Django Rest Framework之认证

代码基本结构

　　url.py:

from django.conf.urls import url, include
from web.views.s1_api import TestView

urlpatterns = [
    url(r'^test/', TestView.as_view()),
]

　　views.py:

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.authentication import BaseAuthentication
from rest_framework.request import Request
from rest_framework import exceptions

class TestAuthentication(BaseAuthentication):
    def authenticate(self, request):
    '''
    认证代码编写区域
    '''
    return (用户,用户Token)

    def authenticate_header(self, request):
        # 验证失败时，返回的响应头WWW-Authenticate对应的值
        pass  

class TestView(APIView):
    authentication_classes = [TestAuthentication, ]  

    def get(self, request, *args, **kwargs):
        pass

     def post(self, request, *args, **kwargs):
        pass

        '''
        等等一系列的视图功能方法
        '''

　　说明：

　　　　1）在authenticate方法的返回值是一个元组，元组中第一个元素是用户名，第二个元素是认证数据token。这个返回值会在我们的视图类中通过request.user 和 request.auth获取到。具体为什么是这两个值，会在后面的源码分析中说明。

　　　　2）认证的返回值有三种情况：

　　　　　　返回元组（如（1）中所述）：认证成功

　　　　　　返回None：处理下一个认证类

　　　　　　抛出异常：认证失败

　　　　3）上面的基本结构是做局部的类的认证方式，如果相对绝大多数的类做认证，那么可以通过全局认证的方式实现。该方法在下文中介绍。

　　　　4）authentication_classes 属性变量是一个列表，列表元素是类，一般情况只使用一个认证类。　　　　　

源码分析

　　1) 为什么要使用authentication_classes 属性变量？

　 

　　python 的面向对象编程中，我们首先要执行的方法肯定是dispatch方法，所以我们的分析入口就是dispatch方法，在dispatch方法中，可以看到，通过initialize_request方法将django原生的request进行了一次封装。由initialize_request方法的实现过程可以看出，将其封装实例化成了一个Request对象。而authenticators属性就是认证属性。

　

　　通过查看get_authenticators方法，可以知道，它的返回值是一个列表生成式，而这个列表生成式中所用的就是我们在认证类中赋值authenticatin_classes属性变量。在查找该变量的定义位置，就看到了它是通过settings配置文件来实现赋值的，除非，在子类中将其赋值。我们的代码就是这样做的。同时，也可以看出，我们可以修改settings配置文件来为全局定义认证规则。

2）为什么要认证类中要使用authenticate方法？

　　回到前面说是的dispatch方法来，在做完了对django原生的request的封装和实例化后，紧接着就会开始认证（try...中，捕获异常，如果没有捕获到异常，说明认证成功，就会继续执行下面的反射过程）。认证的过程就包含在上图中的inital方法中，有图可知，是通过perform_authentication方法实现的认证。

　　在perform_authentication方法中可以看到，只调用了一个request.user，而这个user一定是方法，不会是属性变量，因为如果是属性变量，那么就一定有语法错误，变量一定是要赋值的，不可能孤零零的写到那里。我们在源码中找到它，就明白了，之所以它能这么写，就是因为有了property装饰器。在user方法中找到_authenticate方法，这就是认证的方法。

　

　  在这个方法中，一切答案都就找到了。首先看authenticators，是不是很眼熟，没错它就是前面说的，封装和实例化原生request的Request类中所定义的属性变量。在实例化时，我们就将authentication_classes列表的值通过get_authenticators方法中的列表生成式赋值给了authenticators。再往下看，authenticator.autheneicate(self)中的authenticator是不是就是我们自己定义的认证类，而它在源码中要做“.authenticate(self)”的操作，那自然而然，我们定义的认证类中要实现这个方法了。

　　3)为什么认证成功后的返回值在request.user和request.auth中?

　　由 2）中最后一个图可知，当我们认证成功后会执行“self.user, self.auth = user_auth_tuple”代码，我们在认证类定义的方法authenticate的返回值就保存在 user_auth_tuple中，所以我们通过request.user 和 request.auth 就可以获取到了。

实例

from django.conf.urls import url, include
from web.viewsimport TestView

urlpatterns = [
    url(r'^test/', TestView.as_view()),
]

urls.py

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.authentication import BaseAuthentication
from rest_framework.request import Request
from rest_framework import exceptions

token_list = [
    'sfsfss123kuf3j123',
    'asijnfowerkkf9812',
]

class TestAuthentication(BaseAuthentication):
    def authenticate(self, request):
        """
        用户认证，如果验证成功后返回元组： (用户,用户Token)
        :param request:
        :return:
            None,表示跳过该验证；
                如果跳过了所有认证，默认用户和Token和使用配置文件进行设置
                self._authenticator = None
                if api_settings.UNAUTHENTICATED_USER:
                    self.user = api_settings.UNAUTHENTICATED_USER()
                else:
                    self.user = None

                if api_settings.UNAUTHENTICATED_TOKEN:
                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()
                else:
                    self.auth = None
            (user,token)表示验证通过并设置用户名和Token；
            AuthenticationFailed异常
        """
        val = request.query_params.get('token')
        if val not in token_list:
            raise exceptions.AuthenticationFailed("用户认证失败")

        return ('登录用户', '用户token')

    def authenticate_header(self, request):
        """
        Return a string to be used as the value of the `WWW-Authenticate`
        header in a `401 Unauthenticated` response, or `None` if the
        authentication scheme should return `403 Permission Denied` responses.
        """
        # 验证失败时，返回的响应头WWW-Authenticate对应的值
        pass

class TestView(APIView):
    authentication_classes = [TestAuthentication, ]
    permission_classes = []

    def get(self, request, *args, **kwargs):
        print(request.user)
        print(request.auth)
        return Response('GET请求，响应内容')

    def post(self, request, *args, **kwargs):
        return Response('POST请求，响应内容')

    def put(self, request, *args, **kwargs):
        return Response('PUT请求，响应内容')

Views.py

扩展：全局认证

　　如果要进行全局配置，由上面的源码分析可知，我们只需要在配置文件中配置我们存储到authentication_classes的值即可。但还要注意的是，在写配置文件时，要使用的是路径，所以最好在和views.py同级目录下新建一个文件夹（我习惯叫utils），再在该文件夹下新建一个认证文件（auth.py）,将我们的认证类都写到这里。

REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES" :['api.utils.auth.MyAuthentication]
}

　  MyAuthentication类就是我们写在utils文件夹下auth.py文件中的认证类。

　　注意：如果有部分类不需要认证的话，可以在这里类中添加“authentication_classes = []”,即可。