当前位置：首页 > article >正文

Django 学习日记（补充1）| 彻底吃透：自定义 JWT 认证 + 全局登录中间件

article 2026/3/27 8:16:30

大家好这是我 Django 学习日记的第三篇。上一篇我们把路由、反向解析、DRF 自动路由、媒体文件、跨域全部讲明白了。今天我们进入整个项目最核心、最安全、最关键的部分用户登录认证体系在进入视图前的一篇补充文章。本文将从JWT 是什么→手写 JWT 生成→自定义 DRF 认证类→自定义全局登录中间件→白名单、匿名用户、异常处理全部逐行拆解。你开发中遇到的登录、token、中间件问题这一篇全部解决。一、本篇你能学到什么JWT 登录令牌如何生成自定义 DRF JWT 认证类逐行讲解自定义 Django 全局登录中间件企业级实战整个登录认证完整流程二、什么是 JWT为什么要用它一句话总结JWTJSON Web Token就是前端的 “登录身份证”。前后端分离项目中服务器不保存 session所以必须给前端发一个令牌登录成功 → 发放 JWT后续请求 → 携带 JWT服务器验证 JWT → 确认身份JWT 长这样plaintextaaaaa.bbbbb.ccccc分为三部分头部(声明加密算法)、载荷(存放自定义信息)、签名(对前两部分加密防止篡改)。三、第一步手写 JWT 生成函数我们先手写一个工具函数登录成功后生成 token。代码位置apps/oaauth/authentications.pypython运行import jwt import time from django.conf import settings # 生成 JWT Token def generate_jwt(user): # 过期时间7天 expire_time time.time() 60 * 60 * 24 * 7 # 传入用户ID 过期时间项目密钥(传入自定义内容即载荷) return jwt.encode( {userid: user.pk, exp: expire_time}, keysettings.SECRET_KEY )关键讲解返回格式是标准 JWT不是自定义userid 是我们自己存在 token 里的exp 是 JWT 标准过期字段必须使用 SECRET_KEY 密钥签名四、第二步自定义 DRF JWT 认证类这是 DRF 官方规范的认证类专门验证 JWT 是否合法。全代码import jwt import time from django.conf import settings from rest_framework.authentication import BaseAuthentication, get_authorization_header, TokenAuthentication from rest_framework import exceptions from jwt.exceptions import ExpiredSignatureError from .models import OAUser#这里根据自己的项目来定义我的用户模型定义为OAUser def generate_jwt(user): expire_time time.time() 60 * 60 * 24 * 7 return jwt.encode({userid: user.pk, exp: expire_time}, keysettings.SECRET_KEY) class UserTokenAuthentication(BaseAuthentication): def authenticate(self, request): # 这里的request是rest_framework.request.Request对象 # 这里最后返回的是Django的原生request请求而不是DRF封装过的request请求 return request._request.user, request._request.auth class JWTAuthentication(BaseAuthentication): #定义关键字 keyword JWT def authenticate(self, request): #JWT令牌内容为JWT空格生成的token auth get_authorization_header(request).split() #如果令牌格式不合法或者不存在JWT令牌不做JWT验证直接放行由后续流程统一处理 if not auth or auth[0].lower() ! self.keyword.lower().encode(): return None if len(auth) 1: msg 不可用的JWT请求头 raise exceptions.AuthenticationFailed(msg) elif len(auth) 2: msg 不可用的JWT请求头JWT Token中间不应该有空格 raise exceptions.AuthenticationFailed(msg) try: jwt_token auth[1] jwt_info jwt.decode(jwt_token, settings.SECRET_KEY, algorithmsHS256) userid jwt_info.get(userid) try: # 绑定当前user到request对象上 user OAUser.objects.get(pkuserid) setattr(request,user, user) return user, jwt_token except: msg 用户不存在 raise exceptions.AuthenticationFailed(msg) except ExpiredSignatureError: msg JWT Token已过期 raise exceptions.AuthenticationFailed(msg)可能的疑问1. auth get_authorization_header(request).split()获取请求头并分割成[JWT, token字符串]2. if not auth or ... return None不是报错是跳过交给下一个认证类处理3. 为什么 len (auth) 必须等于 2因为格式必须是JWT xxxxxxx4. jwt.decode 三个参数干什么jwt_token要解码的 tokenSECRET_KEY必须用项目密钥验证防篡改HS256加密算法5. return user, jwt_tokenPython 支持返回多个值 → 本质返回元组DRF 认证类必须这样返回五、第三步桥接中间件与 DRF 的认证类class UserTokenAuthentication(BaseAuthentication): def authenticate(self, request): # 直接拿中间件已经验证好的用户 return request._request.user, request._request.auth UserTokenAuthentication 这个类的作用将 DRF 包装的 request 对象降级获取到 Django 原生 request 对象从中取出中间件已经验证好的 user 和 auth 返回给 DRF 框架使用。核心讲解在 DRF 框架中视图收到的 request 并不是 Django 原生 request而是 DRF 经过包装、增强后的rest_framework.request.Request对象。但我们的登录中间件是 Django 层面的中间件它把登录用户绑定到了原生 Django request 对象上。因此我们需要一个 “桥接” 的认证类这个类不做任何验证只负责 “桥接”从原生 request 中取出用户 → 交给 DRF 认证体系。六、最核心自定义 Django 全局登录中间件这是本篇最重点、最实战、企业级必用的部分。代码位置apps/oaauth/middlewares.py完整代码from django.utils.deprecation import MiddlewareMixin from rest_framework.authentication import get_authorization_header from rest_framework import exceptions import jwt from django.conf import settings from django.contrib.auth import get_user_model from django.http.response import JsonResponse from rest_framework.status import HTTP_403_FORBIDDEN from jwt.exceptions import ExpiredSignatureError from django.contrib.auth.models import AnonymousUser OAUser get_user_model() class LoginCheckMiddleware(MiddlewareMixin): keyword JWT def __init__(self, *args, **kwargs): super().__init__(*args, **kwargs) # 白名单不需要登录就能访问 self.white_list [/auth/login, /staff/active] #先判断是否有令牌有则进行令牌校验否则直接抛出异常(因为没令牌说明没登录) def process_view(self, request, view_func, view_args, view_kwargs): # 白名单判断 if request.path in self.white_list: request.user AnonymousUser() request.auth None return None # 开始校验 JWTtry 里面全部是登录校验 try: auth get_authorization_header(request).split() if not auth or auth[0].lower() ! self.keyword.lower().encode(): raise exceptions.ValidationError(请传入JWT) # 格式判断 if len(auth) 1: raise exceptions.AuthenticationFailed(无效的JWT请求头) elif len(auth) 2: raise exceptions.AuthenticationFailed(JWT不能包含空格) # 解码 jwt_token auth[1] jwt_info jwt.decode(jwt_token, settings.SECRET_KEY, algorithms[HS256]) userid jwt_info.get(userid) user OAUser.objects.get(pkuserid) # 绑定用户 request.user user request.auth jwt_token # 验证失败 → 未登录 except Exception as e: return JsonResponse({detail: 请先登录}, statusHTTP_403_FORBIDDEN)七、中间件逐行拆解1. 为什么中间件要放在 oaauth 用户模块因为登录认证属于用户模块职责中间件强依赖用户模型企业级规范谁管理登录中间件就放谁那2. 为什么必须用 get_user_model ()因为中间件加载时模型还未初始化直接导入会报错3.init方法干什么初始化白名单登录页面、激活页面必须放行否则永远无法登录。白名单在 __init__ 中只初始化一次提高效率。4. super().init干什么调用父类构造方法必须写不写中间件报错5. 白名单代码到底干什么if request.path in self.white_list: request.user AnonymousUser() request.auth None return None讲解白名单接口不验证登录必须设置匿名用户保证视图 request.user 一定存在return None →放行继续执行视图6. 为什么要匿名用户Django 所有视图默认request.user一定存在不设置会直接崩溃。7. try 里面的代码干什么对非白名单接口进行 JWT 登录校验8. try 失败为什么代表未登录因为没有 Token / Token 错误 / Token 过期未登录9. 为什么返回 JsonResponse给前端返回标准 JSON 错误提示八、整个登录认证执行流程前端请求 → 中间件白名单→ 放行非白名单→ JWT 校验校验成功→ 绑定用户校验失败→ 返回请先登录中间件通过 → DRF 认证类直接拿中间件的用户DRF 认可登录状态九、中间件注册必须配置settings.pyMIDDLEWARE [ ... apps.oaauth.middlewares.LoginCheckMiddleware,#放在所有中间件最后 ]十、DRF 认证配置python运行REST_FRAMEWORK { DEFAULT_AUTHENTICATION_CLASSES: [ apps.oaauth.authentications.UserTokenAuthentication, ] }十一、本篇总结JWT 就是登录身份证generate_jwt 生成令牌JWTAuthentication 验证令牌中间件做全局登录拦截白名单放行登录接口匿名用户保证视图不崩溃return None 代表放行我的分享到这里就结束了如有错误欢迎指正

Django 学习日记（补充1）| 彻底吃透：自定义 JWT 认证 + 全局登录中间件

相关文章：

Django 学习日记（补充1）| 彻底吃透：自定义 JWT 认证 + 全局登录中间件

OpenCV实战：用Python+SIFT+八点算法搞定双目视觉匹配（附完整代码）

HunyuanVideo-Foley部署案例：混合精度（FP16/AMP）推理性能实测报告

手指划过屏幕放大模型界面，环氧树脂层和纤维基体在激光路径下呈现出清晰的物理场分布。突然发现这个双层材料烧蚀模型跑得格外顺畅——看来前几天通宵调参没白费

精益生产方式的核心功能拆解：精益生产方式如何解决多品种小批量场景下的库存积压难题

从sipML5到现代框架：FreeSWITCH WebRTC客户端升级指南与选型建议

3个高级技巧：用ScintillaNET构建专业级文本编辑器的实战指南

RTX 4090显卡福利：Qwen2.5-VL-7B-Instruct轻量化部署，支持对话历史管理

大多数加密API都不够用：量化团队真正需要的数据到底是什么？

Xinference-v1.17.1智能家居控制系统开发

LyricsX：macOS平台的多源歌词同步与显示技术方案

重磅：中科院分区退出历史！| 附2026年《新锐期刊分区表》完整版EXCEL.

Pixel Fashion Atelier部署教程：Stable Diffusion像素时装生成工作站保姆级安装指南

别再乱改文件夹权限了！深入理解IIS应用程序池标识与ASP.NET临时目录的权限管理

FINCH聚类算法实战：5分钟搞定无参数聚类（附Python代码）

NaViL-9B图文问答入门：Web界面支持拖拽上传+历史记录回溯功能

Python实战：5分钟搞定Paillier同态加密的安装与基础使用（附避坑指南）

SDMatte高可用集群部署：基于Kubernetes的弹性伸缩方案

Qwen2-VL-2B-Instruct性能优化：Web服务并发请求处理与队列管理

JavaScript动态交互：在网页中实时调整参数并预览LiuJuan生成效果

Pixelorama：免费开源的2D精灵编辑器终极指南

2026年多模态AI前瞻：Qwen3-VL-2B开源生态发展潜力分析

每日一题力扣 3548. 等和矩阵分割 II 前缀和哈希表 C++ 题解

Cogito-v1-preview-llama-3B效果展示：中英日法等30+语言生成质量对比

PasteMD真实案例分享：从零散笔记到结构化学习计划的全过程

[260326] x-cmd v0.8.10：跨 Shell 统一配置命令短名；自动装好依赖运行 WhisperLiveKit 实时语音转写

Qwen2.5-VL-7B-Instruct镜像免配置教程：开箱即用的视觉语言推理平台

SOONet与Transformer架构深度解析：提升长视频理解精度的核心技术

NaViL-9B图文理解入门：支持中英文混合提问的实测案例

NaViL-9B实战手册：健康检查API与服务异常定位全流程