认证

(我是谁?)

身份认证是将传入请求与一组标识凭据相关联的机制,然后,权限和限制策略可以使用这些凭据来确定是否应该允许该请求.

REST框架提供了许多开箱即用的身份验证方案,还允许您实现自定义方案。

身份验证始终在视图的最开始,在发生权限和限制检查之前,以及允许任何其他代码继续之前运行。

request.user 属性通常将设置为contrib.authUser类的实例。

request.auth 属性用于任何其他身份验证信息,例如,它可用于表示请求已签名的身份验证令牌。

DRF 5种验证方式

# 基于用户名和密码的认证

class BasicAuthentication(BaseAuthentication):

	pass

# 基于Session的认证

class SessionAuthentication(BaseAuthentication):

	pass

# 基于Tokend的认证

class TokenAuthentication(BaseAuthentication):

	pass

# 基于远端用户的认证(专用用户管理服务器)

class TokenAuthentication(BaseAuthentication):

	pass

如何确定身份验证?

身份验证方案始终定义为类列表。REST框架将尝试对列表中的每个类进行身份验证,并将设置request.user和request.auth使用成功进行身份验证的第一个类的返回值。

如果没有类进行身份验证,request.user则将设置为实例django.contrib.auth.models.AnonymousUser,request.auth并将其设置为None。

的价值request.user和request.auth对身份认证的请求可以通过修改UNAUTHENTICATED_USER和UNAUTHENTICATED_TOKEN设置。

设置身份验证方案

  1. 可以使用该DEFAULT_AUTHENTICATION_CLASSES设置全局设置默认认证方案。例如

     REST_FRAMEWORK = {
    
 	'DEFAULT_AUTHENTICATION_CLASSES': (
    
     	'rest_framework.authentication.BasicAuthentication',
    
     	'rest_framework.authentication.SessionAuthentication',
    
	 )
    
 }

  2. 您还可以使用APIView基于类的视图在每个视图或每个视图集的基础上设置身份验证方案。

     from rest_framework.authentication import SessionAuthentication, BasicAuthentication
    
 from rest_framework.permissions import IsAuthenticated
    
 from rest_framework.response import Response
    
 from rest_framework.views import APIView

 class ExampleView(APIView):
    
     authentication_classes = (SessionAuthentication, BasicAuthentication)
    
     permission_classes = (IsAuthenticated,)

     def get(self, request, format=None):
    
         content = {
    
             'user': unicode(request.user),  # `django.contrib.auth.User` instance.
    
             'auth': unicode(request.auth),  # None
    
         }
    
         return Response(content)

  3. 或者,如果您正在使用@api_view具有基于功能的视图的装饰器。

     @api_view(['GET'])
    
 @authentication_classes((SessionAuthentication, BasicAuthentication))
    
 @permission_classes((IsAuthenticated,))
    
 def example_view(request, format=None):
    
     content = {
    
         'user': unicode(request.user),  # `django.contrib.auth.User` instance.
    
         'auth': unicode(request.auth),  # None
    
     }
    
     return Response(content)

案例: 基于自定义Token认证

第一步: 定义一个用户表和一个保存用户Token的表

class UserInfo(models.Model):

    username = models.CharField(max_length=16)

    password = models.CharField(max_length=32)

    type = models.SmallIntegerField(

        choices=((0, '普通用户'), (1, 'VIP用户')),

        default=0

    )

class Token(models.Model):

    user = models.OneToOneField(to='UserInfo')

    token_code = models.CharField(max_length=128)

第二步: 定义一个登陆视图

from rest_framework.views import APIView

from app2 import models

from rest_framework.response import Response

import hashlib, time

def get_random_token(username):

    """

    根据用户名和时间戳生成随机token

    """

    timestamp = str(time.time())

    m = hashlib.md5(bytes(username, encoding="utf-8"))

    m.update(bytes(timestamp, encoding="utf-8"))

    return m.hexdigest()

class LoginView(APIView):

    """

    校验用户名是否正确从而生成token的视图

    """

    def post(self, request):

        res = {"code": 0}

        # print(request.data)

        username = request.data.get("username")

        password = request.data.get("password")

        user = models.UserInfo.objects.filter(username=username, password=password).first()

        if user:

            token = get_random_token(username)

            models.Token.objects.update_or_create(defaults={"token_code": token}, user=user)

            res["token"] = token

        else:

            res["code"] = 1

            res["error"] = "用户名或密码错误"

        return Response(res)

第三步定义一个认证类

from rest_framework.authentication import BaseAuthentication

from rest_framework.exceptions import AuthenticationFailed

from app2 import models

class MyAuth(BaseAuthentication):

    def authenticate(self, request):

        # if request.method in ["POST", "PUT", "DELETE"]:  

        # 如果在表单中需要判断请求方式    由于表单是post请求,所以获取token 的方式为 request.data.get("token")

        # request.query_params为url中的参数

        request_token = request.query_params.get("token", None)

        if not request_token:

            raise AuthenticationFailed('q.缺少token')

        token_obj = models.Token.objects.filter(token_code=request_token).first()

        if not token_obj:

            raise AuthenticationFailed("无效的Token")

        # token_obj.user 通过token这张表的对象和user这个关联字段 找到 UserInfo表的对象及当前用户对象

        return token_obj.user, request_token

        # else:

        #     return None, None

第四步: 使用认证类

视图级别认证

# (用的不多)

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()

    serializer_class = app01_serializers.CommentSerializer

    authentication_classes = [MyAuth, ]

全局级别认证

# 在settings.py中配置

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]

}

Django REST framework - 认证的更多相关文章

  1. Django Rest Framework(认证、权限、限制访问频率)

    阅读原文Django Rest Framework(认证.权限.限制访问频率) django_rest_framework doc django_redis cache doc

  2. 04 Django REST Framework 认证、权限和限制

    目前,我们的API对谁可以编辑或删除代码段没有任何限制.我们希望有更高级的行为,以确保: 代码片段始终与创建者相关联. 只有通过身份验证的用户可以创建片段. 只有代码片段的创建者可以更新或删除它. 未 ...

  3. Django REST framework认证权限和限制和频率

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  4. Django REST Framework 认证 - 权限 - 限制

    一. 认证 (你是谁?) REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案. 自定义Token认证 第一步 : 建表>>>> 定义一个 ...

  5. Django REST framework —— 认证组件源码分析

    我在前面的博客里已经讲过了,我们一般编写API的时候用的方式 class CoursesView(ViewSetMixin,APIView): pass 这种方式的有点是,灵活性比较大,可以根据自己的 ...

  6. django rest framework 认证组件

    1.认证组件 1.认证组件 1.认证组件 1.认证组件

  7. Django REST framework认证权限和限制 源码分析

    1.首先 我们进入这个initial()里面看下他内部是怎么实现的. 2.我们进入里面看到他实现了3个方法,一个认证,权限频率 3.我们首先看下认证组件发生了什么 权限: 啥都没返回,self.per ...

  8. Django REST framework 之 API认证

    RESTful API 认证 和 Web 应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权 ...

  9. Django REST framework - 权限和限制

    目录 Django REST framework 权限和限制 (你能干什么) 设置权限的方法 案例 第一步: 定义一个权限类 第二步: 使用 视图级别 全局级别设置 --- 限制 (你一分钟能干多少次 ...

随机推荐

  1. cts帧

     RTS/CTS机制的工作原理是.发送网站在向接收网站发送数据包之前.即在DIFS之后不是马上发送数据,而是代之以发送一个请求发送RTS(Ready To Send)帧,以申请对介质的占用,当接收 ...

  2. Linux对外连接port数限制

    左右时,開始大量抛例如以下异常: java.net.BindException:Cannot assign requested address atsun.nio.ch.Net.connect0(Na ...

  3. football statistics

    https://www.whoscored.com/Players/24328/Show/Edinson-Cavani

  4. bzoj2538: [Ctsc2000]公路巡逻

    超车这个东西这么恶心肯定是要暴力求的(自圆其说) 那么分成一个个时间段来搞,然后DP一下 化一下那个速度,耗费时间是在300s~600s之间的 那我们就可以设f[i][j]为走到第i个位置用了j的时间 ...

  5. JavaScript Patterns 2.7 Avoiding Implied Typecasting

    Dealing with == and === false == 0 or "" == 0 return true. always use the === and !== oper ...

  6. word文档在线预览解决方案

    花了一整天在网上翻关于 “word文档在线预览解决方案” 相关的资料,感觉实现难度比较大还是用PDF来解决好了.. 下面列一下比较好的参考资料吧 参考资料 前端实现在线预览pdf.word.xls.p ...

  7. 313 Super Ugly Number 超级丑数

    编写一段程序来寻找第 n 个超级丑数.超级丑数是指其所有质因数都在长度为k的质数列表primes中的正整数.例如,[1, 2, 4, 7, 8, 13, 14, 16, 19, 26, 28, 32] ...

  8. Unity Toast插件(UGUI版)

    简介 介于自己之前经历的一些开发过程,非常希望unity能有类似Toast的功能用于一些简单的信息显示.但是找来找去找了半天,都木有发现,实在是憋不住了,自己写了个,感觉还可以用,发出来共享一下... ...

  9. 查询分析器执行SQL很快但是ado.net很慢:请为你的SQLparameter设置DbType

    我们都知道,参数化查询可以处理SQL注入,以及提高查询的效率,因为参数化查询会使MSSQL缓存查询的计划. 但是会出现一个问题:有的时候参数化查询比直接拼接sql字符串效率低好多,甚至是查询超时. 原 ...

  10. Python--10、进程知识补充

    守护进程 基于进程启动的子进程,会和主进程一起结束.主进程结束的依据是程序的代码执行完毕. #创建守护进程p=Process(task) p.daemon = True p.start() 子进程需要 ...