郑文峰的博客 郑文峰的博客
首页
  • python之路
  • go之路
  • 其他
  • redis
  • mysql
  • docker
  • k8s
读书破万卷
周刊
关于
  • 导航 (opens new window)
  • 代码片段 (opens new window)
  • 收藏
  • 友链
  • 外部页面

    • 开往 (opens new window)
  • 索引

    • 分类
    • 标签
    • 归档
GitHub (opens new window)

zhengwenfeng

穷则变,变则通,通则久
首页
  • python之路
  • go之路
  • 其他
  • redis
  • mysql
  • docker
  • k8s
读书破万卷
周刊
关于
  • 导航 (opens new window)
  • 代码片段 (opens new window)
  • 收藏
  • 友链
  • 外部页面

    • 开往 (opens new window)
  • 索引

    • 分类
    • 标签
    • 归档
GitHub (opens new window)
  • python

    • 基础

    • 第三方库

    • django

      • django celery 结合使用
      • django rest_framework使用jwt
      • django rest_framework Authentication
        • 简介
        • 源码解析
        • 认证方式
          • Token
          • 使用
          • 缺陷
          • session
      • django rest_framework异常处理
      • django rest_framework 自定义文档
      • django压缩文件下载
      • django rest_framework使用pytest单元测试
      • django restframework choice 自定义输出数据
      • django Filtering 使用
      • django viewset 和 Router 配合使用时报的错
      • django model的序列化
      • django中使用AbStractUser
      • django.core.exceptions.ImproperlyConfigured Application labels aren't unique, duplicates users
      • django 中 media配置
      • django 外键引用自身和on_delete参数
      • django 警告 while time zone support is active
      • django rest_framework 分页
    • flask

    • tornado

    • 其他

  • go

  • 其他

  • 编程
  • python
  • django
zhengwenfeng
2022-08-10
目录

django rest_framework Authentication

# 简介

本文介绍的是 django rest_framework的认证方式.

Token、Session、RemoteUser、jwt等认证方式。前三种是框架自带的,而jwt需要安装第三方库djangorestframework-jwt,然后使用。

# 源码解析

以下是认证源码认证流程.

  1. 通过路由匹配后首先进入到ApiView.as_view中. 在这里插入图片描述

  2. ApiView继承Django的View,然后调用View.as_view 在这里插入图片描述

  3. 在View中调用dispatch方法,因为ApiView实现dispatch方法,所以调用的是ApiView.dispatch而不是View.dispatch. 在这里插入图片描述

  4. 在ApiView.dispatch中将django.request再次封装成框架的rest_framework.request 在这里插入图片描述

  5. 封装的过程中将配置的Authentication类注入到request中. 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

  6. 封装完request后,调用ApiView.perform_authentication开始认证 在这里插入图片描述

  7. 认证的过程是通过request.user,然后再调用request._authentication进行循环遍历所有注入的Authentiation类中authenticate方法进行认证,认证成功则返回user和auth两个结果.

在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

# 认证方式

可以自定义认证类,只需要继承BaseAuthentication类,然后实现authenticate方法即可,然后将该类注入到request即可.

或者使用框架自带的认证类也可。

# Token

是框架自带的认证方式之一.

# 使用

  1. 配置authtoken app settings
INSTALLED_APPS = [
    ...
    'rest_framework.authtoken']
1
2
3

然后使用python manage.py migrate,会创建authtoken表,该表连接auth_user.表,每个用户都有对应一个token,用户每次访问带有该token,系统就能通过token得到当前user.

  1. 局部添加认证方式.

在TestView添加TokenAuthentication认证, 路由到TestView时,会调用该类中的authenticate方法,通过token获取到user.

view.py


from rest_framework.authentication import TokenAuthentication

class TestView(APIView):
    authentication_classes = (TokenAuthentication,)

    def get(self, *args, **kwargs):
        return HttpResponse(self.request.user)
1
2
3
4
5
6
7
8
  1. 全局添加认证方式

任何路由请求需要通过Token认证.

settings.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',
    ]
}
1
2
3
4
5

# 缺陷

  • Token验证是放在一张表中,即authtoken_token中,key没有失效时间,永久有效,一旦泄露,后果不可想象,安全性极差。
  • 不利于分布式部署或多个系统使用一套验证,authtoken_token是放在某台服务器上的,如果分布式部署,将失效,或多个系统用一套验证,将必须复制该表到相应服务器上,麻烦费力。

鉴于以上缺陷,使用jwt更加优秀.

# session

drf中session认证,是通过django SessionMiddleware和AuthenticationMiddleware中将user存储到request中,然后获取到的.

在这里插入图片描述

#python#django
上次更新: 2023/01/15, 15:47:48
django rest_framework使用jwt
django rest_framework异常处理

← django rest_framework使用jwt django rest_framework异常处理→

最近更新
01
django rest_framework 分页
03-20
02
学习周刊-第03期-第09周
03-03
03
学习周刊-第02期-第08周
02-24
更多文章>
Theme by Vdoing | Copyright © 2022-2023 zhengwenfeng | MIT License
  • 跟随系统
  • 浅色模式
  • 深色模式
  • 阅读模式