Django REST Framework SimpleJWT 集成 AWS Cognito 配置指南

在 Django 项目中集成 AWS Cognito 身份验证服务时，使用 django-rest-framework-simplejwt 库是一个常见的选择。本文将详细介绍如何正确配置 SimpleJWT 以支持 AWS Cognito 的 JWT 验证流程。

核心配置参数

要使 SimpleJWT 与 AWS Cognito 协同工作，需要在 Django 的 settings.py 文件中进行以下关键配置：

SIMPLE_JWT = {
    'ALGORITHM': 'RS256',
    'USER_ID_CLAIM': 'username',
    'USER_ID_FIELD': 'username',  # 对应 Django 用户模型中的字段
    'TOKEN_TYPE_CLAIM': 'token_use',
    'ISSUER': 'https://cognito-idp.<aws-region>.amazonaws.com/<user-pool-id>',
    'JWK_URL': 'https://cognito-idp.<aws-region>.amazonaws.com/<user-pool-id>/.well-known/jwks.json',
}

配置要点解析

1. 算法选择：必须设置为 'RS256'，这是 AWS Cognito 使用的标准 RSA 签名算法。

2. 用户标识映射：

   • USER_ID_CLAIM：指定 JWT payload 中哪个字段包含用户唯一标识
   • USER_ID_FIELD：对应 Django 用户模型中存储该标识的字段

3. Token 类型声明：TOKEN_TYPE_CLAIM 设置为 'token_use'，这是 Cognito 特有的声明字段。

4. 签发者验证：ISSUER 必须与 Cognito 用户池的颁发者 URL 完全匹配。

5. 公钥获取：JWK_URL 指向 Cognito 提供的 JWK 集端点，用于验证 JWT 签名。

重要注意事项

• 避免设置 AUDIENCE：AWS Cognito 的访问令牌默认不包含 audience 声明，设置 AUDIENCE 会导致验证失败。

• 用户模型匹配：确保 Django 用户模型中有一个字段能够存储 Cognito 返回的用户标识（通常是 'username' 或 'sub'）。

• 区域和用户池ID：配置中的 <aws-region> 和 <user-pool-id> 需要替换为实际的 AWS 区域和用户池 ID。

视图层集成

在视图层集成非常简单，只需在视图类中添加 JWTAuthentication 即可：

from rest_framework_simplejwt.authentication import JWTAuthentication

class MySecureViewSet(viewsets.GenericViewSet):
    authentication_classes = [JWTAuthentication]
    # 其他视图配置...

通过以上配置，Django 应用就能够正确验证来自 AWS Cognito 的 JWT 令牌，实现安全的身份验证流程。这种集成方式既保持了 Django 原有的用户模型体系，又能够利用 AWS Cognito 强大的身份管理功能。