详解Django配置JWT认证方式

在本文中，我们将深入探讨如何在Django框架中配置JSON Web Token（JWT）认证。JWT是一种轻量级的身份验证机制，允许服务器通过一个令牌（token）来确认客户端的身份，而无需在每次请求时发送用户名和密码。Django REST framework与`djangorestframework-simplejwt`库结合使用，可以轻松实现JWT的集成。 我们需要安装必要的库。在命令行中运行以下命令，安装`djangorestframework-simplejwt`和`djangorestframework`： ```bash pip install djangorestframework-simplejwt pip install djangorestframework ``` `djangorestframework-simplejwt`是Django的一个应用，提供了JWT相关的功能。 接下来，我们需要在`settings.py`中配置Django REST framework以支持JWT认证。在`REST_FRAMEWORK`配置项中，将`JWTAuthentication`添加到`DEFAULT_AUTHENTICATION_CLASSES`列表中： ```python REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_simplejwt.authentication.JWTAuthentication', ], } ``` 配置完成后，我们需要创建视图以处理JWT的获取和刷新。在`views.py`中，定义一个简单的测试视图`TestView`，设置权限类为`permissions.IsAuthenticated`，认证类为`authentication.JWTAuthentication`： ```python from rest_framework import permissions from rest_framework_simplejwt import authentication class TestView(views.APIView): permission_classes = [permissions.IsAuthenticated] authentication_classes = (authentication.JWTAuthentication,) def get(self, request, *args, **kwargs): return Response('ok') ``` 接下来，我们需要在`urls.py`中定义路由，以便用户可以通过API获取和刷新JWT。导入`TokenObtainPairView`和`TokenRefreshView`，并添加相应的URL路径： ```python from rest_framework_simplejwt.views import TokenObtainPairView, TokenRefreshView urlpatterns = [ ... url(r'^api/auth/token/obtain/$', TokenObtainPairView.as_view()), url(r'^api/auth/token/refresh/$', TokenRefreshView.as_view()), url(r'^api/test/$', TestView.as_view()), ... ] ``` 现在我们可以获取JWT了。有两种方法： 1. 使用curl命令行工具： ```bash curl -X POST -H "Content-Type: application/json" -d '{"username": "your_username", "password": "your_password"}' http://localhost:8000/api/auth/token/obtain/ ``` 这将返回一个包含访问令牌（access token）和刷新令牌（refresh token）的JSON响应。 2. 使用Postman软件，只需在请求中设置“Content-Type”为“application/json”，在Body部分选择“raw”并输入用户名和密码，然后发送POST请求到`http://localhost:8000/api/auth/token/obtain/`。 获取到JWT后，我们可以将其作为`Authorization`头的Bearer令牌发送给需要身份验证的API。例如，要访问`TestView`，可以使用curl发送如下请求： ```bash curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwidXNlcl9pZCI6MywianRpIjoiZDRlMTJiMjk0M2ZiNGFkYTg1NzZiNWIzMzcyY2RlMjQiLCJleHAiOjE1MzE1MDY5Njl9.S1MPTw359xVK-GpmJary1fZwDsHb8yXsVtyf-tCbHM8" http://localhost:8000/api/test/ ``` 其中，`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwidXNlcl9pZCI6MywianRpIjoiZDRlMTJiMjk0M2ZiNGFkYTg1NzZiNWIzMzcyY2RlMjQiLCJleHAiOjE1MzE1MDY5Njl9.S1MPTw359xVK-GpmJary1fZwDsHb8yXsVtyf-tCbHM8`是访问令牌。 通过这种方式，Django项目现在具备了JWT认证的功能。用户可以通过获取和刷新JWT进行身份验证，并能够访问受保护的API视图。这为开发安全、高效的API提供了便利，同时也简化了身份验证过程。