django rest_framework Authentication

文章目录

      • 简介
      • 源码解析
      • 认证方式
        • Token
          • 使用
          • 缺陷
        • session

简介

本文介绍的是 django rest_framework的认证方式.

Token、Session、RemoteUser、jwt等认证方式。前三种是框架自带的,而jwt需要安装第三方库djangorestframework-jwt,然后使用。

源码解析

以下是认证源码认证流程.

  1. 通过路由匹配后首先进入到ApiView.as_view中.
    django rest_framework Authentication_第1张图片

  2. ApiView继承Django的View,然后调用View.as_view
    django rest_framework Authentication_第2张图片

  3. View中调用dispatch方法,因为ApiView实现dispatch方法,所以调用的是ApiView.dispatch而不是View.dispatch.
    django rest_framework Authentication_第3张图片

  4. ApiView.dispatch中将django.request再次封装成框架的rest_framework.request
    django rest_framework Authentication_第4张图片

  5. 封装的过程中将配置的Authentication类注入到request中.
    django rest_framework Authentication_第5张图片
    django rest_framework Authentication_第6张图片
    django rest_framework Authentication_第7张图片

  6. 封装完request后,调用ApiView.perform_authentication开始认证
    django rest_framework Authentication_第8张图片

  7. 认证的过程是通过request.user,然后再调用request._authentication进行循环遍历所有注入的Authentiation类中authenticate方法进行认证,认证成功则返回userauth两个结果.

django rest_framework Authentication_第9张图片
django rest_framework Authentication_第10张图片
django rest_framework Authentication_第11张图片

认证方式

可以自定义认证类,只需要继承BaseAuthentication类,然后实现authenticate方法即可,然后将该类注入到request即可.

或者使用框架自带的认证类也可。

Token

是框架自带的认证方式之一.

使用
  1. 配置authtoken app
    settings
INSTALLED_APPS = [
    ...
    'rest_framework.authtoken']

然后使用python manage.py migrate,会创建authtoken表,该表连接auth_user.表,每个用户都有对应一个token,用户每次访问带有该token,系统就能通过token得到当前user.

  1. 局部添加认证方式.

TestView添加TokenAuthentication认证, 路由到TestView时,会调用该类中的authenticate方法,通过token获取到user.

view.py


from rest_framework.authentication import TokenAuthentication

class TestView(APIView):
    authentication_classes = (TokenAuthentication,)

    def get(self, *args, **kwargs):
        return HttpResponse(self.request.user)
  1. 全局添加认证方式

任何路由请求需要通过Token认证.

settings.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',
    ]
}
缺陷
  • Token验证是放在一张表中,即authtoken_token中,key没有失效时间,永久有效,一旦泄露,后果不可想象,安全性极差。
  • 不利于分布式部署或多个系统使用一套验证,authtoken_token是放在某台服务器上的,如果分布式部署,将失效,或多个系统用一套验证,将必须复制该表到相应服务器上,麻烦费力。

鉴于以上缺陷,使用jwt更加优秀.

session

drf中session认证,是通过django SessionMiddlewareAuthenticationMiddleware中将user存储到request中,然后获取到的.

django rest_framework Authentication_第12张图片

你可能感兴趣的:(python库,django,后端)