Django REST framework SimpleJWT 中 TokenUser 权限属性缺失问题解析

在使用 Django REST framework SimpleJWT 进行 JWT 认证时，开发者可能会遇到一个常见问题：即使数据库中的用户是超级用户(is_superuser)或员工用户(is_staff)，但在请求对象(request.user)中这些属性却显示为 False。本文将深入分析这一现象的原因，并提供两种有效的解决方案。

问题根源分析

当使用 JWTStatelessUserAuthentication 作为认证类时，SimpleJWT 默认会返回一个 TokenUser 实例而非实际的 Django User 模型实例。TokenUser 是一个轻量级的用户对象，它直接从 JWT 令牌中解析用户信息，而不需要查询数据库。

这种设计虽然提高了性能（避免了每次请求都查询数据库），但也带来了一个问题：默认情况下，JWT 令牌中并不包含 is_superuser 和 is_staff 这样的权限属性，因此这些属性在 TokenUser 实例中默认为 False。

解决方案一：自定义令牌声明

更优雅的解决方案是通过自定义令牌声明，将这些权限属性包含在 JWT 令牌中：

1. 创建一个自定义的令牌生成类：

from rest_framework_simplejwt.serializers import TokenObtainPairSerializer

class CustomTokenObtainPairSerializer(TokenObtainPairSerializer):
    @classmethod
    def get_token(cls, user):
        token = super().get_token(user)
        
        # 添加自定义声明
        token['is_superuser'] = user.is_superuser
        token['is_staff'] = user.is_staff
        
        return token

2. 在 settings.py 中配置使用这个自定义序列化器：

SIMPLE_JWT = {
    'TOKEN_OBTAIN_SERIALIZER': 'path.to.CustomTokenObtainPairSerializer',
}

这样生成的 JWT 令牌将包含用户的权限信息，TokenUser 实例也会正确反映这些属性。

解决方案二：数据库查询

如果由于某些原因无法修改令牌声明，可以采用直接从数据库查询用户信息的方法：

from django.contrib.auth import get_user_model

User = get_user_model()

# 在视图中获取真实用户对象
user = User.objects.get(id=request.user.pk)

这种方法虽然能解决问题，但有以下缺点：

• 每次请求都需要额外的数据库查询，影响性能
• 违背了 JWT 无状态的初衷
• 在分布式系统中可能造成数据不一致

最佳实践建议

对于大多数应用场景，推荐采用第一种解决方案（自定义令牌声明），因为：

1. 保持了 JWT 的无状态特性
2. 避免了不必要的数据库查询
3. 一次性配置后全局生效
4. 更符合 JWT 的设计哲学

如果应用中有大量自定义用户属性需要访问，可以考虑将这些常用属性都包含在令牌声明中，但要注意 JWT 令牌的大小限制。

总结

理解 SimpleJWT 中 TokenUser 的工作原理对于正确处理用户权限至关重要。通过自定义令牌声明，我们可以灵活地控制哪些用户属性应该包含在 JWT 中，从而在保持无状态认证的同时，满足业务逻辑中对用户权限的验证需求。