• 五, Authentication和Permissions


    概述

    在介绍Django REST Framework(二):Request和Response 时提到,DRF提供了对身份验证和权限的处理机制,特点如下:

    • 1.对API的不同部分使用不同的认证策略;
    • 2.支持多种身份验证策略;
    • 3.对每个请求提供了用户和token信息。

    在这篇文章中,将对身份验证和权限进行总结。使用时需要导入对应包:

    from rest_framework import authenication
    from rest_framework import permissions

    NOTE:
    由于是身份验证,因此我们首先得创建一个用户,Django中可通过如下命令创建一个管理员用户:
    python manange.py createsuperuser

    1.Authentication

    身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)进行关联的一种机制,以便权限和策略可以根据这个标识证书来决定是否允许该请求。因此,身份验证发生在验证权限和限制检查之前。

    当收到的请求通过身份验证时:

    request.user属性会设置为django.contrib.auth.User对象,即我们登录的对象(我们定义用户继承于User)。
    request.auth会设置为对应的Token(如果带有Token)或者None(如果不带有Token)。
    当收到请求身份验证失败时:

    • request.user属性会设置为django.contrib.auth.models.AnonymousUser对象。
    • request.auth会设置为None。

    1.1.验证方式(Authentication Scheme)

    rest_framework.auth中提供了以下四个身份验证方式:

    1.BasicAuthentication

    使用HTTP、HTTPS的基本验证方式进行身份验证,即username/password验证方式,验证失败则返回HTTP 401 Unauthorized响应。

    2.SessionAuthentication

    使用Django的Session后台框架进行身份验证,验证失败则返回HTTP 403 Forbidden响应。

    3.TokenAuthentication

    基于Token的身份验证方式,客户端在请求时携带有一个Authorization的请求头,和一个以”Token”开头的字符串,如:

    Authorization: Token 401f7ac837da42b97f613d789819ff93537bee6a


    如果验证失败,返回HTTP 401 Unauthorized响应。

    使用TokenAuthentication时,需要使用Token Model来创建一个数据表,做如下配置:

    INSTALLED_APPS = (
        ...
        'rest_framework.authtoken'
    )

    运行python manage.py makemigrations和python manage.py migrate之后会生成一张authtoken_token的数据表,用来存放Token信息。

    实际上,TokenAuthentication这种验证方式是每当创建一个用户,会生成对应的一个Token信息,并将该Token信息存放在数据表中。当收到请求时,将请求头中携带的Token和数据表中的Token进行验证,如果匹配则验证通过。因此,这种方式有两个缺点:

    • 1.如果是分布式系统,则在每个主机上都需要同步数据表中的Token信息;
    • 2.数据库中的数据无过期时间,一旦泄露,则带来安全问题。

    因此,在项目开发中经常使用另一个基于Token的验证方式——JSONWebToken,关于JWT相关内容会在之后的文章中进行总结。

    1.4.RemoteUserAuthentication

    远程用户验证,将身份验证委托给服务器进行,服务器中必须有REMOTE_USER环境变量。

    1.2.配置Authientacation Scheme

    配置验证方式有两种方式:

    1.配置全局默认验证方式

    配置全局默认验证方式对所有View都有效,在项目配置文件settings.py中使用DEFAULT_AUTHENTICATION_CLASSES:

    REST_FRAMEWORK = {
        'DEFAULT_AUTHENTICATION_CLASSES': (
            'rest_framework.authentication.BasicAuthentication',
            'rest_framework.authentication.SessionAuthentication',
        )
    }

    上述配置也是默认配置。

    2.配置当前View的验整方式

    from rest_framework import authentication
    
    
    class Show(viewsets.ModelViewSet):
    
        serializer_class = SnippetSerializer
        queryset = Snippet.objects.all()
    
        authentication_classes = (authentication.BasicAuthentication,)

    由于Authenication仅仅是进行身份校验(根据request标记凭据),它并不能对接收的请求进行限制,如果需要对请求进行限制,还需要使用Permission进行限制。

    2.Permission

    权限检查通常使用request.user和request.auth属性中的身份验证信息来确定是否应允许传入请求。

    当权限检查失败时,将根据以下规则返回HTTP 403 Forbidden或HTTP 401 Unauthorized:

    • 1.如果收到的请求身份验证通过,但是权限验证失败,则返回HTTP 403 Forbidden;
    • 2.如果收到的请求身份验证失败,且最高优先级验证类不能使用WWW-Authenticate请求头,则返回HTTP 403 Forbidden;
    • 3.如果收到的请求身份验证失败,且最高优先级验证类可以使用WWW-Authenticate请求头,则返回HTTP 401 Unauthorized。

    2.1.权限级别

    1.IsAuthenticated

    表示仅仅允许身份验证通过的用户访问,其他用户无法访问。

    2.IsAuthenticatedOrReadOnly

    表示仅仅允许身份验证通过的用户访问,或者只允许只读请求(GET请求)访问。

    3.IsAdminUser

    表示仅仅允许管理员用户访问,普通用户无法访问。

    其它权限不常用,就不一一整理,参考请见官方文档.

    2.2.配置权限

    配置权限也有两种方式:

    1.配置全局默认访问权限

    在settings.py中,用DEFAULT_PERMISSION_CLASSES配置:

    REST_FRAMEWORK = {
        'DEFAULT_PERMISSION_CLASSES': (
            'rest_framework.permissions.IsAuthenticated',
        )
    }
    

      

    2.配置当前View访问权限

    from rest_framework.permissions import IsAuthenticated
    
    
    class Show(viewsets.ModelViewSet):
    
        serializer_class = SnippetSerializer
        queryset = Snippet.objects.all()
        authentication_classes = (authentication.BasicAuthentication,)
        permission_classes = (IsAuthenticated, )
    
  • 相关阅读:
    StrBlobPtr类——weak_ptr访问vector元素
    StrBlob类——智能指针作为成员
    关于智能指针类型shared_ptr的计数问题
    桌面计算器——可调用对象练习
    union
    虚析构函数
    条款04 确定对象被使用前已先被初始化
    条款03 尽可能使用const
    Bugku-CTF之web8(txt????)
    Bugku-CTF之各种绕过
  • 原文地址:https://www.cnblogs.com/yoyo1216/p/10444615.html
Copyright © 2020-2023  润新知