在实际Web应用开发中，JSON Web Tokens (JWT) 作为一种轻量级的身份验证和授权机制被广泛应用。本篇文章将指导大家如何在使用Python Flask框架时结合Flask-JWT-Extended库来实现JWT的认证和授权流程，并通过具体代码示例深入理解其实现原理。

环境配置与依赖安装

首先确保已经安装了Flask及其相关扩展：

pip install flask flask-jwt-extended初始化Flask应用及配置JWT扩展from flask import Flaskfrom flask_jwt_extended import JWTManagerapp = Flask(__name__)jwt = JWTManager(app)# 在配置字典中设置密钥和其他选项app.config['JWT_SECRET_KEY'] = 'your-secret-key-here' # 需要替换为实际的密钥app.config['JWT_ACCESS_TOKEN_EXPIRES'] = 3600 # 设置Access Token过期时间（单位：秒）jwt.init_app(app)用户认证模型与注册登录接口

假设有一个简单的User模型和对应的数据库操作，我们需要创建登录接口生成JWT令牌：

from flask_jwt_extended import create_access_token@app.route('/login', methods=['POST'])def login(): username = request.json.get('username') password = request.json.get('password') # 模拟从数据库验证用户名和密码 user = validate_user_credentials(username, password) if user is not None: # 成功验证后，生成JWT Access Token access_token = create_access_token(identity=user.id) return {'access_token': access_token}, 200 else: return {'error': 'Invalid credentials'}, 401def validate_user_credentials(username, password): # 实际情况下，此函数应该查询数据库并验证用户凭据 # 这里仅做模拟，若匹配则返回用户ID if username == 'test' and password == 'test_password': return 1 return None保护API资源并实现权限控制

接下来，我们将使用@jwt_required()装饰器保护特定API资源，只有携带有效JWT令牌的请求才能访问：

from flask_jwt_extended import jwt_required, get_jwt_identity@app.route('/protected', methods=['GET'])@jwt_required()def protected(): current_user_id = get_jwt_identity() # 获取JWT中存储的用户ID return f"Hello, User with ID: {current_user_id}!"# 示例：更复杂的权限控制from flask_jwt_extended import fresh_jwt_required, jwt_required, get_jwt_claims@app.route('/admin-only', methods=['GET'])@fresh_jwt_required(groups=['admin']) # 只允许具有'admin'角色的用户访问def admin_only(): claims = get_jwt_claims() # 获取JWT中的自定义声明 return f"Welcome, Admin with roles: {claims['roles']}!"自定义JWT Claims与角色验证

为了实现更细粒度的权限控制，我们可以向JWT中添加自定义声明：

from flask_jwt_extended import create_access_token, set_access_cookies, unset_jwt_cookiesdef create_jwt_for_user(user_id, roles): payload = {'identity': user_id, 'roles': roles} token = create_access_token(identity=payload) return token# 注册时或者登录时，根据用户的角色生成JWTtoken = create_jwt_for_user(user_id=1, roles=['user', 'admin'])# 当前只展示了如何生成带有自定义声明的JWT，实际上应将其返回给客户端保存

通过以上步骤，我们成功地在Flask应用中实现了基于JWT的用户认证与授权机制。Flask-JWT-Extended库不仅简化了令牌的生成和验证过程，还提供了多种实用的功能如刷新令牌、黑listing令牌等，从而帮助我们在Python Web应用中实现安全可靠的用户身份管理。

关注我，手把手带你快速入门Python Web编程！