• day 81 drf三大认证


    1、认证、权限、频率的工作原理(基础哪个类、重写哪个方法、方法的实现体要完成什么事)

    认证:

    认证模块工作原理
    1)继承BaseAuthentication类,重写authenticate方法
    2)认证规则(authenticate方法实现体):
    没有携带认证信息,直接返回None => 游客
    有认证信息,校验失败,抛异常 => 非法用户
    有认证信息,校验出User对象 => 合法用户

    权限:

    权限模块工作原理
    1)继承BasePermission类,重写has_permission方法
    2)权限规则(has_permission方法实现体):
    返回True,代表有权限
    返回False,代表无权限

    频率:

    2、自定义User表
    继承AbstractUser、配置AUTH_USER_MODEL、配置admin(UserAdmin密文操作密码)

    继承AbstractUser

    from django.db import models
    from django.contrib.auth.models import AbstractUser
    class User(AbstractUser):
    mobile = models.CharField(max_length=11, unique=True)
    class Meta:
    db_table = 'od_user'
    verbose_name_plural = '用户表'
    def __str__(self):
    return self.username

    配置AUTH_USER_MODEL

    # 修改auth模块的用户表指向
    AUTH_USER_MODEL = 'api.User'

    配置admin(UserAdmin密文操作密码

    from django.contrib import admin
    from . import models

    # admin注册自定义User表:密文操作密码
    from django.contrib.auth.admin import UserAdmin as AuthUserAdmin
    class UserAdmin(AuthUserAdmin):
    add_fieldsets = (
    (None, {
    'classes': ('wide',),
    # 添加用户界面可操作的字段
    'fields': ('username', 'password1', 'password2', 'mobile', 'email', 'is_staff', 'is_active'),
    }),
    )
    list_display = ('username', 'mobile', 'email', 'is_staff', 'is_active')

    # 明文操作密码,admin可视化添加的用户密码都是明文,登录时用的是密文,所以用户无法登录
    # admin.site.register(models.User)
    admin.site.register(models.User, UserAdmin)

    3、一个需要登录后的群查接口UserList、一个获取LoginAPIView成功的Token

    from rest_framework.generics import ListAPIView
    from . import models, serializers
    # 查看所有用户信息,前提:必须是登录的超级管理员
    from utils.authentications import TokenAuthentication
    from utils.permissions import SuperUserPermission
    class UserListAPIView(ListAPIView):
    # 同电商网站,多数接口是不需要登录的,少数接口需要登录,所以在需要登录的接口中完成局部配置,进行局部接口校验
    authentication_classes = [TokenAuthentication]
    permission_classes = [SuperUserPermission]

    queryset = models.User.objects.filter(is_active=True, is_superuser=False).all()
    serializer_class = serializers.UserModelSerializer

    def get(self, request, *args, **kwargs):
    response = self.list(request, *args, **kwargs)
    return APIResponse(data=response.data)


    # 登录接口:如果是超级管理员登录,返回一个可以查找出超级管理员的token字符串
    # 只要有用户登录,就可以返回一个与登录用户相关的token字符串 => 返回给前台 => 签发token => user_obj -> token_str

    from rest_framework.generics import GenericAPIView
    class LoginAPIView(APIView):
    # 登录接口一定要做:局部禁用 认证 与 权限 校验
    authentication_classes = []
    permission_classes = []
    def post(self, request, *args, **kwargs):
    serializer = serializers.LoginModelSerializer(data=request.data)
    # 重点:校验成功后,就可以返回信息,一定不能调用save方法,因为该post方法只完成数据库查操作
    # 所以校验会得到user对象,并且在校验过程中,会完成token签发(user_obj -> token_str)
    serializer.is_valid(raise_exception=True)
    return APIResponse(data={
    'username': serializer.user.username,
    'token': serializer.token
    })


    4、LoginAPIView要根据请求的usr、pwd交给序列化类,全局校验得到 user、token
    签发token的算法

    from django.contrib.auth import authenticate
    class LoginModelSerializer(ModelSerializer):
    # username和password字段默认会走系统校验,而系统的post请求校验,一定当做增方式校验,所以用户名会出现 重复 的异常
    # 所以自定义两个字段接收前台的账号密码
    usr = serializers.CharField(write_only=True)
    pwd = serializers.CharField(write_only=True)
    class Meta:
    model = models.User
    fields = ('usr', 'pwd')
    def validate(self, attrs):
    usr = attrs.get('usr')
    pwd = attrs.get('pwd')
    try:
    user_obj = authenticate(username=usr, password=pwd)
    except:
    raise ValidationError({'user': '提供的用户信息有误'})

    # 拓展名称空间
    self.user = user_obj
    # 签发token
    self.token = _get_token(user_obj)
    return attrs


    # 自定义签发token
    # 分析:拿user得到token,后期还需要通过token得到user
    # token:用户名(base64加密).用户主键(base64加密).用户名+用户主键+服务器秘钥(md5加密)
    # eg: YWJj.Ao12bd.2c953ca5144a6c0a187a264ef08e1af1

    # 签发算法:b64encode(用户名).b64encode(用户主键).md5(用户名+用户主键+服务器秘钥)
    # 校验算法(认证类)与签发算法配套
    """
    拆封token:一段 二段 三段
    用户名:b64decode(一段)
    用户主键:b64decode(二段)
    碰撞解密:md5(用户名+用户主键+服务器秘钥) == 三段
    """
    def _get_token(obj):
    import base64, json, hashlib
    from django.conf import settings
    t1 = base64.b64encode(json.dumps({'username': obj.username}).encode()).decode()
    t2 = base64.b64encode(json.dumps({'pk': obj.id}).encode()).decode()
    t3_json = json.dumps({
    'username': obj.username,
    'pk': obj.id,
    'key': settings.SECRET_KEY
    })
    t3 = hashlib.md5(t3_json.encode()).hexdigest()
    return '%s.%s.%s' % (t1, t2, t3)
    
    

    5、自定义认证类,校验token
    校验token的算法

    from rest_framework.authentication import BaseAuthentication
    from rest_framework.exceptions import AuthenticationFailed
    class TokenAuthentication(BaseAuthentication):
    prefix = 'Token'
    def authenticate(self, request):
    # 拿到前台的token
    auth = request.META.get('HTTP_AUTHORIZATION')
    # 没有返回None,有进行校验
    if not auth:
    return None
    auth_list = auth.split()

    if not (len(auth_list) == 2 and auth_list[0].lower() == self.prefix.lower()):
    raise AuthenticationFailed('非法用户')

    token = auth_list[1]

    # 校验算法
    user = _get_obj(token)
    # 校验失败抛异常,成功返回(user, token)
    return (user, token)

    # 校验算法(认证类)与签发算法配套
    """
    拆封token:一段 二段 三段
    用户名:b64decode(一段)
    用户主键:b64decode(二段)
    碰撞解密:md5(用户名+用户主键+服务器秘钥) == 三段
    """
    import base64, json, hashlib
    from django.conf import settings
    from api.models import User
    def _get_obj(token):
    token_list = token.split('.')
    if len(token_list) != 3:
    raise AuthenticationFailed('token异常')
    username = json.loads(base64.b64decode(token_list[0])).get('username')
    pk = json.loads(base64.b64decode(token_list[1])).get('pk')

    md5_dic = {
    'username': username,
    'pk': pk,
    'key': settings.SECRET_KEY
    }

    if token_list[2] != hashlib.md5(json.dumps(md5_dic).encode()).hexdigest():
    raise AuthenticationFailed('token内容异常')

    user_obj = User.objects.get(pk=pk, username=username)
    return user_obj

    6、自定义权限类
    指定权限规则

    from rest_framework.permissions import BasePermission
    class SuperUserPermission(BasePermission):
    def has_permission(self, request, view):
    # print(request.user)
    # print(request.auth)
    return request.user and request.user.is_superuser

    7、登录接口必须完成所有认证权限局部禁用,权限接口在权限类中局部配置自定义认证权限类(或在全局配置)

  • 相关阅读:
    Maven创建项目: Failed to execute goal org.apache.maven.plugin( mvn archetype:create)
    maven仓库--私服(Nexus的配置使用)
    maven仓库--私服(Nexus的配置使用)
    maven仓库--私服(Nexus的配置使用)
    maven中snapshot快照库和release发布库的区别和作用
    maven中snapshot快照库和release发布库的区别和作用
    maven中snapshot快照库和release发布库的区别和作用
    Bugzilla使用手册及解决方案
    jQuery常见的几个文档处理方式
    正则表达式实现对多个表格的某一指定字段的样式添加
  • 原文地址:https://www.cnblogs.com/wwei4332/p/11929914.html
Copyright © 2020-2023  润新知