Django 后端架构开发：JWT 项目实践与Drf版本控制

🛠️ Django 后端架构开发：JWT 项目实践与Drf版本控制

📌 JWT 项目实践：从理论到实战

JSON Web Token（JWT）是当前最流行的身份认证机制之一，在后端开发中被广泛使用。它基于Token的身份验证方式，避免了传统的Session认证在分布式系统中的局限性。在本节中，我们将通过一个实际的Django项目，详细解析JWT的应用场景和实现方式。

首先，在Django中使用JWT进行用户认证时，通常需要借助第三方库，如 djangorestframework-jwt 或 django-rest-framework-simplejwt。这些库提供了方便的工具和方法，帮助我们在Django REST Framework中集成JWT。

以下是一个简单的项目示例，我们将逐步解析其中的关键代码。

# settings.py 配置
INSTALLED_APPS = [
    ...
    'rest_framework',
    'rest_framework_simplejwt',
]

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

# 配置JWT的过期时间等参数
SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
    'ROTATE_REFRESH_TOKENS': True,
    'BLACKLIST_AFTER_ROTATION': True,
    'ALGORITHM': 'HS256',
    'SIGNING_KEY': SECRET_KEY,
    'VERIFYING_KEY': None,
    'AUTH_HEADER_TYPES': ('Bearer',),
    ...
}

在 settings.py 中，我们配置了JWT的认证方式，并设置了相关参数。ACCESS_TOKEN_LIFETIME 是访问令牌的有效时间，而 REFRESH_TOKEN_LIFETIME 则决定了刷新令牌的有效期。这些参数的设置直接影响了系统的安全性和用户体验。

接下来，我们在 views.py 中实现JWT的登录逻辑。

from rest_framework_simplejwt.views import TokenObtainPairView
from rest_framework_simplejwt.tokens import RefreshToken
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.decorators import api_view, permission_classes

@api_view(['POST'])
def login(request):
    """
    用户登录视图，使用JWT进行身份验证
    """
    serializer = TokenObtainPairView.as_view()(request._request).data
    return Response(serializer)

@api_view(['POST'])
@permission_classes([IsAuthenticated])
def logout(request):
    """
    用户注销视图，废弃当前的Refresh Token
    """
    try:
        token = request.data['refresh']
        token_obj = RefreshToken(token)
        token_obj.blacklist()
        return Response({'message': '注销成功'}, status=200)
    except Exception as e:
        return Response({'error': str(e)}, status=400)

在这个示例中，我们创建了 login 和 logout 视图。login 视图通过 TokenObtainPairView 生成访问令牌和刷新令牌，logout 视图则通过黑名单机制废弃用户的刷新令牌，确保其后续的请求失效。

通过这种方式，我们实现了一个基于JWT的完整认证流程，并且支持令牌的手动废弃，提升了系统的安全性。

📌 JWT 使用方式和特点：灵活且高效的认证机制

JWT的全称是JSON Web Token，是一种开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式用于通信双方之间以JSON对象的形式传递信息。该信息通过数字签名进行验证，从而确保数据的真实性与完整性。JWT的应用场景广泛，尤其在现代Web应用中，因其无状态、跨域支持等优点，广受欢迎。

与传统的Session认证机制不同，JWT的无状态性使其非常适合于微服务架构和分布式系统。在传统的Session认证中，服务器需要保存每个用户的Session数据，这在分布式环境下会带来很多挑战。而JWT的自包含性允许服务器不必保存会话状态，极大地减轻了服务器的负担。

JWT的结构包括三部分：头部（Header）、载荷（Payload）和签名（Signature）。

• 头部：头部通常由两部分组成：令牌的类型（即JWT）和所使用的签名算法（如HMAC SHA256或RSA）。

  {
    "alg": "HS256",
    "typ": "JWT"
  }

• 载荷 ：载荷部分包含声明（claims），声明是一些实体（通常是用户）的状态信息。声明可以分为三类：注册声明（如 iss、exp、sub）、公共声明和私有声明。

  {
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true
  }

• 签名：签名是将头部、载荷和一个密钥进行编码后生成的。签名部分是保证JWT数据完整性的重要手段，只有拥有密钥的一方才能生成或验证签名。

JWT的使用方式非常简单，通常在用户登录时，服务器会生成一个JWT并返回给客户端，客户端将其保存在本地存储中。在后续的请求中，客户端将JWT放入HTTP请求头中，服务器通过验证JWT的签名来判断请求是否合法。

# 示例：在请求头中携带JWT
import requests

headers = {
    'Authorization': 'Bearer <your_jwt_token_here>',
}
response = requests.get('https://example.com/api/resource', headers=headers)

这种无状态的认证机制，使得JWT特别适合跨域认证以及微服务架构的系统。客户端不需要每次请求都与服务器进行会话状态的校验，极大地提升了系统的性能。

📌 REST Framework-JWT 介绍和使用：集成与扩展

Django REST Framework（DRF）提供了强大的身份验证机制，而 djangorestframework-jwt 或 django-rest-framework-simplejwt 则进一步扩展了DRF，方便我们集成JWT。

rest_framework_simplejwt 是一个简单易用的JWT扩展库，它能够轻松地与DRF集成，并提供了丰富的配置选项和自定义功能。在本节中，我们将通过实际代码演示如何在DRF中集成JWT认证，并进行扩展以满足项目需求。

首先，我们在项目中安装并配置 rest_framework_simplejwt。

pip install djangorestframework-simplejwt

安装完成后，我们在 settings.py 中进行配置，指定默认的认证类为 JWTAuthentication。

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

接下来，我们创建自定义的视图和路由，以支持JWT的生成和刷新。

# urls.py 配置
from django.urls import path
from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)

urlpatterns = [
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
]

在这个配置中，我们创建了两个路由，一个用于获取初始的访问令牌和刷新令牌，另一个用于刷新访问令牌。这种机制确保了令牌在过期后可以通过刷新令牌获取新的访问令牌，而不需要重新登录。

为了增强项目的安全性，我们还可以自定义 TokenObtainPairSerializer，以加入额外的用户信息到JWT载荷中。

# serializers.py
from rest_framework_simplejwt.serializers import TokenObtainPairSerializer

class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
    def validate(self, attrs):
        data = super().validate(attrs)
        data['username'] = self.user.username
        data['email'] = self.user.email
        return data

然后在视图中使用我们自定义的序列化器。

from rest_framework_simplejwt.views import TokenObtainPairView

class CustomTokenObtainPairView(TokenObtainPairView):
    serializer_class = CustomTokenObtainPairSerializer

通过这种方式，我们可以将更多的用户信息嵌入到JWT中，满足项目的具体需求。

📌 REST Framework 身份验证和权限管理：安全与灵活性的完美结合

在构建Web API时，身份验证和权限管理是不可忽视的重要环节。Django REST Framework（DRF）为我们提供了灵活且强大的身份验证与权限管理机制。通过合理配置和扩展，我们可以确保API的安全性，并实现精细化的权限控制。

1. 身份验证

在DRF中，身份验证是通过设置 DEFAULT_AUTHENTICATION_CLASSES 来实现的。常见的身份验证方式包括Session、Token、JWT等。在本节中，我们将重点讨论JWT的身份验证。

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES

': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

通过上述配置，DRF将使用JWT进行身份验证。每次API请求时，DRF会从请求头中提取JWT，并验证其有效性。若验证通过，则请求将继续处理，否则返回401未授权错误。

2. 权限管理

DRF的权限管理机制允许我们根据请求用户的身份、请求方法、请求资源等条件，精细控制访问权限。DRF提供了多种内置权限类，如 AllowAny、IsAuthenticated、IsAdminUser 和 IsAuthenticatedOrReadOnly 等。

例如，我们可以使用 IsAuthenticated 权限类，确保只有经过身份验证的用户才能访问某些敏感资源。

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
from rest_framework.response import Response

class SecureAPIView(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request):
        return Response({'message': '只有认证用户可以看到这条信息'})

此外，我们还可以自定义权限类，以满足特定的业务需求。例如，我们可以创建一个 IsOwner 权限类，确保只有资源的所有者才能对其进行修改。

from rest_framework.permissions import BasePermission

class IsOwner(BasePermission):
    """
    只允许资源的所有者进行操作
    """

    def has_object_permission(self, request, view, obj):
        return obj.owner == request.user

在视图中，我们可以将自定义权限类与其他权限类组合使用，以实现复杂的权限控制逻辑。

class UserDetailAPIView(APIView):
    permission_classes = [IsAuthenticated, IsOwner]

    def get(self, request, pk):
        user = get_object_or_404(User, pk=pk)
        self.check_object_permissions(request, user)
        return Response({'username': user.username, 'email': user.email})

通过上述配置，我们可以确保只有资源所有者本人才能查看或修改其个人信息，提升了系统的安全性和用户体验。

📌 REST Framework 版本控制 - URLPathVersioning、QueryParameterVersioning 和 NamespaceVersioning：灵活应对API演化

在API开发中，随着业务的发展和用户需求的变化，API的版本控制变得尤为重要。Django REST Framework（DRF）提供了多种版本控制策略，包括 URLPathVersioning、QueryParameterVersioning 和 NamespaceVersioning，帮助我们灵活应对API的演化。

1. URLPathVersioning

URLPathVersioning 是一种将版本号嵌入到URL路径中的版本控制方式。例如，/api/v1/resource/ 和 /api/v2/resource/ 分别对应API的第一个版本和第二个版本。

我们可以在 settings.py 中配置默认的版本控制类为 URLPathVersioning。

REST_FRAMEWORK = {
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',
    'DEFAULT_VERSION': 'v1',
    'ALLOWED_VERSIONS': ['v1', 'v2'],
}

然后，在 urls.py 中配置路径版本号。

from django.urls import path
from .views import ResourceAPIView

urlpatterns = [
    path('api/v1/resource/', ResourceAPIView.as_view(), name='resource_v1'),
    path('api/v2/resource/', ResourceAPIView.as_view(), name='resource_v2'),
]

通过这种方式，客户端可以通过指定不同的URL路径来访问不同版本的API。

2. QueryParameterVersioning

QueryParameterVersioning 是另一种常见的版本控制策略，它通过在请求URL中添加查询参数来指定API版本。例如，/api/resource/?version=1 和 /api/resource/?version=2 分别对应API的第一个版本和第二个版本。

在 settings.py 中配置 QueryParameterVersioning。

REST_FRAMEWORK = {
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.QueryParameterVersioning',
    'DEFAULT_VERSION': 'v1',
    'ALLOWED_VERSIONS': ['v1', 'v2'],
    'VERSION_PARAM': 'version',
}

通过这种方式，客户端可以通过在请求URL中指定查询参数来选择所需的API版本。

3. NamespaceVersioning

NamespaceVersioning 是一种通过URL命名空间来实现API版本控制的策略。它允许我们为不同版本的API分配不同的URL命名空间，从而实现版本隔离。

在 urls.py 中配置命名空间。

from django.urls import path, include

urlpatterns = [
    path('api/v1/', include(('myapp.urls_v1', 'myapp'), namespace='v1')),
    path('api/v2/', include(('myapp.urls_v2', 'myapp'), namespace='v2')),
]

在视图中，我们可以通过 reverse 函数或 reverse_lazy 函数生成对应版本的URL。

from django.urls import reverse

class SomeAPIView(APIView):
    def get(self, request):
        url_v1 = reverse('v1:resource-detail', kwargs={'pk': 1})
        url_v2 = reverse('v2:resource-detail', kwargs={'pk': 1})
        return Response({'v1_url': url_v1, 'v2_url': url_v2})

这种版本控制方式特别适用于大型项目，通过URL命名空间可以有效管理不同版本的API，并确保版本之间的隔离。

📌 REST Framework 版本控制 - AcceptHeaderVersioning：通过请求头实现版本选择

AcceptHeaderVersioning 是一种通过HTTP请求头中的 Accept 字段来控制API版本的策略。客户端通过在请求头中指定版本信息，来请求不同版本的API。

在 settings.py 中配置 AcceptHeaderVersioning。

REST_FRAMEWORK = {
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.AcceptHeaderVersioning',
    'DEFAULT_VERSION': 'v1',
    'ALLOWED_VERSIONS': ['v1', 'v2'],
    'VERSION_PARAM': 'version',
}

然后，客户端可以通过如下方式指定版本信息：

curl -H "Accept: application/vnd.example.v1+json" https://example.com/api/resource/

或

curl -H "Accept: application/vnd.example.v2+json" https://example.com/api/resource/

通过这种方式，API的版本信息直接嵌入到请求头中，提升了请求URL的可读性，并且有助于保持URL的简洁。

---