DjangoJWT无状态验证教程：simplejwt使用详解

本文深入剖析了 Django 中使用 djangorestframework-simplejwt 实现无状态 JWT 认证的常见陷阱与实战解决方案：从因 Authorization 头格式不规范（如误用 JWT 前缀或遗漏 Bearer）导致的静默 401 错误，到 CSRF/SessionAuthentication 干扰引发的认证失效；从 refresh token 未自动失效的安全隐患及黑名单配置要点，到自定义 access token 载荷添加角色、部门等业务字段的正确方式；再到 Nginx 部署时 Authorization 头神秘丢失的底层原因与精准修复策略——每一步都直击生产环境真实痛点，帮你避开“登录成功却总 401”的困惑，真正落地安全、可靠、可维护的 JWT 认证体系。

为什么直接用 SimpleJWT 的默认配置会登录成功但后续请求总返回 401？

因为默认只接受 Authorization: Bearer 格式，而前端常误传成 Authorization: JWT 或漏掉 Bearer 前缀。Django REST Framework 不会自动 fallback，也不会报具体原因，只静默拒绝。

实操建议：

• 在前端 axios 或 fetch 中严格确保请求头为 headers: {'Authorization': `Bearer ${access_token}`}
• 后端可临时加日志验证：重写 SimpleJWTTokensView 的 get_tokens_for_user，或在 middleware 中打印 request.META.get('HTTP_AUTHORIZATION')
• 检查是否启用了 CSRF 验证干扰——JWT 是无状态的，SessionAuthentication 和 CSRFToken 必须从 DEFAULT_AUTHENTICATION_CLASSES 中移除

如何让 refresh 接口真正“刷新”而不是返回新 token 后旧 token 还能用？

SimpleJWT 默认不黑名单旧 refresh token，只要它没过期，就一直有效。这不符合安全预期。

实操建议：

• 启用 ROTATE_REFRESH_TOKENS = True 和 BLACKLIST_AFTER_ROTATION = True（需同时开启）
• 安装并运行 django-redis 或 django-cache 作为黑名单后端，否则 blacklist 表不会被写入
• 确保数据库迁移已执行：python manage.py migrate（simplejwt 提供了 BlacklistedToken 模型）
• 注意：refresh token 一旦被使用且启用旋转，原 token 就立即失效；但 access token 仍按自身有效期运行，无法强制提前作废

如何自定义 access_token 的 payload 加入用户角色或部门字段？

不能直接改 TokenObtainPairView 返回值，必须继承并重写 get_token 方法，再在 token 实例上添加字段。

实操示例：

from rest_framework_simplejwt.views import TokenObtainPairView
from rest_framework_simplejwt.tokens import AccessToken
<p>class CustomTokenObtainPairView(TokenObtainPairView):
@classmethod
def get_token(cls, user):
token = super().get_token(user)</p><h1>加入自定义字段</h1><pre class="brush:python;toolbar:false;">    token['role'] = user.profile.role  # 假设 profile 是 OneToOne 关联
    token['dept_id'] = user.profile.dept_id
    return token

注意：

• 字段值必须是 JSON 序列化安全类型（str/int/bool/list/dict），不能放 model 实例或 datetime 对象
• 不要在 payload 放敏感信息（如密码哈希、身份证号），JWT 是 Base64 编码，非加密
• 前端可通过 jwt_decode（如 js-jwt）直接读取这些字段，无需额外 API 调用

为什么生产环境部署 Nginx 后，Authorization 头突然丢失？

Nginx 默认过滤掉带下划线或特殊字符的 header，Authorization 虽然合法，但在某些旧版配置中会被 proxy_pass 丢弃。

实操修复：

• 在 Nginx 的 location 块中显式透传：proxy_set_header Authorization $http_authorization;
• 同时补上：proxy_pass_request_headers on;
• 如果用的是 uWSGI，还需确认 uwsgi_pass_request_headers = true
• 验证方式：在 view 中打印 request.META.get('HTTP_AUTHORIZATION')，部署前后对比输出

复杂点在于，这个丢失是静默的——Django 根本收不到 header，所以连 401 都不会返回，而是直接走未认证逻辑。最容易被忽略的是没检查 Nginx access log 中的原始请求头。

今天关于《DjangoJWT无状态验证教程：simplejwt使用详解》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！