Django REST Framework SimpleJWT中解决TokenUser权限属性缺失问题

在使用Django REST Framework SimpleJWT进行JWT认证时，开发者可能会遇到一个典型问题：当使用JWTStatelessUserAuthentication认证方式时，request.user返回的是TokenUser实例而非数据库中的真实User模型，这会导致is_superuser和is_staff等权限属性始终返回False。

问题背景

在DRF项目中配置了如下认证方式：

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTStatelessUserAuthentication',
    )
}

这种配置下，即使用户在数据库中确实是超级用户(is_superuser=True)或员工用户(is_staff=True)，通过request.user获取的用户对象也无法正确反映这些权限属性。这在实现基于用户角色的数据过滤时会造成严重问题。

问题分析

JWTStatelessUserAuthentication的设计初衷是为了实现无状态认证，它不会每次请求都查询数据库。因此它返回的TokenUser对象只包含JWT令牌中编码的基本用户信息，默认不包含权限相关字段。

解决方案

方案一：数据库查询（临时方案）

可以通过用户ID从数据库重新获取完整用户对象：

from django.contrib.auth import get_user_model

User = get_user_model()
user = User.objects.get(id=request.user.pk)

这种方法简单直接，但会带来额外的数据库查询开销，失去了无状态认证的性能优势。

方案二：自定义令牌声明（推荐方案）

更优雅的解决方案是通过自定义令牌声明将权限信息包含在JWT中：

1. 创建自定义令牌生成器：

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer

class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
    @classmethod
    def get_token(cls, user):
        token = super().get_token(user)
        token['is_superuser'] = user.is_superuser
        token['is_staff'] = user.is_staff
        return token

2. 在配置中指定自定义序列化器：

SIMPLE_JWT = {
    'TOKEN_OBTAIN_SERIALIZER': 'path.to.CustomTokenObtainPairSerializer',
}

这样生成的JWT令牌将包含权限信息，TokenUser实例也会相应拥有这些属性。

最佳实践建议

1. 根据项目需求权衡状态和无状态认证：如果需要完整的用户信息，可以考虑使用JWTAuthentication代替JWTStatelessUserAuthentication

2. 合理设计JWT声明：不要过度增加JWT负载，只包含必要的业务字段

3. 考虑缓存机制：如果采用数据库查询方案，可以引入缓存减少查询开销

4. 前端处理：某些情况下可以将用户权限信息单独存储在客户端，减少后端压力

总结

通过自定义JWT声明解决TokenUser权限属性缺失问题是最符合无状态认证理念的方案。开发者应根据具体业务场景选择最适合的认证策略，在安全性和性能之间取得平衡。理解SimpleJWT的工作原理有助于更好地利用这一强大的认证工具。