Django REST framework之认证组件实例以及源码流程分析

基于用户传入的token进行认证

需求：对于一些api需要用户登录成功之后才能访问，有些api又不需要登录就能访问

解决思路：   a:创建两张表

　　　　　　b.用户来访问的时候带上服务器发给用户token值

1.创建models.py

from django.db import models


class UserInfo(models.Model):
    user_choices_type = (
        (1, '普通用户'),
        (2, 'vip用户'),
        (3, 'svip用户'),
    )
    user_type = models.IntegerField(choices=user_choices_type)
    username = models.CharField(max_length=32, unique=True)
    password = models.CharField(max_length=64)


class UserToken(models.Model):
    user = models.OneToOneField(to='UserInfo', on_delete=models.CASCADE)
    token = models.CharField(max_length=64)

2.urls.py

urlpatterns = [
    re_path('api/v1/auth/$', views.AuthView.as_view()),
    re_path('api/v1/order/$', views.OrderView.as_view()),
]

3.认证类

#!/usr/bin/env python
# -*- coding:utf-8 -*-

from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from api import models


class Authticate(BaseAuthentication):

    def authenticate(self, request):
        token = request._request.GET.get('token')
        token_obj = models.UserToken.objects.filter(token=token).first()
        if not token_obj:
            raise AuthenticationFailed('用户认证失败')
        return (token_obj.user, token_obj)

    def authenticate_header(self, request):
        """
        认证失败之后返回给浏览器响应头
        :param request:
        :return:
        """
        pass

4.views.py 

from django.http import JsonResponse
from rest_framework.views import APIView
from api import models


order_dict = {
    1: {
        'name': '拉皮条',
        'age': 18,
        'gengder': '男',
        'content': '买了个充气的'
    },
    2: {
        'name': '热狗',
        'age': 18,
        'gengder': '男',
        'content': '买了个非酋'
    }
}


def md5(user):
    import hashlib
    import time
    ctime = str(time.time())
    m = hashlib.md5(user.encode('utf8'))
    m.update(ctime.encode('utf8'))
    return m.hexdigest()


class AuthView(APIView):
    """
    登录相关的逻辑
    """
    authentication_classes = []
    def post(self, request, *args, **kwargs):

        ret = {'code': 1000, 'msg': None, 'token': None}
        try:
            user = request._request.POST.get('username')
            pwd = request._request.POST.get('password')
            obj = models.UserInfo.objects.filter(username=user, password=pwd).first()
            if not obj:
                ret['code'] = 1001
                ret['msg'] = '用户名或者密码错误'
            # 为登录用户创建token
            token = md5(user)
            models.UserToken.objects.update_or_create(user=obj, defaults={'token': token})
            ret['token'] = token
        except Exception as e:
            ret['code'] = 1002
            ret['msg'] = '请求异常'

        return JsonResponse(ret)


class OrderView(APIView):
    """
    订单相关业务
    """

    def get(self, request, *args, **kwargs):
        print(request.user, request.auth)
        ret = {'code': 2000, 'msg': None, 'data': None}
        try:
            ret['data'] = order_dict
        except Exception as e:
            ret['code'] = 2001
            ret['msg'] = '请求异常'
        return JsonResponse(ret)

5.settings.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': ['api.utils.auth.Authticate', ],
    # 'DEFAULT_AUTHENTICATION_CLASSES': [],  # AnonymousUser None配置文件中有
    # 'UNAUTHENTICATED_USER': lambda: '匿名用户',
    # 'UNAUTHENTICATED_USER': None,
    # 'UNAUTHENTICATED_TOKEN': None,
}

总结：实现的思路就是每次用户登录的时候，需要带上token值，如果没有带就获取不到相应的资源，如果登录成功就给用户创建token值，并且给用户返回，若第二次用户登录就给用户更新，同时也返回给用户，当然用户没登录成功就给用户返回相关的错误信息。

认证组件的源码流程分析

 请求进来先找自己的dispatch方法，然而没有，就走父类的APIView，发现有dispatch方法 ，执行self.initialize_request方法，封装request,之前还有解析器-->执行self.get_authenticators()-->[auth() for auth in self.authentication_classes]列表式生成一个个认证对象--->authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES默认去配置文件中，若自己有，执行initial(self, request, *args, **kwargs)方法---->执行self.perform_authentication(request)------>request.user这是个静态属性----->self._authenticate()---->_authenticate(self)---->authenticator.authenticate(self)---->返回必须是一个元组。

_authenticate(self)：循环认证类的所有对象，执行认证类的authenticate方法，1.如果authenticate方法抛异常，执行self._not_authenticated()2.有返回值必须是元组（request.user,request.auth）3.如果返回None,进入下一个认证对象处理，如果全部都是None跳出循环，执行_not_authenticated(self)方法去配置文件了if api_settings.UNAUTHENTICATED_USER就是匿名用户AnonymousUser，否则是slef.user=None,self.auth = api_settings.UNAUTHENTICATED_TOKEN()为None否则self.auth=None。

内置认证类

BaseAuthentication

我们写认证类的时候，必须继承它实现authenticate方法不写直接抛错，authenticate_header这个方法是认证失败给用户返回的响应头信息401认证不通过，也是必须写的方法，但是一般不做什么处理。

BasicAuthentication

这个类大概是通过浏览器把用户的密码和用户名通过base64加密之后发给服务端。

SessionAuthentication

通过django的session做的认证。

TokenAuthentication

其实跟我哪个认证token差不多。

RemoteUserAuthentication

这个类是通过认证http请求头。