drf 认证校验及源码分析

认证校验

   认证校验是十分重要的,如用户如果不登陆就不能访问某些接口。

   drf中认证的写法流程如下:

   1.写一个类,继承BaseAuthentication,并且覆写其authenticate方法

   2.当认证通过后应该返回两个值,并且第一个值会传递给request.user这个属性中,第二个值将会传递给request.auth这个属性中

   3.如果认证失败,则抛出异常APIException或者AuthenticationFailed,它会自动捕获并返回

   4.当前认证类设置是全局使用还是局部使用

准备工作

   我们有一个登录功能,并且还有一个查询商品的接口,只有当用户登录后才能进行查询,否则就不可以。

模型表

   两张表如下:

from django.db import models


class User(models.Model):
    # 用户
    user_id = models.AutoField(primary_key=True)
    user_name = models.CharField(max_length=32)
    user_password = models.CharField(max_length=32)
    user_token = models.CharField(max_length=64,unique=True,null=True)  # token,唯一

    def __str__(self):
        return self.user_name

    class Meta:
        db_table = ""
        managed = True
        verbose_name = "User"
        verbose_name_plural = "Users"

class Merchandise(models.Model):
    # 商品
    merchandise_id = models.AutoField(primary_key=True)
    merchandise_name = models.CharField(max_length=32)
    merchandise_price = models.IntegerField()

    def __str__(self):
        return self.merchandise_name

    class Meta:
        db_table = ""
        managed = True
        verbose_name = "Merchandise"
        verbose_name_plural = "Merchandises"

   用户表的数据如下:

   image-20201031170412050

   商品表的数据如下:

   image-20201031171236819

   现在,只有当用户登录后,才能够访问商品的接口。

   也就是说,用户的token自动如果为空,将会被认为没有登陆。

序列类

   下面是序列类,我们只展示商品,用户列表将不会展示:

from rest_framework.serializers import ModelSerializer
from . import models

class MerchandiseModelSerializer(ModelSerializer):
    class Meta:
        model = models.Merchandise
        fields = "__all__"
        

视图

   视图,我们只写了关于用户登录与商品的接口:

from uuid import uuid4
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.viewsets import ModelViewSet

from . import models
from . import ser
from . import authLogin  # 导入认证的文件

class MerchandiseAPI(ModelViewSet):
    queryset = models.Merchandise.objects.all()
    serializer_class = ser.MerchandiseModelSerializer

class Login(APIView):
    def post(self,request):
        # 代表用户登录
        login_msg = {
            "user_name": request.data.get("user_name"),
            "user_password": request.data.get("user_password"),
        }
        user_obj = models.User.objects.filter(**login_msg).first()
        if user_obj:
            token = uuid4()  # 生成随机字符串
            user_obj.user_token = token
            user_obj.save()
            return Response(data="登录成功",headers={"token":token})  # 返回随机字符串
        else:
            return Response(data="登录失败,用户名或密码错误")

url

   使用自动生成路由:

from django.contrib import admin
from django.urls import path, re_path
from rest_framework.routers import SimpleRouter

from app01 import views

router = SimpleRouter()
router.register("merchandises",views.MerchandiseAPI)

urlpatterns = [
    path('admin/', admin.site.urls),
    path('login/',views.Login.as_view()),
]
urlpatterns.extend(router.urls)


基本使用

认证类

   接下来我们要书写一个认证类:

from rest_framework.authentication import BaseAuthentication  # 继承的基类
from rest_framework.exceptions import AuthenticationFailed  # 异常
from . import models
from django.http import request

class LoginVerify(BaseAuthentication):
    def authenticate(self, request):
        token = request.META.get("HTTP_TOKEN")
        # 如果在请求头中设置的是token的key名,获取时一定要全大写并加上HTTP
        if not token:
            raise AuthenticationFailed("请求失败,请求头中缺少token")
        else:
            user_obj = models.User.objects.filter(user_token=token).first()  # 获取用户对象
            if user_obj:
                return user_obj,user_obj.user_token  # 返回用户本身和token。这样request.user里面就能拿到该用户了
            else:
                raise AuthenticationFailed("token不存在,用户不存在,请不要伪造登录")

局部使用

   只需要在商品接口中设置一个类属性,该接口便会进行认证。

class MerchandiseAPI(ModelViewSet):
    authentication_classes = [authLogin.LoginVerify]  # 使用认证
    queryset = models.Merchandise.objects.all()
    serializer_class = ser.MerchandiseModelSerializer 

全局使用

   只需要在settings.py中进行配置。

REST_FRAMEWORK={
    "DEFAULT_AUTHENTICATION_CLASSES":["app01.authLogin.LoginVerify",]
}

   如果想取消某个接口的认证,则在其中设置类属性authentication_classes是一个空列表。

   如下所示,登录功能不需要验证,我们对他取消掉即可。

class Login(APIView):
	authentication_classes = []

源码分析

流程分析

   由于modelViewSet继承自APIView,所以我们直接看as_view(),在下面这一句代码中,将会对request进行二次封装。

    def dispatch(self, request, *args, **kwargs):

        self.args = args
        self.kwargs = kwargs
        request = self.initialize_request(request, *args, **kwargs)  # 这里
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

   在二次封装中,实例化出了一个Request对象并返回了,在实例化时,会调用self.get_authenticators()方法,此时的self是我们自定义的视图类,切记这一点。

    def initialize_request(self, request, *args, **kwargs):
        """
        Returns the initial request object.
        """
        parser_context = self.get_parser_context(request)

        return Request(
            request,
            parsers=self.get_parsers(),
            authenticators=self.get_authenticators(),  # 看这里,获取认方式
            negotiator=self.get_content_negotiator(),
            parser_context=parser_context
        )

   下面是get_authenticators()的代码,可以看见它会循环self.authentication_classes这个可迭代对象,如果你没有传递这个可迭代对象,那么该对象是一个默认的设置。

    def get_authenticators(self):
        return [auth() for auth in self.authentication_classes] # ( authLogin.LoginVerify调用,实例化 )

   如果没有传递,将会找到APIView中的默认设置:

	class APIView(View):
        renderer_classes = api_settings.DEFAULT_RENDERER_CLASSES
        parser_classes = api_settings.DEFAULT_PARSER_CLASSES
        authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES  # 默认的设置,默认的认证类,可以自己看一下

   如果有进行传递,可以发现它是使用了一个括号,这就代表会调用,由于传入的是一个类,所以它会进行实例化。

   所以我们可以认为request.authenticators这个参数是一个tuple,里面包含了认证类的实例化对象。

   然后,request就被二次包装完毕了。接下来执行 self.initial(),现在的self依然是我们自定义的视图类。

    def dispatch(self, request, *args, **kwargs):
        """
        `.dispatch()` is pretty much the same as Django's regular dispatch,
        but with extra hooks for startup, finalize, and exception handling.
        """
        self.args = args
        self.kwargs = kwargs
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
            self.initial(request, *args, **kwargs)

   下面是self.inital()的代码,

    def initial(self, request, *args, **kwargs):

        self.format_kwarg = self.get_format_suffix(**kwargs)

        self.perform_authentication(request)  # 只看这个,认证相关的
        self.check_permissions(request)
        self.check_throttles(request)

   到了self.perform_authentication()时,它传递进了个request,并且会去找user这个属性抑或是被property装饰的方法,所以我们需要到Request这个类中去找,需要注意的是如果user是一个方法,这代表会自动传递进self,此时的self则是我们经过二次封装的request对象。

   可以发现它是一个被装饰的方法。很显然我们没有_user这个方法或属性,会执行with语句,其实直接看self._authenticate()即可。再次强调,此次的self是二次封装的request对象。

    @property
    def user(self):
        if not hasattr(self, '_user'):
            with wrap_attributeerrors():
                self._authenticate()
        return self._user

   下面是整个代码的核心。

    def _authenticate(self):
 
        for authenticator in self.authenticators:  # 循环认证类对象 ( authLogin.LoginVerify的实例化 )
            try:
                user_auth_tuple = authenticator.authenticate(self) # 这里会找authenticate方法并将request对象进行传递,我们的认证类继承了BaseAuthentication这个类,它会实现一个接口方法, 但会抛出异常。
            except exceptions.APIException:   # 如果没有实现接口方法,或在验证时抛出异常都会被这里捕获
                self._not_authenticated()  # 执行这里 self.user将会是匿名用户AnonymousUser,而self.auth则是None
                raise

            if user_auth_tuple is not None:  # 如果返回的值不是空
                self._authenticator = authenticator  
                self.user, self.auth = user_auth_tuple  # 分别赋值给self.user,以及self.auth中
                return  # 返回

        self._not_authenticated()  # 上面有认证对象就会return,没有还是设置匿名用户和None

最后总结

   其实看了源码后,你可以发现我们的认证类可以不继承BaseAuthentication,但是推荐继承会更规范,因为这个基类实现了抽象接口。

   其次,它将返回的两个值分别赋值给了request.user以及request.auth

   如果你没有返回值,那么对应的,request.user就是匿名用户,request.auth就是None

   如果你没有配置认证类,其实它会走默认的认证类。

   老规矩,关于配置认证类时依旧是先用局部的,再用全局的,最后是用默认的,如果你的上面的源码确实有感觉了的话,应该能够看懂。

posted @ 2020-10-31 22:58  云崖先生  阅读(309)  评论(0编辑  收藏  举报