Как интегрировать аутентификацию JWT с файлами cookie HttpOnly в проекте Django, который уже использует сеансы, сохраняя ⇐ Html

[Anonymous]

В настоящее время у меня есть монолитный проект Django, который использует систему аутентификации Django на основе сеансов для традиционных представлений (login_required, промежуточное программное обеспечение сеанса и т. д.).
Недавно я добавил новое приложение в тот же проект (также в том же каталоге шаблонов), которое взаимодействует с серверной частью через API REST (Django REST Framework) и использует аутентификацию JWT с HttpOnly файлы cookie.
Цель состоит в том, чтобы обе части (старая и новая) сосуществовали:
Устаревшие разделы должны продолжать работать с обычной аутентификацией на основе сеанса.
Новое приложение должно использовать JWT-аутентификацию для доступа к защищенным API.
Проблема, с которой я столкнулся, заключается в том, как правильно обрабатывать разрешения и роли в обоих случаях. системы аутентификации (сессии и JWT) без дублирования логики или нарушения совместимости.
Вот чего я хочу добиться:
Роли и разрешения (например, X, Y, Z) должны определяться централизованно в серверной части (либо с использованием групп Django, либо пользовательской ролевой модели).
В серверной части следует использовать традиционные представления @login_required, тогда как представления API должны использовать JWTAuthentication с настраиваемыми классами разрешений.
Во внешнем интерфейсе я хочу показывать или скрывать разделы, подменю или информацию в зависимости от ролей и разрешений аутентифицированного пользователя. (Как мне правильно это интегрировать?)
Все это должно работать в одном проекте Django и одном и том же шаблоне base.html (т. е. новое приложение не является отдельным проектом).
Кроме того, я хочу обеспечить надлежащую безопасность:
Токены JWT хранятся только в HttpOnly, Secure, SameSite=Строгие файлы cookie.
Токены не должны быть доступны в localStorage или sessionStorage.

Подробнее здесь: https://stackoverflow.com/questions/797 ... project-th