本。
我们可以在 settings.py
中配置默认的版本控制类为 URLPathVersioning
。
python
REST_FRAMEWORK = {
'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',
'DEFAULT_VERSION': 'v1',
'ALLOWED_VERSIONS': ['v1', 'v2'],
}
然后,在 urls.py
中配置路径版本号。
python
from django.urls import path
from .views import ResourceAPIView
urlpatterns = [
path('api/v1/resource/', ResourceAPIView.as_view(), name='resource_v1'),
path('api/v2/resource/', ResourceAPIView.as_view(), name='resource_v2'),
]
通过这种方式,客户端可以通过指定不同的URL路径来访问不同版本的API。
2. QueryParameterVersioning
QueryParameterVersioning
是另一种常见的版本控制策略,它通过在请求URL中添加查询参数来指定API版本。例如,/api/resource/?version=1
和 /api/resource/?version=2
分别对应API的第一个版本和第二个版本。
在 settings.py
中配置 QueryParameterVersioning
。
python
REST_FRAMEWORK = {
'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.QueryParameterVersioning',
'DEFAULT_VERSION': 'v1',
'ALLOWED_VERSIONS': ['v1', 'v2'],
'VERSION_PARAM': 'version',
}
通过这种方式,客户端可以通过在请求URL中指定查询参数来选择所需的API版本。
3. NamespaceVersioning
NamespaceVersioning
是一种通过URL命名空间来实现API版本控制的策略。它允许我们为不同版本的API分配不同的URL命名空间,从而实现版本隔离。
在 urls.py
中配置命名空间。
python
from django.urls import path, include
urlpatterns = [
path('api/v1/', include(('myapp.urls_v1', 'myapp'), namespace='v1')),
path('api/v2/', include(('myapp.urls_v2', 'myapp'), namespace='v2')),
]
在视图中,我们可以通过 reverse
函数或 reverse_lazy
函数生成对应版本的URL。
python
from django.urls import reverse
class SomeAPIView(APIView):
def get(self, request):
url_v1 = reverse('v1:resource-detail', kwargs={'pk': 1})
url_v2 = reverse('v2:resource-detail', kwargs={'pk': 1})
return Response({'v1_url': url_v1, 'v2_url': url_v2})
这种版本控制方式特别适用于大型项目,通过URL命名空间可以有效管理不同版本的API,并确保版本之间的隔离。
📌 REST Framework 版本控制 - AcceptHeaderVersioning:通过请求头实现版本选择
AcceptHeaderVersioning
是一种通过HTTP请求头中的 Accept
字段来控制API版本的策略。客户端通过在请求头中指定版本信息,来请求不同版本的API。
在 settings.py
中配置 AcceptHeaderVersioning
。
python
REST_FRAMEWORK = {
'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.AcceptHeaderVersioning',
'DEFAULT_VERSION': 'v1',
'ALLOWED_VERSIONS': ['v1', 'v2'],
'VERSION_PARAM': 'version',
}
然后,客户端可以通过如下方式指定版本信息:
bash
curl -H "Accept: application/vnd.example.v1+json" https://example.com/api/resource/
或
bash
curl -H "Accept: application/vnd.example.v2+json" https://example.com/api/resource/
通过这种方式,API的版本信息直接嵌入到请求头中,提升了请求URL的可读性,并且有助于保持URL的简洁。