rest_framework -- 認證組件

#####認證組件#####

一、認證是什麼就不說了，某些網頁必須是用戶登陸之後，才能訪問的，所以這時候就需要用上認證組件。
    你不用rest_framework的認證組件也行，這種認證的話，完全可以自己寫出來。


二、之前再寫APIView的時候，那裡提到過。
    不記得在哪裡的話，先找dispatch方法(APIView的記得),然後是self.initial(request, *args, **kwargs)，
    最後找到self.perform_authentication(request)。看看這個方法的源碼：

        def perform_authentication(self, request):
            """
            Perform authentication on the incoming request.

            Note that if you override this and simply 'pass', then authentication
            will instead be performed lazily, the first time either
            `request.user` or `request.auth` is accessed.
            """
            request.user
        ## 回憶之前，此時的request是rest_framework進行封裝後的request了，所以找到的話，就去rest_framework中Request去找。
        ## 下麵附上request.user這個方法的源碼：

        @property
        def user(self):
            """
            Returns the user associated with the current request, as authenticated
            by the authentication classes provided to the request.
            """
            if not hasattr(self, '_user'):
                with wrap_attributeerrors():
                    self._authenticate()
            return self._user
        ## 它通過property將一個方法裝飾成一個屬性，此時self是request對象(rest_framework的)，經過if判斷，執行了self._authenticate()
        ## 那我們繼續去看這個方法是什麼，附上源碼：

        def _authenticate(self):
            """
            Attempt to authenticate the request using each authentication instance
            in turn.
            """
            for authenticator in self.authenticators:
                try:
                    user_auth_tuple = authenticator.authenticate(self)
                except exceptions.APIException:
                    self._not_authenticated()
                    raise

                if user_auth_tuple is not None:
                    self._authenticator = authenticator
                    self.user, self.auth = user_auth_tuple
                    return

            self._not_authenticated()
        ### 此時的self也還是request對象(rest_framework的)，self.authenticators這個是什麼？
        # authenticators它是request的一個屬性，那麼我們在哪裡生成了這個request對象呢？我們回到APIView的dispatch方法，找到這行代碼
        # request = self.initialize_request(request, *args, **kwargs)，有沒有印象，得到一個rest_framework的request對象，
        # 下麵是self.initialize_request(request, *args, **kwargs)的源碼：

        def initialize_request(self, request, *args, **kwargs):
            """
            Returns the initial request object.
            """
            parser_context = self.get_parser_context(request)

            return Request(
                request,
                parsers=self.get_parsers(),
                authenticators=self.get_authenticators(),
                negotiator=self.get_content_negotiator(),
                parser_context=parser_context
            )
        authenticators=self.get_authenticators()   ---->> authenticators是一個裝著對象的列表
        那麼繼續看self.get_authenticators()這個方法到底做了些什麼，附上源碼：

        def get_authenticators(self):
            """
            Instantiates and returns the list of authenticators that this view can use.
            """
            return [auth() for auth in self.authentication_classes]
        返回的是一個列表，那麼self.authentication_classes應該就是列表(元組),此時self是視圖類的對象

    ####重點：面向對象屬性的查找順序，記住！！
        方式一：我們可以在當前視圖類中寫一個authentication_classes的列表(元組)，裡面裝著一個一個的類，
               而這個類不是隨便的一個類，是進行認證驗證的類。
        方式二：當前視圖類中沒有authentication_classes這個屬性，那麼便會去APIView中去找該屬性，肯定能APIView中能夠找到該屬性
               authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES -->> api_settings它是一個對象
               我們去看產生api_settings對象的類，其他的不說了，說說這段代碼：

                    @property
                    def user_settings(self):
                        if not hasattr(self, '_user_settings'):
                            self._user_settings = getattr(settings, 'REST_FRAMEWORK', {})
                        return self._user_settings
                    這裡的setting是通過from django.core import settings 導入的
               大概意思是：如果django的settings文件中有'REST_FRAMEWORK'，那麼便會去那裡找DEFAULT_AUTHENTICATION_CLASSES這個屬性，
                          沒有的話，便會去rest_framework的settings文件中找DEFAULT_AUTHENTICATION_CLASSES，
               所以方式二可以這樣寫，在django的settings文件中寫上這樣的代碼
               REST_FRAMEWORK = {
                   'DEFAULT_AUTHENTICATION_CLASSES':[進行認證的類1，進行認證的類2],

                    }
        方式三：什麼都不寫，用rest_framework的settings文件中的DEFAULT_AUTHENTICATION_CLASSES

        好了，我們再回到self._authenticate()的源碼來看，for迴圈一個裝著對象的列表，所以authenticator就是一個對象，
        user_auth_tuple = authenticator.authenticate(self) --->>> 執行該對象的方法，將返回值賦給user_auth_tuple，
        我們使用前面的方式一，方式二，自己寫認證類的的話，那麼必須要有authenticate這個方法對吧，這個先放著，
        我們先看方式三，我猜rest_framework的settings文件中的DEFAULT_AUTHENTICATION_CLASSES里的認證類中，也肯定有authenticate方法，
        看看它是怎麼寫，我們跟著寫不就好了嘛？
        地址：from rest_framework import authentication
        看了下每個類中都有authenticate，傳來兩個參數，一個self，一個request，那我們自己寫的認證類也這樣寫。該方法的返回值將會賦值給user_auth_tuple,
        繼續回到def _authenticate(self)這個方法中，繼續看，如果返回值user_auth_tuple為None的話，將會繼續for迴圈，返回值為True的話，
        那麼這個返回值必須為一個元組，而且只能有兩個元素。執行for迴圈的過程中，authenticate這個方法沒有異常的話，那麼表示驗證成功。


    總結：上面把認證的整個流程都寫了一般，那麼需要些的東西我列出來，
          1、根據需求要求自己寫一個認證類，該類必須要有authenticate這個方法，繼承BaseAuthentication這個類
          2、驗證通過的話，返回None或者兩個元素的元組(列表也行)
          3、驗證不通過的話，拋異常，拋這個異常exceptions.APIException
          4、假如只想當前視圖類中使用認證功能的話，那麼在當前視圖類中添加authentication_classes屬性
          5、想全局都想進行認證功能，就在django的settings文件中添加
             REST_FRAMEWORK = {
                       'DEFAULT_AUTHENTICATION_CLASSES':[進行認證的類1，進行認證的類2],
                        }
          6、如果你既想全局配置，但是某個局部又不配置認證的話，那麼就是該視圖類中寫authentication_classes，值為[]，就好了。

下麵寫個登陸驗證的例子把：test頁面必須登陸之後才能訪問

models文件：
class User(models.Model):
    nid = models.AutoField(primary_key=True)
    name = models.CharField(max_length=32)
    password = models.CharField(max_length=32)


class Token(models.Model):
    nid = models.AutoField(primary_key=True)
    token = models.UUIDField(max_length=64)
    user = models.OneToOneField(to='User')


urls文件：
    url(r'login/',views.Login.as_view()),
    url(r'test/',views.Test.as_view()),


views文件：
class Login(APIView):
    def post(self, request, *args, **kwargs):
        response = {'status': 100, 'msg': '登陸成功'}
        name = request.data.get('name')
        password = request.data.get('password')
        try:
            user = models.User.objects.get(name=name, password=password)
            token = uuid.uuid4()
            ret = models.Token.objects.filter(user=user)
            if ret:
                models.Token.objects.filter(user=user).update(token=token)
            else:
                models.Token.objects.create(token=token, user=user)
            response['token'] = token
        except Exception:
            response['status'] = 101
            response['msg'] = '用戶名或密碼錯誤'
        return JsonResponse(response)

class Test(APIView):
    authentication_classes = [LoginAuth,]
    def get(self, request, *args, **kwargs):
        return HttpResponse('test get')


auth_class.py文件：

class LoginAuth(BaseAuthentication):
    def authenticate(self, request):
        token = request.query_params.get('token', None)
        try:
            ret = models.Token.objects.get(token=token)
        except ObjectDoesNotExist:
            raise exceptions.APIException('請先進行登陸')
        return ret.user, ret


這裡推薦一個發送各種請求的軟體，postman