Django REST Framework SimpleJWT 使用指南:轻量级JWT认证解决方案

于 2025-06-10 09:01:13 发布
阅读量396 收藏 10
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00111/article/details/148548814

Django REST Framework SimpleJWT 使用指南:轻量级JWT认证解决方案

djangorestframework-simplejwt djangorestframework-simplejwt 项目地址: https://gitcode.com/gh_mirrors/dja/djangorestframework-simplejwt

什么是SimpleJWT?

SimpleJWT是一个为Django REST Framework设计的JSON Web Token(JWT)认证插件。它为DRF应用提供了一个简单、轻量级的JWT认证后端,专注于覆盖最常见的JWT使用场景,同时保持足够的可扩展性以满足定制需求。

为什么选择SimpleJWT?

在构建现代Web应用时,JWT已成为处理用户认证的流行方案。相比传统的基于会话的认证,JWT具有以下优势:

  1. 无状态性:服务器不需要存储会话信息
  2. 跨域支持:适合前后端分离架构
  3. 灵活性:可以携带自定义声明
  4. 安全性:基于签名的验证机制

SimpleJWT特别适合那些需要快速实现JWT认证的Django REST Framework项目,它提供了开箱即用的解决方案,同时避免了过度复杂的功能设计。

核心功能概览

SimpleJWT提供了一系列核心功能:

  1. 令牌生成与验证:支持创建和验证JWT
  2. 双令牌系统:访问令牌和刷新令牌机制
  3. 自定义声明:允许添加额外的令牌声明
  4. 令牌黑名单:提供可选的令牌撤销功能
  5. 无缝集成:与DRF的认证系统完美结合

安装与配置

要开始使用SimpleJWT,首先需要通过pip安装:

pip install djangorestframework-simplejwt

然后在Django的settings.py中进行基本配置:

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    )
}

基本工作流程

SimpleJWT的典型认证流程如下:

  1. 用户通过凭证(用户名/密码)获取访问令牌和刷新令牌
  2. 访问令牌用于后续API请求的认证
  3. 当访问令牌过期时,使用刷新令牌获取新的访问令牌
  4. 刷新令牌也可用于获取新的刷新令牌(可选)

令牌类型详解

SimpleJWT主要使用两种令牌:

  1. 访问令牌(Access Token)

    • 短期有效(默认5分钟)
    • 用于API请求认证
    • 包含用户身份标识

  2. 刷新令牌(Refresh Token)

    • 长期有效(默认1天)
    • 用于获取新的访问令牌
    • 不应包含敏感数据

高级特性

自定义令牌声明

可以通过继承rest_framework_simplejwt.serializers.TokenObtainPairSerializer来添加自定义声明:

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer

class MyTokenObtainPairSerializer(TokenObtainPairSerializer):
    @classmethod
    def get_token(cls, user):
        token = super().get_token(user)
        
        # 添加自定义声明
        token['name'] = user.username
        token['is_admin'] = user.is_superuser
        
        return token

令牌黑名单

SimpleJWT提供了可选的令牌黑名单功能,用于撤销令牌:

INSTALLED_APPS = [
    ...
    'rest_framework_simplejwt.token_blacklist',
    ...
]

无状态用户认证

SimpleJWT支持完全无状态的用户认证,适合微服务架构:

SIMPLE_JWT = {
    'USER_ID_FIELD': 'uuid',  # 使用UUID而非默认的id
    'USER_ID_CLAIM': 'user_uuid',
}

最佳实践

  1. 合理设置令牌有效期:根据安全需求平衡便利性和安全性
  2. 使用HTTPS:始终在HTTPS下传输令牌
  3. 前端安全存储:使用HttpOnly的Cookie或安全的本地存储
  4. 定期轮换密钥:特别是当密钥泄露时
  5. 监控异常使用:检测异常的令牌使用模式

总结

Django REST Framework SimpleJWT为Django开发者提供了一个简单而强大的JWT认证解决方案。它平衡了功能丰富性和易用性,既满足了大多数项目的需求,又保持了足够的灵活性以适应特殊场景。无论是构建小型API还是大型分布式系统,SimpleJWT都是一个值得考虑的选择。

对于更详细的配置选项和高级用法,建议查阅项目的完整文档,其中包含了从基础到高级的各种用例和配置参数说明。

djangorestframework-simplejwt djangorestframework-simplejwt 项目地址: https://gitcode.com/gh_mirrors/dja/djangorestframework-simplejwt

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

djangoDjango REST Framework (DRF) 项目中实现 JWT
春天的波菜
11-07 1465
创建一个视图来处理登录请求,返回 JWT token。# views.py})通过以上步骤,我们成功地在 Django REST Framework 项目中实现了 JWT 认证,并配置了 token 黑名单以增强安全性。JWT 认证提供了一种无状态、轻量级的身份验证方式,而 token 黑名单则确保了已注销的 token 不会被再次使用,从而提高了应用的安全性。希望这篇文章对你有所帮助!如果你有任何问题或需要进一步的帮助,请随时联系我。
Django + simplejwt
NoobJohn的博客
11-21 3303
Django+Simplejwt安装配置常用自定义配置ACCESS_TOKEN_LIFETIMEREFRESH_TOKEN_LIFETIME使用测试自定义返回信息自定义验证方式可能出现的错误csrf验证错误 官方文档::文档 jwt认证一般用于状态保持,登录验证等方面 安装 首先在cmd安装simplejwt pip install djangorestframework-simplejwt 配置 simplejwt的配置非常简单,在settings.py文件中在任意位置加上 REST_FRAMEWO
djangorestframework-simplejwt
python_web全栈
09-14 9339
djangorestframework-simplejwt快速使用
Django REST Framework系列教程(7)——JWT认证
最新发布
软件开发
04-04 953
JSON Web TokenJWT)是一种开放标准,它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。JWT用于为应用程序创建访问token,通常适用于API身份验证和服务器到服务器的授权。那么如何理解紧凑和自包含这两个词的含义呢?紧凑:就是说这个数据量比较少,可以通过url参数,http请求提交的数据以及http header多种方式来传递。自包含。
DjangoJWT库与SimpleJWT库的使用
积跬步,至千里。
08-03 2514
使用Django框架时,可以选择jwtsimplejwt来增强其功能。这两个扩展提供了与JWT认证相关的功能,可以帮助实现安全而高效的用户认证和授权机制。通过使用它们,可以轻松地将JWT集成到Django应用程序中,并提供可靠的用户身份验证和权限管理功能。
【DRF】-- SimpleJWT
weixin_45075160的博客
01-12 2235
Drf simplejwt 学习
djangorestframework-simplejwt的详细使用说明
淘淘桃的博客
03-20 2192
自定义序列化器该序列化器需继承TokenObtainPairSerializer类,可以在任意一个app中的seralizers.py中增加该自定义的序列化器,并重写了get_token()方法。在这个方法中,我们可以自定义Payload,将用户的信息添加到Token中。​# 增加想要加到token中的信息# ...改写simple JWT提供的默认视图,在app01/views中新增一个视图,该视图需继承至默认的视图类TokenObtainPairView​。
django-rest-framework-simplejwt:为Django REST提供JWT认证支持
它允许开发者为基于Django的应用程序实现一种轻量级的、无状态的认证机制。JWT是一种开放标准(RFC 7519),用于在网络上安全地传输信息作为一个紧凑的、URL安全的方式。Django REST framework(DRF)是Django的一个...
自定义Django_rest_framework_jwt登陆错误返回的解决
12-16
JWT是一种轻量级的身份验证机制,它允许服务器生成一个令牌,然后客户端在后续请求中携带此令牌来证明其身份。然而,有时我们需要对默认的JWT登录成功和失败的响应进行自定义,以适应项目需求。本文将详细介绍如何...
详解Django配置JWT认证方式
09-16
Django REST framework与`djangorestframework-simplejwt`库结合使用,可以轻松实现JWT的集成。 首先,我们需要安装必要的库。在命令行中运行以下命令,安装`djangorestframework-simplejwt`和`djangorestframework...
Django REST Framework认证机制】:打造安全RESTful API的终极指南
![【Django用户认证系统全攻略】:一步到位掌握django.contrib.auth.admin核心秘籍(2023年最新版)]...Django REST Framework(DRF)是建立在Django框架上的一个强大、灵活且功能完备的工具集,用于构建Web API。
Django DRF】使用rest_framework_simplejwt搭建jwt——全解
qq_59344127的博客
01-12 1101
动态生成 Token 和 Refresh,或者在后端提供一个用户登录接口直接返回这些信息。通过这种方式,您可以在登录时动态生成和返回 Token,以供客户端使用。
JWT的快速使用(simplejwt
m0_71115526的博客
01-03 1285
1 编写序列化类"""自定义返回的格式"""'msg': '登录成功成功',# 2 配置文件配置。
DRF从入门到精通八(Simplejwt快速使用、定制返回格式、Simplejwt默认配置、多方式登录、自定义表签发token、编写认证类)
Mchen的博客
01-03 4603
此时直接访问即可,它都帮我们写好了,在请求体中携带刚刚创建的超级用户的账号密码就会返回token(因为是simplejwt它是双Token认证),如果是的话才会获取空格后面的token值来进行校验,所以我们后续会重写一些方法,不需要遵守一些不必要的规则。我们定义了一个book视图类,它只允许访问时在请求头里面携带了合法的token值才能通过认证。,因为在源码内部获取校验token值前,会先通过空格进行分隔一下,第一个值是否为。携带登录后,服务端响应给我们的token值来访问,token值的开头必须是。
Django REST Framework完整教程-认证与权限-JWT的使用
插件开发
10-18 4572
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 写入权限只允许给 article 的作者。
django应用JWT(JSON Web Token)实战
学而思(xiejava的blog)
09-22 3051
在前后端分离的项目中,前后端进行身份验证通常用JWT来进行,JWT 提供了一个理想的认证解决方案,用来保护 RESTful API,确保只有经过认证的用户才能访问受保护的资源。基于前端框架(如React, Angular, Vue.js)的单页面应用 (SPA),开发者通过使用 JWT可以获得一种简单、安全、高效的方式来处理用户认证和授权的问题。本文通过django项目的实战来说明如何应用和使用JWT
Djangodjangorestframework-simplejwt的使用
qq_44906497的博客
10-14 916
发现了一篇很好的文章,上面说的很详细:
Django笔记(七):JWT认证
垃圾管理员的垃圾站
01-25 1262
前后端分离的项目更多使用JWT认证——Json Web Token。本文记录djangorestframework-simplejwt的使用方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孙典将Phyllis

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值