Django REST Framework 中实现密码重置与修改的完整指南

本文详解如何在 django rest framework 中实现用户密码重置（忘记密码）和密码修改功能，说明为何 drf 不内置这些 api、推荐的第三方方案及自定义实现要点。

本文详解如何在 django rest framework 中实现用户密码重置（忘记密码）和密码修改功能，说明为何 drf 不内置这些 api、推荐的第三方方案及自定义实现要点。

Django REST Framework（DRF）本身聚焦于构建灵活、可扩展的 API 层，并不直接提供“开箱即用”的业务级认证服务（如密码找回、邮箱验证、双因素登录等）。其设计哲学是：认证（Authentication）仅负责“你是谁”，而授权（Authorization）与用户生命周期管理（如密码重置）属于业务逻辑层，需由开发者根据实际场景定制。因此，/api/password/reset/ 或 /api/password/change/ 这类端点不会自动存在——这不是功能缺失，而是架构上的有意留白。

✅ 推荐方案：优先使用成熟第三方包

DRF 官方文档明确推荐了多个经生产验证的第三方认证扩展包，其中最常用的是：

• dj-rest-auth：轻量、活跃维护，原生支持 Login, Logout, Password Reset, Password Change, User Details 等标准端点，且与 Django 的 PasswordResetForm 和邮件后端无缝集成。
• django-allauth + dj-rest-auth：若需社交登录（Google/github）、邮箱确认等更复杂流程，建议组合使用。

安装与基础配置示例：

pip install dj-rest-auth django-allauth

# settings.py INSTALLED_APPS += [     'django.contrib.sites',     'allauth',     'allauth.account',     'dj_rest_auth',     'dj_rest_auth.registration', ]  SITE_ID = 1 EMAIL_BACKEND = 'django.core.mail.backends.console.EmailBackend'  # 开发时打印邮件内容 REST_AUTH = {     'USE_JWT': True,     'JWT_AUTH_httpONLY': False, }

# urls.py from django.urls import path, include  urlpatterns = [     path('api/auth/', include('dj_rest_auth.urls')),     path('api/auth/registration/', include('dj_rest_auth.registration.urls')), ]

此时将自动启用以下标准端点：

• POST /api/auth/password/reset/ → 提交邮箱触发重置邮件
• POST /api/auth/password/reset/confirm/ → 提交 uidb64 + Token + 新密码完成重置
• POST /api/auth/password/change/ → 需认证（Token/JWT），提交旧密码与新密码

⚠️ 注意事项：

• 生产环境务必配置真实的 EMAIL_BACKEND（如 SMTP 或 SendGrid）；
• dj-rest-auth 默认依赖 django.contrib.sites，SITE_ID=1 必须存在；
• JWT 模式下，password/change/ 要求请求头携带 Authorization: Bearer ；
• 所有密码重置链接默认为 HTTP 协议，如部署在 https 环境，需设置 ACCOUNT_DEFAULT_HTTP_PROTOCOL = ‘https’。

?️ 自定义实现（进阶）：何时以及如何动手写？

当项目有特殊需求时（例如：短信验证码重置、多步骤安全验证、审计日志强制记录），建议基于 DRF 的 APIView 或 ViewSets 自定义：

# views.py from django.contrib.auth.forms import SetPasswordForm from django.contrib.auth.tokens import default_token_generator from django.utils.http import urlsafe_base64_decode from rest_framework import status, generics from rest_framework.response import Response from rest_framework.permissions import IsAuthenticated  class PasswordChangeView(generics.UpdateAPIView):     permission_classes = [IsAuthenticated]     serializer_class = PasswordChangeSerializer  # 自定义序列化器校验旧密码      def update(self, request, *args, **kwargs):         serializer = self.get_serializer(data=request.data)         serializer.is_valid(raise_exception=True)         request.user.set_password(serializer.validated_data['new_password'])         request.user.save()         return Response({'detail': 'Password updated successfully.'})

核心原则：

• 复用 Django 内置密码逻辑（如 default_token_generator、PasswordResetForm）保证安全性；
• 所有敏感操作（如重置链接生成、密码哈希更新）必须在服务端完成，禁止前端参与 token 生成或密码明文传输；
• 始终对失败场景返回泛化提示（如“如果邮箱存在，您将收到重置邮件”），避免暴露用户注册状态。

总之，DRF 的“不提供”恰恰是其强大之处——它赋予你精确控制权。选择 dj-rest-auth 可快速落地标准流程；需要深度定制时，则依托 Django 安全基底自主构建。二者并非替代关系，而是演进路径。