• 三大认证


    三大认证

    上次讲的 drf 还剩下 三大认证,当然也是从 APIView 的 dispatch 为入口。

        def dispatch(self, request, *args, **kwargs):
            """
            `.dispatch()` is pretty much the same as Django's regular dispatch,
            but with extra hooks for startup, finalize, and exception handling.
            """
            self.args = args
            self.kwargs = kwargs
            request = self.initialize_request(request, *args, **kwargs)
            self.request = request
            self.headers = self.default_response_headers  # deprecate?
    
            try:
                #这一步就做了三大认证,进去看源码。
                self.initial(request, *args, **kwargs)
    
                # Get the appropriate handler method
                if request.method.lower() in self.http_method_names:
                    handler = getattr(self, request.method.lower(),
                                      self.http_method_not_allowed)
                else:
                    handler = self.http_method_not_allowed
    
                response = handler(request, *args, **kwargs)
    
            except Exception as exc:
                response = self.handle_exception(exc)
    
            self.response = self.finalize_response(request, response, *args, **kwargs)
            return self.response
    
    

    进入initial方法

        def initial(self, request, *args, **kwargs):
            """
            Runs anything that needs to occur prior to calling the method handler.
            """
            self.format_kwarg = self.get_format_suffix(**kwargs)
    
            # Perform content negotiation and store the accepted info on the request
            neg = self.perform_content_negotiation(request)
            request.accepted_renderer, request.accepted_media_type = neg
    
            # Determine the API version, if versioning is in use.
            version, scheme = self.determine_version(request, *args, **kwargs)
            request.version, request.versioning_scheme = version, scheme
    
            # Ensure that the incoming request is permitted
            
            #上面的都不要去管他,下面三条就是三大认证
            
            #认证模块:校验用户是否登录:登录用户、非法用户、游客
            self.perform_authentication(request)
            #权限模块:校验用户是否拥有权限:校验对象是登录用户和游客
            self.check_permissions(request)
            #频率模块:访问接口的次数在设定的时间范围内是否过快:配置访问频率,每次访问都要缓存计次,超次后需要等待的时间。
            self.check_throttles(request)
    

    只有 认证模块和权限模块都通过了,才能访问接口,不需要第三个接口。 而且 认证模块和权限模块都是捆绑出现的。

    那么是怎么调用这三个的?当然要通过配置了,看一下APIView的一堆属性

    class APIView(View):
    
        # The following policies may be set at either globally, or per-view.
        renderer_classes = api_settings.DEFAULT_RENDERER_CLASSES
        parser_classes = api_settings.DEFAULT_PARSER_CLASSES
        #配置视图类的认证
        authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
        #配置视图类的频率
        throttle_classes = api_settings.DEFAULT_THROTTLE_CLASSES
        #配置视图类的权限
        permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES
        content_negotiation_class = api_settings.DEFAULT_CONTENT_NEGOTIATION_CLASS
        metadata_class = api_settings.DEFAULT_METADATA_CLASS
        versioning_class = api_settings.DEFAULT_VERSIONING_CLASS
    
        # Allow dependency injection of other settings to make testing easier.
        settings = api_settings
    
    

    很明显上面三个配置都写在了 api_settings 里面,那么就是这里面看一下。

    里面有很多配制,这里只给出关键的

    DEFAULT_AUTHENTICATION_CLASSES': [
            'rest_framework.authentication.SessionAuthentication',
            'rest_framework.authentication.BasicAuthentication'
        ],
        'DEFAULT_PERMISSION_CLASSES': [
            'rest_framework.permissions.AllowAny',
        ] 	
    

    所以我们只要在局部配置了这个,也可以在项目下的 settings 里写,全局的就不起作用了,这就是我们可以自己写两个校验的基础。

    这里先自己写一个之前的栗子

    from rest_framework.views import APIView
    from utils.response import APIResponse
    class TestAPIView(APIView):
        def get(self, request, *args, **kwargs):
            print(request.user)  # AnonymousUser - 游客
            return APIResponse()
    

    这里能答应出request.user,说明了什么,说明了能走到get方法里,也就是说通过了用户认证和权限认证,为什么即使没有登录之类的操作也可以?原因就是这就是游客登录,从后面分析源码可以看出。

    现在就可以来看一下 认证模块的 SessionAuthentication 和 BasicAuthentication 都干了什么。

    从配置中可以看出这两个都是在 rest_framework.authentication 下的,所以直接去看authentication。

    发现在authentication.py文件下的四个类中,每个都有 authenticate 方法, 所以很显然是这个方法在完成校验。

    拿出其中的一个类来看他的 authenticate方法

    class BasicAuthentication(BaseAuthentication):
        """
        HTTP Basic authentication against username/password.
        """
        www_authenticate_realm = 'api'
    
        def authenticate(self, request):
            """
            Returns a `User` if a correct username and password have been supplied
            using HTTP Basic authentication.  Otherwise returns `None`.
            """
            # 从请求头中获取 认证字符串(auth)在后端叫做auth,前端就叫做 token
            auth = get_authorization_header(request).split()
    		# 如果没有这个 auth,那就代表是游客登录,返回 none,在认证模块中 none就是游客。
            if not auth or auth[0].lower() != b'basic':
                return None
    		
            # 如果有认证字符串,就一定会校验。
            #校验失败:抛出异常
            #校验成功:返回长度为 2 的元组,第一位是登录的user对象,具体看下面
            if len(auth) == 1:
                msg = _('Invalid basic header. No credentials provided.')
                raise exceptions.AuthenticationFailed(msg)
            elif len(auth) > 2:
                msg = _('Invalid basic header. Credentials string should not contain spaces.')
                raise exceptions.AuthenticationFailed(msg)
    		# 加密
            try:
                auth_parts = base64.b64decode(auth[1]).decode(HTTP_HEADER_ENCODING).partition(':')
            except (TypeError, UnicodeDecodeError, binascii.Error):
                msg = _('Invalid basic header. Credentials not correctly base64 encoded.')
                raise exceptions.AuthenticationFailed(msg)
    
            userid, password = auth_parts[0], auth_parts[2]
            #最后返回这个authenticate_credentials方法的返回值
            return self.authenticate_credentials(userid, password, request)
    
        def authenticate_credentials(self, userid, password, request=None):
            """
            Authenticate the userid and password against username and password
            with optional request for context.
            """
            credentials = {
                get_user_model().USERNAME_FIELD: userid,
                'password': password
            }
            user = authenticate(request=request, **credentials)
    
            if user is None:
                raise exceptions.AuthenticationFailed(_('Invalid username/password.'))
    
            if not user.is_active:
                raise exceptions.AuthenticationFailed(_('User inactive or deleted.'))
    
            return (user, None)
    

    这个类看完了再看一下下一个类

    class SessionAuthentication(BaseAuthentication):
        """
        Use Django's session framework for authentication.
        """
    	
        def authenticate(self, request):
            """
            Returns a `User` if the request session currently has a logged in user.
            Otherwise returns `None`.
            """
    
            # Get the session-based user from the underlying HttpRequest object
            #这个就直接从request里面去拿user
            user = getattr(request._request, 'user', None)
    
            # Unauthenticated, CSRF validation not required
            #拿的到就是用户登录,拿不到就是游客登录
            if not user or not user.is_active:
                return None
    		
            #这里重新启用了csrf
            self.enforce_csrf(request)
    
            # CSRF passed with authenticated user
            return (user, None)
    
        def enforce_csrf(self, request):
            """
            Enforce CSRF validation for session based authentication.
            """
            check = CSRFCheck()
            # populates request.META['CSRF_COOKIE'], which is used in process_view()
            check.process_request(request)
            reason = check.process_view(request, None, (), {})
            if reason:
                # CSRF failed, bail with explicit error message
                raise exceptions.PermissionDenied('CSRF Failed: %s' % reason)
    
    
    

    可以发现这些类都是继承 BaseAuthentication 的,我们看一下BaseAuthentication

    class BaseAuthentication:
        """
        All authentication classes should extend BaseAuthentication.
        """
    
        def authenticate(self, request):
            """
            Authenticate the request and return a two-tuple of (user, token).
            """
            raise NotImplementedError(".authenticate() must be overridden.")
    
        def authenticate_header(self, request):
            """
            Return a string to be used as the value of the `WWW-Authenticate`
            header in a `401 Unauthenticated` response, or `None` if the
            authentication scheme should return `403 Permission Denied` responses.
            """
            pass
    

    发现他的 authen 直接就是抛异常叫你重写 authenticate方法,这也就是我们自己写的基础。

    现在为什么请求头不带认证字符串还能通过两层校验呢?第一层能通过已经知道了,返回了一个none,那么权限类他是怎么通过的。这个时候我们就要退出认证模块,去看一下权限模块了。

    我们发现在之前settings里面配置的时候

    DEFAULT_AUTHENTICATION_CLASSES': [
            'rest_framework.authentication.SessionAuthentication',
            'rest_framework.authentication.BasicAuthentication'
        ],
        'DEFAULT_PERMISSION_CLASSES': [
            'rest_framework.permissions.AllowAny',
        ] 	
    
    

    权限模块是一个 AllowAny ,看一下这个 AllowAny 做了什么。

    class AllowAny(BasePermission):
        """
        Allow any access.
        This isn't strictly required, since you could use an empty
        permission_classes list, but it's useful because it makes the intention
        more explicit.
        """
       # 就这么一个方法,只要你能进来的,都有权限。如果把这个True改成false,之前的请求就会不能成功了,所有的请求都不成功。
        def has_permission(self, request, view):
            return True
    
    
    

    看一下同个文件下的下一个类

    class IsAuthenticated(BasePermission):
        """
        Allows access only to authenticated users.
        """
       # 当你是登录状态下,你的request.user就会有值,这里判断你是否有值,然后判断这个用户是否合法,都满足了,就返回一个 True,就有权限。
        def has_permission(self, request, view):
            return bool(request.user and request.user.is_authenticated)
    
    
    

    这两个类都继承了 BasePermission 类。

    稍微总结一下这两个模块工作原理。

    """
    认证模块工作原理
    1)继承BaseAuthentication类,重写authenticate方法
    2)认证规则(authenticate方法实现体):
        没有携带认证信息,直接返回None => 游客
        有认证信息,校验失败,抛异常 => 非法用户
        有认证信息,校验出User对象 => 合法用户
    """
    
    """
    权限模块工作原理
    1)继承BasePermission类,重写has_permission方法
    2)权限规则(has_permission方法实现体):
        返回True,代表有权限
        返回False,代表无权限
    """
    
    

    那我们最主要的方式就是,如何让游客有权限无权限,如何让登陆用户有权限无权限,如何让登陆用户是某个角色才有权限无权限。

    现在来实现一个必须要登录获取token之后,并且是超级用户才能实现的,获取所有非超级用户。

    文件:

    img

    serializers:

    from rest_framework import serializers
    from rest_framework.serializers import ModelSerializer, ValidationError
    from . import models
    class UserModelSerializer(ModelSerializer):
        class Meta:
            model = models.User
            fields = ('username', 'email', 'mobile')
    
    
    
    from django.contrib.auth import authenticate
    class LoginModelSerializer(ModelSerializer):
        # username和password字段默认会走系统校验,而系统的post请求校验,一定当做增方式校验,所以用户名会出现 重复 的异常
        # 所以自定义两个字段接收前台的账号密码
        usr = serializers.CharField(write_only=True)
        pwd = serializers.CharField(write_only=True)
        class Meta:
            model = models.User
            #前端带的数据包里的 usr 和pwd
            fields = ('usr', 'pwd')
        #全局钩子,拿到 usr 和 pwd 
        def validate(self, attrs):
            usr = attrs.get('usr')
            pwd = attrs.get('pwd')
            try:
                #判断这个用户登录对不对
                user_obj = authenticate(username=usr, password=pwd)
            except:
                raise ValidationError({'user': '提供的用户信息有误'})
    
            # 拓展名称空间
            #这里的self,就是前面的 serializer 对象
            self.user = user_obj
            # 签发token
            self.token = _get_token(user_obj)
    
            return attrs
    
    
    # 自定义签发token
    # 分析:拿user得到token,后期还需要通过token得到user
    # token:用户名(base64加密).用户主键(base64加密).用户名+用户主键+服务器秘钥(md5加密)
    # eg: YWJj.Ao12bd.2c953ca5144a6c0a187a264ef08e1af1
    
    # 签发算法:b64encode(用户名).b64encode(用户主键).md5(用户名+用户主键+服务器秘钥)
    # 校验算法(认证类)与签发算法配套
    """
    拆封token:一段 二段 三段
    用户名:b64decode(一段)
    用户主键:b64decode(二段)
    碰撞解密:md5(用户名+用户主键+服务器秘钥) == 三段
    """
    
    #token一定要是上面这种形式的 xxx.xxx.xxx
    def _get_token(obj):
        import base64, json, hashlib
        from django.conf import settings
        #第一段,先把json字符串编码,然后在加密,在转成字符串
        t1 = base64.b64encode(json.dumps({'username': obj.username}).encode()).decode()
        #第二段,同理把pk也转了
        t2 = base64.b64encode(json.dumps({'pk': obj.id}).encode()).decode()
        #第三段,用md5加密,内容是一个字典,第三个东西是唯一的django的密钥
        t3_json = json.dumps({
            'username': obj.username,
            'pk': obj.id,
            'key': settings.SECRET_KEY
        })
        t3 = hashlib.md5(t3_json.encode()).hexdigest()
        #返回这种形式的token
        return '%s.%s.%s' % (t1, t2, t3)
    
    

    authentications:

    from rest_framework.authentication import BaseAuthentication
    from rest_framework.exceptions import AuthenticationFailed
    class TokenAuthentication(BaseAuthentication):
        prefix = 'Token'
        def authenticate(self, request):
            # 拿到前台的token,必须要是 "token"+空格+"token内容" 形式,不然就不满足下面。
            auth = request.META.get('HTTP_AUTHORIZATION')
            # 没有返回None,有进行校验
            if not auth:
                return None
            auth_list = auth.split()
    
            if not (len(auth_list) == 2 and auth_list[0].lower() == self.prefix.lower()):
                raise AuthenticationFailed('非法用户')
    
            token = auth_list[1]
    
            # 校验算法
            user = _get_obj(token)
            # 校验失败抛异常,成功返回(user, token)
            return (user, token)
    
    # 校验算法(认证类)与签发算法配套
    """
    拆封token:一段 二段 三段
    用户名:b64decode(一段)
    用户主键:b64decode(二段)
    碰撞解密:md5(用户名+用户主键+服务器秘钥) == 三段
    """
    import base64, json, hashlib
    from django.conf import settings
    from api.models import User
    def _get_obj(token):
        token_list = token.split('.')
        if len(token_list) != 3:
            raise AuthenticationFailed('token异常')
        username = json.loads(base64.b64decode(token_list[0])).get('username')
        pk = json.loads(base64.b64decode(token_list[1])).get('pk')
    
        md5_dic = {
            'username': username,
            'pk': pk,
            'key': settings.SECRET_KEY
        }
    
        if token_list[2] != hashlib.md5(json.dumps(md5_dic).encode()).hexdigest():
            raise AuthenticationFailed('token内容异常')
    
        user_obj = User.objects.get(pk=pk, username=username)
        return user_obj
    
    
    """ 认证类的认证核心规则
    def authenticate(self, request):
        token = get_token(request)
        try:
            user = get_user(token)  # 校验算法
        except:
            raise AuthenticationFailed()
        return (user, token)
    """
    
    

    permissions:

    # 自定义权限类
    """
    权限模块工作原理
    1)继承BasePermission类,重写has_permission方法
    2)权限规则(has_permission方法实现体):
        返回True,代表有权限
        返回False,代表无权限
    """
    from rest_framework.permissions import BasePermission
    class SuperUserPermission(BasePermission):
        def has_permission(self, request, view):
            # print(request.user)
            # print(request.auth)
    
            return request.user and request.user.is_superuser
    
    
    
    
    

    views

    from rest_framework.generics import ListAPIView
    from . import models, serializers
    # 查看所有用户信息,前提:必须是登录的超级管理员
    # 这里导入自己写的用户认证模块和权限模块
    from utils.authentications import TokenAuthentication
    from utils.permissions import SuperUserPermission
    #使用视图家族的工具视图类,继承ListView,实现get方法群查
    class UserListAPIView(ListAPIView):
        # 同电商网站,多接口是不需要登录的,少接口需要登录,使用在需要登录的接口中完成局部配置,进行局部接口校验
        #完成局部配置认证模块和权限模块,写了下面两句之后,将不会走drf的认证和权限模块
        authentication_classes = [TokenAuthentication]
        permission_classes = [SuperUserPermission]
    	
        #先获取所有活跃的,非超级用户的用户queryset
        queryset = models.User.objects.filter(is_active=True, is_superuser=False).all()
        #送去序列化
        serializer_class = serializers.UserModelSerializer
    	#强迫症非要自己格式化返回样式,于是重写get方法
        def get(self, request, *args, **kwargs):
            response = self.list(request, *args, **kwargs)
            return APIResponse(data=response.data)
    
    
    # 登录接口:如果是超级管理员登录,返回一个可以交易出超级管理员的token字符串
    # 只要有用户登录,就可以返回一个与登录用户相关的token字符串 => 返回给前台 => 签发token => user_obj -> token_str
    
    from rest_framework.generics import GenericAPIView
    class LoginAPIView(APIView):
        # 登录接口一定要做:局部禁用 认证 与 权限 校验,不然登录接口都进不去,玩毛
        authentication_classes = []
        permission_classes = []
        def post(self, request, *args, **kwargs):
            #送去反序列化
            serializer = serializers.LoginModelSerializer(data=request.data)
            # 重点:校验成功后,就可以返回信息,一定不能调用save方法,因为该post方法只完成数据库查操作
            # 所以校验会得到user对象,并且在校验过程中,会完成token签发(user_obj -> token_str)
            serializer.is_valid(raise_exception=True)
            return APIResponse(data={
                'username': serializer.user.username,
                #在反序列化类里面会生成一个user和token放在名称空间里,所以这里能返回
                'token': serializer.token
            })
    
    
    
    
  • 相关阅读:
    华为帐号服务助力应用运营和用户转化
    【接入指南】华为帐号服务Authorization Code模式介绍与接入步骤详解
    华为游戏登录验签失败can not find publicKey of the cp
    [古文观止]《相州昼锦堂记》(宋 欧阳修)
    [源码分析] Dynomite 分布式存储引擎 之 DynoJedisClient(2)
    [源码分析] Dynomite 分布式存储引擎 之 DynoJedisClient(1)
    Amazon Dynamo系统架构
    [从源码学设计] Flume 之 memory channel
    [阿里DIEN] 深度兴趣进化网络源码分析 之 Keras版本
    [从源码学设计]蚂蚁金服SOFARegistry之延迟操作
  • 原文地址:https://www.cnblogs.com/chanyuli/p/11965097.html
Copyright © 2020-2023  润新知