在Django企业级应用开发中,JWT Token认证已成为现代API安全的主流方案。相比传统的Session认证,JWT提供了无状态、跨域等优势。
核心实现步骤
首先安装依赖:
pip install djangorestframework djangorestframework-simplejwt
配置settings.py:
INSTALLED_APPS = [
'rest_framework',
'rest_framework_simplejwt',
]
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
from datetime import timedelta
SIMPLE_JWT = {
'ACCESS_TOKEN_LIFETIME': timedelta(minutes=60),
'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
}
与Session认证对比
| 特性 | JWT Token | Session |
|---|---|---|
| 无状态 | ✅ | ❌ |
| 跨域支持 | ✅ | ❌ |
| 存储开销 | ❌ | ✅ |
| 服务扩展 | ✅ | ❌ |
JWT认证特别适合微服务架构,可避免Session同步问题。但需注意Token的过期和刷新机制设计,确保用户体验与安全性平衡。
讨论