Django 后端架构开发:JWT 项目实践与Drf版本控制

简介: Django 后端架构开发:JWT 项目实践与Drf版本控制

🛠️ Django 后端架构开发:JWT 项目实践与Drf版本控制

📌 JWT 项目实践:从理论到实战

JSON Web Token(JWT)是当前最流行的身份认证机制之一,在后端开发中被广泛使用。它基于Token的身份验证方式,避免了传统的Session认证在分布式系统中的局限性。在本节中,我们将通过一个实际的Django项目,详细解析JWT的应用场景和实现方式。

首先,在Django中使用JWT进行用户认证时,通常需要借助第三方库,如 djangorestframework-jwtdjango-rest-framework-simplejwt。这些库提供了方便的工具和方法,帮助我们在Django REST Framework中集成JWT。

以下是一个简单的项目示例,我们将逐步解析其中的关键代码。

# settings.py 配置
INSTALLED_APPS = [
    ...
    'rest_framework',
    'rest_framework_simplejwt',
]
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}
# 配置JWT的过期时间等参数
SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
    'ROTATE_REFRESH_TOKENS': True,
    'BLACKLIST_AFTER_ROTATION': True,
    'ALGORITHM': 'HS256',
    'SIGNING_KEY': SECRET_KEY,
    'VERIFYING_KEY': None,
    'AUTH_HEADER_TYPES': ('Bearer',),
    ...
}

settings.py 中,我们配置了JWT的认证方式,并设置了相关参数。ACCESS_TOKEN_LIFETIME 是访问令牌的有效时间,而 REFRESH_TOKEN_LIFETIME 则决定了刷新令牌的有效期。这些参数的设置直接影响了系统的安全性和用户体验。

接下来,我们在 views.py 中实现JWT的登录逻辑。

from rest_framework_simplejwt.views import TokenObtainPairView
from rest_framework_simplejwt.tokens import RefreshToken
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.decorators import api_view, permission_classes
@api_view(['POST'])
def login(request):
    """
    用户登录视图,使用JWT进行身份验证
    """
    serializer = TokenObtainPairView.as_view()(request._request).data
    return Response(serializer)
@api_view(['POST'])
@permission_classes([IsAuthenticated])
def logout(request):
    """
    用户注销视图,废弃当前的Refresh Token
    """
    try:
        token = request.data['refresh']
        token_obj = RefreshToken(token)
        token_obj.blacklist()
        return Response({'message': '注销成功'}, status=200)
    except Exception as e:
        return Response({'error': str(e)}, status=400)

在这个示例中,我们创建了 loginlogout 视图。login 视图通过 TokenObtainPairView 生成访问令牌和刷新令牌,logout 视图则通过黑名单机制废弃用户的刷新令牌,确保其后续的请求失效。

通过这种方式,我们实现了一个基于JWT的完整认证流程,并且支持令牌的手动废弃,提升了系统的安全性。

📌 JWT 使用方式和特点:灵活且高效的认证机制

JWT的全称是JSON Web Token,是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式用于通信双方之间以JSON对象的形式传递信息。该信息通过数字签名进行验证,从而确保数据的真实性与完整性。JWT的应用场景广泛,尤其在现代Web应用中,因其无状态、跨域支持等优点,广受欢迎。

与传统的Session认证机制不同,JWT的无状态性使其非常适合于微服务架构和分布式系统。在传统的Session认证中,服务器需要保存每个用户的Session数据,这在分布式环境下会带来很多挑战。而JWT的自包含性允许服务器不必保存会话状态,极大地减轻了服务器的负担。

JWT的结构包括三部分:头部(Header)、载荷(Payload)和签名(Signature)。

  • 头部:头部通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。
{
  "alg": "HS256",
  "typ": "JWT"
}
  • 载荷:载荷部分包含声明(claims),声明是一些实体(通常是用户)的状态信息。声明可以分为三类:注册声明(如 issexpsub)、公共声明和私有声明。
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
  • 签名:签名是将头部、载荷和一个密钥进行编码后生成的。签名部分是保证JWT数据完整性的重要手段,只有拥有密钥的一方才能生成或验证签名。

JWT的使用方式非常简单,通常在用户登录时,服务器会生成一个JWT并返回给客户端,客户端将其保存在本地存储中。在后续的请求中,客户端将JWT放入HTTP请求头中,服务器通过验证JWT的签名来判断请求是否合法。

# 示例:在请求头中携带JWT
import requests
headers = {
    'Authorization': 'Bearer <your_jwt_token_here>',
}
response = requests.get('https://example.com/api/resource', headers=headers)

这种无状态的认证机制,使得JWT特别适合跨域认证以及微服务架构的系统。客户端不需要每次请求都与服务器进行会话状态的校验,极大地提升了系统的性能。

📌 REST Framework-JWT 介绍和使用:集成与扩展

Django REST Framework(DRF)提供了强大的身份验证机制,而 djangorestframework-jwtdjango-rest-framework-simplejwt 则进一步扩展了DRF,方便我们集成JWT。

rest_framework_simplejwt 是一个简单易用的JWT扩展库,它能够轻松地与DRF集成,并提供了丰富的配置选项和自定义功能。在本节中,我们将通过实际代码演示如何在DRF中集成JWT认证,并进行扩展以满足项目需求。

首先,我们在项目中安装并配置 rest_framework_simplejwt

pip install djangorestframework-simplejwt
• 1

安装完成后,我们在 settings.py 中进行配置,指定默认的认证类为 JWTAuthentication

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

接下来,我们创建自定义的视图和路由,以支持JWT的生成和刷新。

# urls.py 配置
from django.urls import path
from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)
urlpatterns = [
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
]

在这个配置中,我们创建了两个路由,一个用于获取初始的访问令牌和刷新令牌,另一个用于刷新访问令牌。这种机制确保了令牌在过期后可以通过刷新令牌获取新的访问令牌,而不需要重新登录。

为了增强项目的安全性,我们还可以自定义 TokenObtainPairSerializer,以加入额外的用户信息到JWT载荷中。

# serializers.py
from rest_framework_simplejwt.serializers import TokenObtainPairSerializer
class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
    def validate(self, attrs):
        data = super().validate(attrs)
        data['username'] = self.user.username
        data['email'] = self.user.email
        return data

然后在视图中使用我们自定义的序列化器。

from rest_framework_simplejwt.views import TokenObtainPairView
class CustomTokenObtainPairView(TokenObtainPairView):
    serializer_class = CustomTokenObtainPairSerializer

通过这种方式,我们可以将更多的用户信息嵌入到JWT中,满足项目的具体需求。

📌 REST Framework 身份验证和权限管理:安全与灵活性的完美结合

在构建Web API时,身份验证和权限管理是不可忽视的重要环节。Django REST Framework(DRF)为我们提供了灵活且强大的身份验证与权限管理机制。通过合理配置和扩展,我们可以确保API的安全性,并实现精细化的权限控制。

1. 身份验证

在DRF中,身份验证是通过设置 DEFAULT_AUTHENTICATION_CLASSES 来实现的。常见的身份验证方式包括Session、Token、JWT等。在本节中,我们将重点讨论JWT的身份验证。

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES
': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

通过上述配置,DRF将使用JWT进行身份验证。每次API请求时,DRF会从请求头中提取JWT,并验证其有效性。若验证通过,则请求将继续处理,否则返回401未授权错误。

2. 权限管理

DRF的权限管理机制允许我们根据请求用户的身份、请求方法、请求资源等条件,精细控制访问权限。DRF提供了多种内置权限类,如 AllowAnyIsAuthenticatedIsAdminUserIsAuthenticatedOrReadOnly 等。

例如,我们可以使用 IsAuthenticated 权限类,确保只有经过身份验证的用户才能访问某些敏感资源。

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
from rest_framework.response import Response
class SecureAPIView(APIView):
    permission_classes = [IsAuthenticated]
    def get(self, request):
        return Response({'message': '只有认证用户可以看到这条信息'})

此外,我们还可以自定义权限类,以满足特定的业务需求。例如,我们可以创建一个 IsOwner 权限类,确保只有资源的所有者才能对其进行修改。

from rest_framework.permissions import BasePermission
class IsOwner(BasePermission):
    """
    只允许资源的所有者进行操作
    """
    def has_object_permission(self, request, view, obj):
        return obj.owner == request.user

在视图中,我们可以将自定义权限类与其他权限类组合使用,以实现复杂的权限控制逻辑。

class UserDetailAPIView(APIView):
    permission_classes = [IsAuthenticated, IsOwner]
    def get(self, request, pk):
        user = get_object_or_404(User, pk=pk)
        self.check_object_permissions(request, user)
        return Response({'username': user.username, 'email': user.email})

通过上述配置,我们可以确保只有资源所有者本人才能查看或修改其个人信息,提升了系统的安全性和用户体验。

📌 REST Framework 版本控制 - URLPathVersioning、QueryParameterVersioning 和 NamespaceVersioning:灵活应对API演化

在API开发中,随着业务的发展和用户需求的变化,API的版本控制变得尤为重要。Django REST Framework(DRF)提供了多种版本控制策略,包括 URLPathVersioningQueryParameterVersioningNamespaceVersioning,帮助我们灵活应对API的演化。

1. URLPathVersioning

URLPathVersioning 是一种将版本号嵌入到URL路径中的版本控制方式。例如,/api/v1/resource//api/v2/resource/ 分别对应API的第一个版本和第二个版本。

我们可以在 settings.py 中配置默认的版本控制类为 URLPathVersioning

REST_FRAMEWORK = {
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',
    'DEFAULT_VERSION': 'v1',
    'ALLOWED_VERSIONS': ['v1', 'v2'],
}

然后,在 urls.py 中配置路径版本号。

from django.urls import path
from .views import ResourceAPIView
urlpatterns = [
    path('api/v1/resource/', ResourceAPIView.as_view(), name='resource_v1'),
    path('api/v2/resource/', ResourceAPIView.as_view(), name='resource_v2'),
]

通过这种方式,客户端可以通过指定不同的URL路径来访问不同版本的API。

2. QueryParameterVersioning

QueryParameterVersioning 是另一种常见的版本控制策略,它通过在请求URL中添加查询参数来指定API版本。例如,/api/resource/?version=1/api/resource/?version=2 分别对应API的第一个版本和第二个版本。

settings.py 中配置 QueryParameterVersioning

REST_FRAMEWORK = {
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.QueryParameterVersioning',
    'DEFAULT_VERSION': 'v1',
    'ALLOWED_VERSIONS': ['v1', 'v2'],
    'VERSION_PARAM': 'version',
}

通过这种方式,客户端可以通过在请求URL中指定查询参数来选择所需的API版本。

3. NamespaceVersioning

NamespaceVersioning 是一种通过URL命名空间来实现API版本控制的策略。它允许我们为不同版本的API分配不同的URL命名空间,从而实现版本隔离。

urls.py 中配置命名空间。

from django.urls import path, include
urlpatterns = [
    path('api/v1/', include(('myapp.urls_v1', 'myapp'), namespace='v1')),
    path('api/v2/', include(('myapp.urls_v2', 'myapp'), namespace='v2')),
]

在视图中,我们可以通过 reverse 函数或 reverse_lazy 函数生成对应版本的URL。

from django.urls import reverse
class SomeAPIView(APIView):
    def get(self, request):
        url_v1 = reverse('v1:resource-detail', kwargs={'pk': 1})
        url_v2 = reverse('v2:resource-detail', kwargs={'pk': 1})
        return Response({'v1_url': url_v1, 'v2_url': url_v2})

这种版本控制方式特别适用于大型项目,通过URL命名空间可以有效管理不同版本的API,并确保版本之间的隔离。

📌 REST Framework 版本控制 - AcceptHeaderVersioning:通过请求头实现版本选择

AcceptHeaderVersioning 是一种通过HTTP请求头中的 Accept 字段来控制API版本的策略。客户端通过在请求头中指定版本信息,来请求不同版本的API。

settings.py 中配置 AcceptHeaderVersioning

REST_FRAMEWORK = {
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.AcceptHeaderVersioning',
    'DEFAULT_VERSION': 'v1',
    'ALLOWED_VERSIONS': ['v1', 'v2'],
    'VERSION_PARAM': 'version',
}

然后,客户端可以通过如下方式指定版本信息:

curl -H "Accept: application/vnd.example.v1+json" https://example.com/api/resource/

curl -H "Accept: application/vnd.example.v2+json" https://example.com/api/resource/

通过这种方式,API的版本信息直接嵌入到请求头中,提升了请求URL的可读性,并且有助于保持URL的简洁。


目录
相关文章
|
5天前
|
Cloud Native 持续交付 微服务
云原生时代的微服务架构实践
【9月更文挑战第30天】随着云计算技术的不断进步,云原生已经成为现代软件开发的重要趋势。本文将通过深入浅出的方式,介绍如何在云原生环境下设计并实施微服务架构,以及如何利用容器化技术和自动化工具来提升服务的可维护性和可扩展性。我们将一起探讨微服务架构的核心原则、优势,以及在云平台中部署和管理微服务的最佳实践。无论你是初学者还是有经验的开发者,这篇文章都将成为你探索云原生和微服务世界的一盏明灯。
|
8天前
|
监控 Cloud Native 持续交付
云原生时代的微服务架构设计原则与实践
【9月更文挑战第27天】本文深入探讨了在云原生环境下,如何高效地实施微服务架构。通过分析微服务的基本概念、设计原则和关键技术,结合实际案例,指导读者理解并应用微服务架构于云计算项目之中。文章旨在为软件开发者和架构师提供一条清晰的路径,以实现更加灵活、可扩展且易于维护的系统。
|
12天前
|
设计模式 Cloud Native API
云原生时代的微服务架构实践
【9月更文挑战第23天】在这篇文章中,我们将深入探讨云原生环境下的微服务架构设计原则、优势以及实施策略。文章不仅涉及理论概念,还结合具体的代码示例,帮助读者理解如何在实际项目中应用微服务架构。通过阅读本文,你将获得构建、部署和管理微服务的实用知识,为你的云原生项目奠定坚实的基础。
|
10天前
|
存储 运维 负载均衡
后端开发中的微服务架构实践与思考
本文旨在探讨后端开发中微服务架构的应用及其带来的优势与挑战。通过分析实际案例,揭示如何有效地实施微服务架构以提高系统的可维护性和扩展性。同时,文章也讨论了在采用微服务过程中需要注意的问题和解决方案。
|
15天前
|
缓存 NoSQL 数据库
构建高效后端服务:从架构设计到性能优化的实践之路
本文旨在探讨如何通过合理的架构设计和性能优化策略,构建一个既稳定又高效的后端服务。文章首先概述了后端服务开发中常见的挑战和误区,随后详细介绍了微服务架构、缓存机制、数据库优化、服务器配置以及代码审查等关键技术和方法。通过深入浅出的案例分析和实用建议,本文将为后端开发者提供一套系统化的指导方案,助力其打造出高性能的后端服务体系。
|
10天前
|
运维 持续交付 API
深入理解并实践微服务架构:从理论到实战
深入理解并实践微服务架构:从理论到实战
34 3
|
13天前
|
人工智能 Cloud Native Java
新趋势、新开源、新实践|云栖大会 AI 原生应用架构专场邀您参会
新趋势、新开源、新实践|云栖大会 AI 原生应用架构专场邀您参会
|
13天前
|
消息中间件 缓存 NoSQL
构建高效后端服务:微服务架构的深度实践
本文旨在探讨如何通过采用微服务架构来构建高效的后端服务。我们将深入分析微服务的基本概念、设计原则以及在实际项目中的应用案例,揭示其在提升系统可维护性、扩展性和灵活性方面的优势。同时,本文还将讨论在实施微服务过程中可能遇到的挑战,如服务治理、分布式事务和数据一致性等问题,并分享相应的解决策略和最佳实践。通过阅读本文,读者将能够理解微服务架构的核心价值,并具备将其应用于实际项目的能力。 ##
|
2月前
|
机器学习/深度学习 数据采集 数据可视化
基于爬虫和机器学习的招聘数据分析与可视化系统,python django框架,前端bootstrap,机器学习有八种带有可视化大屏和后台
本文介绍了一个基于Python Django框架和Bootstrap前端技术,集成了机器学习算法和数据可视化的招聘数据分析与可视化系统,该系统通过爬虫技术获取职位信息,并使用多种机器学习模型进行薪资预测、职位匹配和趋势分析,提供了一个直观的可视化大屏和后台管理系统,以优化招聘策略并提升决策质量。
107 4
|
2月前
|
搜索推荐 前端开发 数据可视化
【优秀python web毕设案例】基于协同过滤算法的酒店推荐系统,django框架+bootstrap前端+echarts可视化,有后台有爬虫
本文介绍了一个基于Django框架、协同过滤算法、ECharts数据可视化以及Bootstrap前端技术的酒店推荐系统,该系统通过用户行为分析和推荐算法优化,提供个性化的酒店推荐和直观的数据展示,以提升用户体验。
101 1
下一篇
无影云桌面