認證Authentication 什麼是身份認證 身份驗證是將傳入請求與一組標識憑據(例如請求來自的用戶或與其簽名的令牌)關聯的機制。 視圖的最開始處運行身份驗證 在許可權和限制檢查發生之前,以及在允許繼續執行任何其他代碼之前,始終在視圖的最開始處運行身份驗證。 身份驗證方案總是定義為類的列表 RES ...
認證Authentication
什麼是身份認證
身份驗證是將傳入請求與一組標識憑據(例如請求來自的用戶或與其簽名的令牌)關聯的機制。
視圖的最開始處運行身份驗證
在許可權和限制檢查發生之前,以及在允許繼續執行任何其他代碼之前,始終在視圖的最開始處運行身份驗證。
身份驗證方案總是定義為類的列表
REST框架嘗試對列表中的每個類進行身份驗證,並將成功身份驗證的第一個類的返回值賦值給request.user request.auth。 如果沒有類身份驗證,則request.user將設置為django.contrib.auth.models.anonymousUser的實例,request.auth將設置為none。
驗證的執行過程
1、在APIView中重寫 dispatch方法,方法最後有一段描述:
# Ensure that the incoming request is permitted 確保傳入進來的
request是被允許的 self.perform_authentication(request) #執行驗證
self.check_permissions(request) #檢查全選
self.check_throttles(request) #檢查閥門
2、def perform_authentication(self, request): request.user
這個方法只有這麼一句話 獲取user 其實這是Request類的一個user方法
3、@property
def user(self): 走到 def _authenticate(self):
方法 在這個方法中有 for authenticator in self.authenticators:
user_auth_tuple = authenticator.authenticate(self)
表示遍歷我們設置的authentication_classes屬性中的所有驗證類列表,每個驗證類都去執行類中的authenticate()方法。
BasicAuthentication(瞭解)
BasicAuthentication
此身份驗證方案使用HTTP基本身份驗證,根據用戶的用戶名和密碼進行簽名。基本身份驗證通常只適用於測試。
如果驗證成功,則basicauthentication提供以下憑據。
① request.user將是Django用戶實例
② request.auth將為無
③ HTTP 401未經身份驗證,
並帶有適當的www-authenticate頭。例如:www authenticate:basic realm=“api”
SessionAuthentication(瞭解)
此身份驗證方案使用Django的預設會話後端進行身份驗證。會話身份驗證適用於與網站在同一會話上下文中運行的Ajax客戶端。
如果驗證成功,sessionauthentication將提供以下憑據。
① request.user將是Django用戶實例。
② request.auth將為無。
③ 拒絕許可權的未經身份驗證的響應將導致HTTP 403禁止響應。
postman
Postman 是一個很強大的 API調試、Http請求的工具。 有chrome插件版, 有本地軟體版,這裡是有本地安裝包安裝。
認證類配置
局部配置 在具體的view類中寫
authentication_classes = [BearerToken]
全局配置
在setting中配置
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.BasicAuthentication',
'rest_framework.authentication.SessionAuthentication',
) }
TokenAuthentication
此身份驗證方案使用簡單的基於令牌HTTP身份驗證。令牌身份驗證適用於client-server分離的情況,如本機桌面和移動客戶端。
如果驗證成功,TokenAuthentication 將提供以下憑據。
① request.user將是Django用戶實例。
② request.auth將是rest_framework.authtoken.models.Token實例。
③ 拒絕許可權的未經身份驗證的響應將導致HTTP 401 Unauthorized。
Token驗證使用
使用步驟
① 把rest_framework.authtoken添加到INSTALLED_APPS中
② 把TokenAuthentication類寫入authenticate_classes屬性中
③ migration遷移資料庫 因為會生成Token相關的數據表
④ 配置token的路由: from rest_framework.authtoken import views
path("api-token/", views.obtain_auth_token)
Token驗證使用
獲取Token key令牌 令牌要包含Authorization HTTP header Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b
如果驗證通過,TokenAuthentication 提供以下憑證:request.user Django自帶的User模型實例
① request.auth rest_framework中的Token模型實例
② 驗證失敗,則返回HTTP 401 Unauthorized 並攜帶WWW-Authenticate 頭信息
例如:WWW-Authenticate: Token
Token總結:
1、令牌的好處:避免在使用中不斷的輸入賬號和密碼,比較安全
2、如果要測試帶token的介面,首先要進行登錄,登錄成功會有個token信息,向api介面發送請求的時候必須帶上這個token,
故需要做2次請求(1,登錄,拿到token 2,正式對介面進行測試)
自定義Token(重點)
繼承BaseAuthentication
重寫authenticate
返回return 兩個值
續更 ...待續...
