如何在Django REST API中构建使用JWT验证

如何在Django REST API中构建使用JWT验证

基于令牌的身份验证,允许后端服务与前端(无论是 Web 端,原生移动端或其他端)分离,并驻留在不同域中。 JSON Web Tokens (JWT) 是一种流行的令牌认证实现,在本文中,我们使用它来验证,通过 Django REST 框架构建 notes 的 API 服务。

我们将设置用户注册和身份验证,并定义 notes 模型。确保当前登录用户对他创建的 notes 有所有权,而且用户只能对自己的 notes 进行读写操作。

最终项目的完整源代码在此: https://github.com/bonfirealgorithm/notes-api

1. 创建 Django 项目

$ mkdir notes && cd notes

创建虚拟环境并激活它。

$ python -m venv venv
$ source venv/bin/activate

安装 Django, Django Rest Framework 和 django-cors-headers:

$ pip install django django-rest-framework django-cors-headers

执行上面的命令安装 Django 以及 Django REST Framework, 帮助我们实现 API。我们也安装了 django-cors-headers, 实现了跨域的功能。

接下来我们来创建一个新的 Django 项目:

# 在当前目录内部创建名称为 project 的项目。以下这行命令最后的 . 表示将在当前目录内部创建 Django 项目。
$ django-admin startproject project .

之后我们可以通过以下命令来创建一个名为 notes 的 app,同时生成数据库迁移文件:

$ python manage.py startapp notes  # 创建名为 notes 的 app
$ python manage.py migrate # 执行数据库迁移文件,修改数据库

修改 project 下的 settings.py 配置文件,将新创建的 app 都加入到 installed apps 目录中,同时添加 REST Framework 相关配置信息:
project/settings.py

# project/settings.py

INSTALLED_APPS = [                 
    "django.contrib.admin",                    
    "django.contrib.auth",                
    "django.contrib.contenttypes",                
    "django.contrib.sessions",                
    "django.contrib.messages",                
    "django.contrib.staticfiles",                
    "rest_framework",  # 新加入 rest_framework 应用     
    "corsheaders",  # 新加入 corsheaders 应用  
    "notes",  # 新加入 notes 应用  
]

MIDDLEWARE = [                
    "corsheaders.middleware.CorsMiddleware",  # 配置跨域中间件
    "django.middleware.security.SecurityMiddleware",                
    "django.contrib.sessions.middleware.SessionMiddleware",                
    "django.middleware.common.CommonMiddleware",                
    "django.middleware.csrf.CsrfViewMiddleware",                
    "django.contrib.auth.middleware.AuthenticationMiddleware",                
    "django.contrib.messages.middleware.MessageMiddleware",                
    "django.middleware.clickjacking.XFrameOptionsMiddleware",             
]   

# 允许所有客户端跨域          
CORS_ORIGIN_ALLOW_ALL = True                                     

REST_FRAMEWORK = {                
    "DEFAULT_PERMISSION_CLASSES":
        ["rest_framework.permissions.AllowAny",],                
    "DEFAULT_PARSER_CLASSES":["rest_framework.parsers.JSONParser",],          
    }

在确保配置无误的情况下,开始运行服务器:

# 运行 Django 服务器
$ python manage.py runserver

在浏览器中访问 http://localhost:8000

你应该会看到 Django 的欢迎界面。

但我们仍然没有数据和 API 相关代码 来驱动 API 服务,让我们先创建一个名为 notes 的模型类。

2. 创建一个便签模型和超级用户

在 notes/models.py 文件中添加如下内容:

from django.db import models
from django.contrib.auth.models import User

class Note(models.Model):
    owner = models.ForeignKey(User, on_delete=models.CASCADE)
    title = models.CharField(max_length=200)
    content = models.TextField()
    def __str__(self):
        return self.title

我们创建了一个有三个属性的便签模型。它的拥有者是一个用户类型的对象,这个对象我们通过 Django 的认证组件引入。稍后,当我们添加完认证,我们将保证这个拥有者设置到当前登录的用户。剩下的两个属性是便签的标题和内容,分别是一个短字符串和一个长文本字段。

同时注册这个模型到管理后台文件 notes/admin.py :

from django.contrib import admin
from .models import Note

admin.site.register(Note)

由于我们已创建了一个新的模型类,因此需要通过创建并运行数据库迁移文件,使得数据库和模型类同步:

$ python manage.py makemigrations  # 生成数据库迁移文件
$ python manage.py migrate # 根据数据库执行文件修改数据库

让我们来创建一个管理员账号,这样就可以在后台管理面板中检查并添加 notes 对象。(你可以选择默认的用户名,并在出现提示时跳过电子邮箱输入。)

$ python manage.py createsuperuser # 创建管理员账号 

让我们再次启动服务器。

$ python manage.py runserver # 启动服务器

然后访问 http://localhost:8000/admin/,并用之前创建的管理员账号密码登录。

添加一些 notes 信息,以便我们来处理相关数据。

3. 用 Notes 数据构建 API

现在我们需要添加一些请求地址,这样就能访问到 notes 相关 API 了。

修改 project/urls.py 文件,如下所示:

from django.contrib import admin
from django.urls import path, include

urlpatterns = [
    path('admin/', admin.site.urls), # 后台管理
    path('api/', include('notes.urls')) # API 服务,include 用于 urls 分发
]

接下来在 notes 目录下新建 urls.py 文件,加入以下内容:

from django.urls import path
from rest_framework.routers import SimpleRouter
from .views import NoteViewSet

router = SimpleRouter() # 创建 SimpleRouter() 对象
router.register('notes', NoteViewSet, base_name="notes") # 注册路由
urlpatterns = router.urls # 将路由加入到 urls 中

我们正在使用 rest_framework 的 SimpleRouter 来自动创建路由。尽管我们还未创建 NoteViewSet,但我们已经导入了它。 接下来我们将创建 NoteViewSet , 在这之前,首先需要为我们的模型类创建一个序列化类。

rest_framework 中的序列化类提供了序列化功能,可以将模型中的数据转换成适合 API 的格式,也就是所谓的 JSON。 序列化类能执行数据验证,并根据指定字段生成序列化数据。

在 notes 目录下新建 serializers.py 文件:

from rest_framework import serializers
from .models import Note

class NoteSerializer(serializers.ModelSerializer):
    class Meta:
        fields = ("id", "owner", "title", "content") # 模型中需要序列化的字段
        model = Note # 指定模型类

接下来我们会在 notes/views.py 中创建视图类:

# notes/views.py
from rest_framework import viewsets
from .models import Note
from .serializers import NoteSerializer

class NoteViewSet(viewsets.ModelViewSet):
    queryset = Note.objects.all() # 指定 queryset
    serializer_class = NoteSerializer # 指定序列化类

确保你已经以管理员身份成功登录后台, 然后访问 http://localhost:8000/api/notes/

你应该能看到已经创建的 notes 数据,还能添加新的 note 数据。

4. 认证和权限

为了便于研究认证和权限,需要在后台管理面板中创建新用户。(你只需要添加用户名和密码就可以了。)

然后在 project/urls.py 文件中的 urlpatterns 列表中添加以下内容:

path('auth/', include('rest_framework.urls')),

这样就能确保我们拥有可以使用 django_rest 登录的请求路径。你会在右上角看到一个根据用户名显示的向下的箭头:

点击它可以注销用户,也能切换用户。

现在有一个很明显的问题,就是说每个用户都能看到其他用户的 notes 数据。 更糟糕的是,未登录的用户也能看到甚至创建 note 数据。(你可以先登录然后访问 http://localhost:8000/api/notes/ 来验证这个问题。)

让我们来解决这个问题。

为什么未登录的用户也有权访问 notes 数据呢?因为我们在 rest_framework 设置了 AllowAny。所以需要进入 project/settings.py 文件,进行以下更改:

# project/settings.py

REST_FRAMEWORK = {                
    "DEFAULT_PERMISSION_CLASSES":
        ["rest_framework.permissions.IsAuthenticated",], # 修改权限为认证过才能访问             
    "DEFAULT_PARSER_CLASSES":["rest_framework.parsers.JSONParser",],          
}

然后尝试访问 http://localhost:8000/api/notes/

你应该无法看到任何 notes 数据了, 但是会收到一条消息:“detail”: “Authentication credentials were not provided.”(未提供认证凭据)

重新登录,你会看到 notes 相关数据。我们该如何解决登录用户可以查看其他用户的 notes 数据这一问题呢?

对 notes/views.py 文件做出以下更改:

# notes/views.py

from rest_framework import viewsets
from rest_framework import permissions
from .models import Note
from .serializers import NoteSerializer
from rest_framework.exceptions import PermissionDenied

class IsOwner(permissions.BasePermission):# 权限校验

    def has_object_permission(self, request, view, obj):
        return obj.owner == request.user

class NoteViewSet(viewsets.ModelViewSet):
    serializer_class = NoteSerializer
    permission_classes = (IsOwner,)

    # 确保用户只能看到自己的 Note 数据。
    def get_queryset(self):
        user = self.request.user
        if user.is_authenticated:
            return Note.objects.filter(owner=user)
        raise PermissionDenied()

    # 设置当前用户为 Note 对象的所有者
    def perform_create(self, serializer):
        serializer.save(owner=self.request.user)

我们在类中移除了 queryset 属性并重写了 get_queryset 方法,这样就可以过滤 notes 数据,确保只返回属于当前用户的 note 数据。

此外我们添加了一个 IsOwner 类,用于权限校验。这样就能确保用户只能修改(更新 / 删除)他自己的相关数据。

最后我们重写了 perform_create 方法,这样就能保证创建一个新的 note 对象时,它的所有者始终是当前用户。

如果你访问 http://localhost:8000/api/notes/ ,那应该只能看到属于当前登录用户的 notes 数据。如果你尝试创建一个新的 note 对象,并将它的所有者设置为其他用户(非当前登录用户),也能成功创建 note 对象,但无论如何,这个 note 对象中的所有者仍然会是当前登录用户。

完成这些修改之后,由于用户只能处理自己的 note 数据,所以我们需要在序列化类中删除 owner 字段。对 notes/serializers.py 文件做出如下更改:

# notes/serializers.py

from rest_framework import serializers
from .models import Note

class NoteSerializer(serializers.ModelSerializer):
    class Meta:
        fields = ("id", "title", "content") # 删除 owner 字段
        model = Note

我们现在已经实现了权限和认证功能,但 django_rest 仍然在使用 session 认证方式。

我们想要实现的是,对于任何客户端,无论是浏览器端还是其他客户端,都能够进行用户注册,登录,注销,在任何地方都能进行认证。为此,我们将使用 JWT 认证方式。

5. 加入 JWT

为了用 JWT 实现 token (令牌) 认证,我们将要用到一个库, Simple JWT:

$ pip install djangorestframework_simplejwt

然后我们需要在 project/settings.py 文件中,将其添加到认证类的列表中:

# project/settings.py

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [ 
        'rest_framework.permissions.IsAuthenticated',
    ],
    "DEFAULT_PARSER_CLASSES": [
        "rest_framework.parsers.JSONParser", 
    ],
    "DEFAULT_AUTHENTICATION_CLASSES": [                 
        "rest_framework.authentication.SessionAuthentication",        # 新添加
        "rest_framework_simplejwt.authentication.JWTAuthentication",  # 新添加 
    ],
}

并且添加一个新端点到 project/urls.py 文件中:

# project/urls.py

from django.contrib import admin
from django.urls import path, include
from rest_framework_simplejwt.views import TokenObtainPairView, TokenRefreshView

urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/', include('notes.urls')),
    path('auth/', include('rest_framework.urls')),
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'), # 新添加
    path('api/refresh/', TokenRefreshView.as_view(), name='token_refresh'),      # 新添加
]

这些新的端点提供了用户登录所需要的一些东西。登录路由应当为 /api/token/。而 /api/refresh/ 路由则用于在旧的 token (令牌) 过期前获取新的 token (令牌)。

事实上,我们并不需要为退出登录设置一个端点,因为服务器并不会维护这个状态。退出登录,我们只需要删除客户端上的 token (令牌) 值就行。token (令牌) 就会 "自动" 过期失效(可以使用 Simple JWT 设置来设置时间)。

但是我们眼下还缺少的是注册用户和返回 JWT token 的方法。

用户注册
这不属于 Notes 应用,因为这是另一个域,即身份验证。 因此,我们将从创建一个新应用 jwtauth 开始:

$ python manage.py startapp jwtauth

将应用添加到 project/settings.py:

# project/settings.py

INSTALLED_APPS = [
    "django.contrib.admin",
    "django.contrib.auth",
    "django.contrib.contenttypes",
    "django.contrib.sessions",
    "django.contrib.messages", 
    "django.contrib.staticfiles",
    "rest_framework",
    "corsheaders",
    "notes",
    "jwtauth", # 新添加
]

接下来我们需要序列化 User 对象。新建 jwtauth/serializers.py:

# jwtauth/serializers.py

from django.contrib.auth import get_user_model
from rest_framework import serializers

User = get_user_model()

class UserCreateSerializer(serializers.ModelSerializer):
    password = serializers.CharField(write_only=True, required=True, style={
                                     "input_type":   "password"})
    password2 = serializers.CharField(
        style={"input_type": "password"}, write_only=True, label="Confirm password")

    class Meta:
        model = User
        fields = [
            "username",
            "email",
            "password",
            "password2",
        ]
        extra_kwargs = {"password": {"write_only": True}}

    def create(self, validated_data):
        username = validated_data["username"]
        email = validated_data["email"]
        password = validated_data["password"]
        password2 = validated_data["password2"]
        if email and User.objects.filter(email=email).exclude(username=username).exists():
            raise serializers.ValidationError(
                {"email": "Email addresses must be unique."})
        if password != password2:
            raise serializers.ValidationError(
                {"password": "The two passwords differ."})
        user = User(username=username, email=email)
        user.set_password(password)
        user.save()
        return user

我们将使用 Django 自带的 User 模型,通过 get_user_model () 方法来调用。用这种方式导入是一个好的习惯,而不是直接导入 User 模型,因为这可以保证尽管我们已经对其进行了自定义,我们也能得到当前有效的用户模型。

我们也可以重写 create () 方法,并检验确认密码是否一致,以及没有其他用户使用同一个邮箱地址。

接下来我们要添加一个视图到 jwtauth/views.py 中:

# jwtauth/views.py

from django.contrib.auth import get_user_model
from rest_framework import permissions
from rest_framework import response, decorators, permissions, status
from rest_framework_simplejwt.tokens import RefreshToken
from .serializers import UserCreateSerializer

User = get_user_model()

@decorators.api_view(["POST"])
@decorators.permission_classes([permissions.AllowAny])
def registration(request):
    serializer = UserCreateSerializer(data=request.data)
    if not serializer.is_valid():
        return response.Response(serializer.errors, status.HTTP_400_BAD_REQUEST)  
    user = serializer.save()
    refresh = RefreshToken.for_user(user)
    res = {
        "refresh": str(refresh),
        "access": str(refresh.access_token),
    }
    return response.Response(res, status.HTTP_201_CREATED)

这是我们首次使用基于 view 的函数视图而不是基于 view 的类视图。我们选择一个函数视图是因为它只需要响应 POST 这个 http 动词,并且我们使用了装饰器来确保它,以及设置了 settings.py 文件中定义的权限中的异常,以允许任何人仅访问此端点。

我们进行检查以查看序列化程序是否已验证了我们获得的数据,如果未返回,则返回错误对象。 如果一切正常,我们将保存序列化程序,该序列化程序将返回新创建的用户对象。 然后,我们可以获得该用户的 JWT 令牌并返回它。

我们需要创建一个 urls 文件,并向其中添加视图, jwtauth/urls.py:

# jwtauth/urls.py

from django.conf.urls import path
from .views import registration

urlpatterns = [
    path('register/', registration, name='register')
]

最后,在 project /urls.py 中包含 jwtauth 路由:

# project/urls.py

from django.contrib import admin
from django.urls import path, include
from rest_framework_simplejwt.views import TokenObtainPairView, TokenRefreshView

urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/', include('notes.urls')),
    path('auth/', include('rest_framework.urls')),
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('api/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
    path('api/jwtauth/', include('jwtauth.urls'), name='jwtauth'), # 新添加
]

就是这样,我们现在会有一个新的端点: http://localhost:8000/api/jwtaut/register/

我们可以在 Postman 中测试一下:

如果验证通过,它将返回带有刷新以及访问令牌的对象。

6. 添加 Swagger 文档

最后我们要做的事情就是添加 Swagger 文档,这样 API 用户才能看到哪些端点是可用的。

$ pip install django-rest-swagger

将其添加到 project/settings.py 的 INSTALLED_APPS 列表中。在 REST_FRAMEWORK 设置中还包括新的 DEFAULT_SCHEMA_CLASS:

# project/settings.py

INSTALLED_APPS = [
    "django.contrib.admin",
    "django.contrib.auth",
    "django.contrib.contenttypes",
    "django.contrib.sessions",
    "django.contrib.messages",
    "django.contrib.staticfiles",
    "rest_framework",
    "rest_framework_swagger", # 新添加
    "corsheaders",
    "notes",
    "jwtauth",
]

REST_FRAMEWORK = {
    "DEFAULT_PERMISSION_CLASSES": ["rest_framework.permissions.IsAuthenticated",],
    "DEFAULT_AUTHENTICATION_CLASSES": [
        "rest_framework_simplejwt.authentication.JWTAuthentication",
        "rest_framework.authentication.SessionAuthentication",
    ],
    "DEFAULT_PARSER_CLASSES": ["rest_framework.parsers.JSONParser",],
    "DEFAULT_SCHEMA_CLASS": "rest_framework.schemas.coreapi.AutoSchema", # 新添加
}

也将其包含在你的 project/urls.py 文件中。最后我们还要做一些重构。现在刷新和令牌是单独的两个端点。因为他们都是与用户验证有关的,最好让他们都在 jwtauth 应用中。让我们将他们移到一起,同时也向文档添加一个路由。

# project/urls.py

from django.contrib import admin
from django.urls import path, include
from rest_framework_swagger.views import get_swagger_view
schema_view = get_swagger_view(title="Notes API")
urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/', include('notes.urls')),
    path('auth/', include('rest_framework.urls')),
    path('api/jwtauth/', include('jwtauth.urls'), name='jwtauth'),
    path('api/docs/', schema_view),
]

然后将刷新和令牌放到 jwtauth/urls.py 中:

# jwtauth/urls.py

from django.urls import path
from rest_framework_simplejwt.views import TokenObtainPairView, TokenRefreshView
from .views import registration

urlpatterns = [
    path("register/", registration, name="register"),
    path("token/", TokenObtainPairView.as_view(), name="token_obtain_pair"),
    path("refresh/", TokenRefreshView.as_view(), name="token_refresh"),
]

去 http://localhost:8000/api/docs/ 看到完整的 API 列表。你也应该能看到令牌端点现在属于 /jwtauth 组中。

就是这样。你现在拥有一个功能齐全的 Notes API 了,客户端可以在任何地方访问它。

Copyright: 采用 知识共享署名4.0 国际许可协议进行许可

Links: https://cangmang.xyz/articles/1642775284388