drf 认证组件

1、认证组件源码执行流程

在该图中,我把与认证组件无关的代码都删除了,只留下了认证的代码,方便解析。每行注释的开头数字即代表了执行顺序



注意事项:
  1. 第5步中的self.authenticators获取流程:

    • 首先,明确self代表的是request对象。则self.authenticators相当于去request对象中寻找authenticators的值。
    • 其次,Request在实例化得到request对象时,在参数中可传入authenticators的值
    • 通过下图流程分析:self.authenticators其实就是在视图类中定义的authentication_classes(也可在drf的配置中默认设置)

  1. authentication_classes必须是一个列表(可迭代对象)

  2. 由于源码中指定了会执行authenticate方法,因此编写认证类时,认证函数名必须是authenticate,return时应该返回一个元组,且类需继承自BaseAuthentication

2. 实践:编写一个token认证类

假设token存储于数据库。另注意:实际工作中编写代码最好采用白名单模式

class UnAuthentication(BaseAuthentication): # 默认继承BaseAuthentication

    def authenticate(self, request):  # 认证函数名固定为authenticate

        # 获取token

        token = request.query_params.get("token")

        # 未传token

        if not token:

            return None

        # 数据库不存在该token

        user_object = models.UserInfo.objects.filter(token=token, status=1).first()

        if not user_object:

            return None

        # token过期

        if datetime.datetime.now() > user_object.token_expiry_date:

            return None

        return user_object, token  # 认证成功,返回元组

3. 扩展点:

从认证失败后的执行过程中可发现:即使认证失败了程序也不会报错,且会继续执行后面的视图函数:

# --------认证失败----------

    def _not_authenticated(self):

        self._authenticator = None

        if api_settings.UNAUTHENTICATED_USER:

            self.user = api_settings.UNAUTHENTICATED_USER()

        else:

            self.user = None

        if api_settings.UNAUTHENTICATED_TOKEN:

            self.auth = api_settings.UNAUTHENTICATED_TOKEN()

        else:

            self.auth = None

那么第一个需求来了,如果我需要在认证失败后,立即让程序报错并停止执行后面的代码,该如何重写呢?

(仅供参考)答案:直接在认证失败后主动抛出错误即可:

class TokenAuthentication(BaseAuthentication):

    def authenticate(self, request):

        # 获取token

        token = request.query_params.get("token")

        # 未传token

        if not token:

            raise AuthenticationFailed({"code": return_code.AUTH_FAILED, "error": "认证失败,token不存在"})

        # 数据库不存在该token

        user_object = models.UserInfo.objects.filter(token=token, status=1).first()

        if not user_object:

            raise AuthenticationFailed({"code": return_code.AUTH_FAILED, "error": "认证失败123"})

        # token过期

        if datetime.datetime.now() > user_object.token_expiry_date:

            raise AuthenticationFailed({"code": return_code.AUTH_OVERDUE, "error": "认证过期"})

        return user_object, token

第二个需求:如果前端传token时不规范,有时在请求头里传,有时在查询参数中传....,那么该如何应用认证组件进行校验呢?

(仅供参考)答案:既然源码中对认证类列表进行循环了,则直接编写多个认证类即可(有多个认证类时,建议不要直接raise,否则可能导致后面的认证类无法校验)

class QueryParamsAuthentication(BaseAuthentication):

    def authenticate(self, request):

        # 判断token是否正确

        # 1. 从查询参数获取token

        token = request.query_params.get("token")

        if not token:

            return

        # 2. 去数据库获取该token

        user_obj = models.UserInfo.objects.filter(token=token).first()

        # 有对象则认证成功,返回  request.user = 用户对象; request.auth = token

        if user_obj:

            return user_obj, token

        return

    def authenticate_header(self, request):

        # return 'Basic realm="API"'

        return "API"

class HeaderAuthentication(BaseAuthentication):

    def authenticate(self, request):

        # 判断token是否正确

        # 1. 从请求头获取token

        token = request.META.get("HTTP_AUTHORIZATION")

        if not token:

            return

        # 2. 去数据库获取该token

        user_obj = models.UserInfo.objects.filter(token=token).first()

        # 有对象则认证成功,返回user和auth

        if user_obj:

            return user_obj, token

        return

    def authenticate_header(self, request):

        # return 'Basic realm="API"'

        return "API"

如果有多个认证类,则建议在最后一个认证类中默认抛出错误即可

class QueryParamsAuthentication(BaseAuthentication):

    def authenticate(self, request):

        # 判断token是否正确

        # 1. 从查询参数获取token

        token = request.query_params.get("token")

        if not token:

            return

        # 2. 去数据库获取该token

        user_obj = models.UserInfo.objects.filter(token=token).first()

        # 有对象则认证成功,返回  request.user = 用户对象; request.auth = token

        if user_obj:

            return user_obj, token

        return

    def authenticate_header(self, request):

        # return 'Basic realm="API"'

        return "API"

class HeaderAuthentication(BaseAuthentication):

    def authenticate(self, request):

        # 判断token是否正确

        # 1. 从请求头获取token

        token = request.META.get("HTTP_AUTHORIZATION")

        if not token:

            return

        # 2. 去数据库获取该token

        user_obj = models.UserInfo.objects.filter(token=token).first()

        # 有对象则认证成功,返回user和auth

        if user_obj:

            return user_obj, token

        return

    def authenticate_header(self, request):

        # return 'Basic realm="API"'

        return "API"

class NoAuthentication(BaseAuthentication):

    def authenticate(self, request):

        raise AuthenticationFailed({"code": 10001, "detail": "认证失败"})

DRF-Authention组件源码分析及扩展的更多相关文章

  1. Django框架之DRF 认证组件源码分析、权限组件源码分析、频率组件源码分析

    认证组件 权限组件 频率组件

  2. DRF的认证组件(源码分析)

    DRF认证组件(源码分析) 1. 数据库建立用户表 在drf中也给我们提供了 认证组件 ,帮助我们快速实现认证相关的功能,例如: # models.py from django.db import m ...

  3. Django框架之drf:8、断点调试,权限、认证、频率组件源码分析,基于APIView编写分页,异常处理

    Django框架之drf 一.断点调式使用 ​ 指,在我们编写代码的时候,程序运行出现报错是无可避免的,当程序 出现报错时,我们需要找到出现报错的代码进行修改,如果时简短的代码很容易就可以找到报错位置 ...

  4. DRF的限流组件(源码分析)

    DRF限流组件(源码分析) 限流,限制用户访问频率,例如:用户1分钟最多访问100次 或者 短信验证码一天每天可以发送50次, 防止盗刷. 对于匿名用户,使用用户IP作为唯一标识. 对于登录用户,使用 ...

  5. DRF的Serializer组件(源码分析)

    DRF的Serializer组件(源码分析) 1. 数据校验 drf中为我们提供了Serializer,他主要有两大功能: 对请求数据校验(底层调用Django的Form和ModelForm) 对数据 ...

  6. ceph-csi组件源码分析(1)-组件介绍与部署yaml分析

    更多ceph-csi其他源码分析,请查看下面这篇博文:kubernetes ceph-csi分析目录导航 ceph-csi组件源码分析(1)-组件介绍与部署yaml分析 基于tag v3.0.0 ht ...

  7. 开源MyBatisGenerator组件源码分析

    开源MyBatisGenerator组件源码分析 看源码前,先了解Generator能做什么? MyBatisGenerator是用来生成mybatis的Mapper接口和xml文件的工具,提供多种启 ...

  8. Django-restframework 源码之认证组件源码分析

    Django-restframework 源码之认证组件源码分析 一 前言 之前在 Django-restframework 的流程分析博客中,把最重要的关于认证.权限和频率的方法找到了.该方法是 A ...

  9. element-ui 组件源码分析整理笔记目录

    element-ui button组件 radio组件源码分析整理笔记(一) element-ui switch组件源码分析整理笔记(二) element-ui inputNumber.Card .B ...

  10. Android base-adapter-helper 源码分析与扩展

    转载请标明出处:http://blog.csdn.net/lmj623565791/article/details/44014941,本文出自:[张鸿洋的博客] 本篇博客是我加入Android 开源项 ...

随机推荐

  1. 2023 CCPC 哈尔滨游记

    board zsy 11.3 下了高代课跟教练聊了会,以为差点赶不上飞机了,结果还好.飞机上一直在看<笑傲江湖> 晚上本来想写作业的,还是摆了 拉 zsy 打雀魂,三人麻将到第二天了 11 ...

  2. C# 导出datatable数据到excel

    第一步:下载两个需要的NUGET包 1.org.in2bits.MyXls:2.NPOI 第二步:关键类OutExcel. using System; using System.Linq; using ...

  3. 【音视频通话】使用asp.net core 8+vue3 实现高效音视频通话

    引言 在三年前,写智能小车的时候,当时小车上有一个摄像头需要采集,实现推拉流的操作,技术选型当时第一版用的是nginx的rtmp的推拉流,服务器的配置环境是centos,2H4G3M的一个配置,ngi ...

  4. 【GaussDB】应用报错 socket is not closed; Urgent packet sent to backend successfully; An I/O error occured while sending to the backend.detail:EOF Exception;

    数据库原理差异 会话空闲时间超过sesseion_time后,数据库主动断开,客户端再发起请求,就会报此类错误: 当一个会话连接长时间没有执行SQL或者活动时,会将该会话释放,可以释放缓存避免出现例如 ...

  5. 进行中 10% 手机Root安装银河麒麟ARM系统,或其它的CentOS系统

    计划中: 预计开始时间: 最早开始3/12 预计结束时间:最早3/13号 计划过程: 1. 手机root 2. 安装系统 目前:1. 我的旧旧旧手机,是红米note5,然后我进了官网,想要解锁, 解锁 ...

  6. Linux 终端运行命令时出现多行带有加号的信息(详见文章内容)

    ++_vte_ prompt_ command +++ HISTTIMEFORMAT= +++ history 1 +++ sed 's/^ *[0-9] \+ *//' ++ local ' com ...

  7. 使用Joi 完成JavaScript 数据校验

    无论是在前端还是后端(Node.js),数据校验都是一件不可或缺的事情,使用JOI让我们轻松的完成数据校验 > npm install joi 这里持续记录使用心得 版本:17.4.2 官网:h ...

  8. 录音转文字SDK哪家强?

    最近在做一款录音App,有一个模块是录音转文字功能,于是对比了市面上常见的API,国内做的比较大的主要有讯飞.腾讯.阿里.百度.华为. 讯飞 讯飞在国内做语音SDK是做的比较早的,翻译出来的准确率挺不 ...

  9. 【转】一种Vue应用程序错误/异常处理机制

    在前端应用程序中,最常见的错误/异常类型可能包括以下几种: 语法错误:使用了一些错误的语法 运行时错误:由于执行期间的非法操作导致的 逻辑错误:由于程序逻辑错误 Http 错误:API 返回的错误 有 ...

  10. ASP.NET Core – MVC

    前言 在 ASP.NET Core – MVC vs Razor Page 里有提到 MVC. 它算是 WebAPI 的抽象. 但是通常 MVC 指的是比较传统的 Website, WebAPI 则是 ...