一、API使用流程
使用过API的同学都知道,我们不可能任意调用人家的API,因为通过API可以获取很多关键数据,而且这个API可能供多个部门或个人使用,所以必须是经过授权的用户才能调用。
API的使用过程一般是:
携带用户名和密码(或者是AK/SK)之类的信息进行登陆,获得一个授权的Token,后续通过此Token进行资源申请。流程图如下:
(A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权,给用户username和password。 (C)客户端使用B中的信息获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。
二、REST-framework实现
1、用户登陆url
urls文件
url(r'^login/$', views.LoginView.as_view(),name="login"),
2、models文件
新增用户表和token表
class User(models.Model):
name=models.CharField(max_length=32)
pwd=models.CharField(max_length=32)
class Token(models.Model):
user=models.OneToOneField("User")
token = models.CharField(max_length=128)
def __str__(self):
return self.token
3、serializer.py文件
用户表api序列化
class AuthorModelSerializers(serializers.ModelSerializer):
class Meta:
model = Author
fields = "__all__"
4、views函数
1、实现user表API
2、通过LoginView函数,实现用户登陆,登陆成功后保存token到数据库,并返回给用户信息;登陆失败则给用户提示。
注意:
用户每次登陆时才会进行认证,生成一次token,不需要每次调用api接口都生成新的token。
class AuthorModelView(viewsets.ModelViewSet):
queryset = Author.objects.all()
serializer_class = AuthorModelSerializers
def get_random_str(user):
import hashlib,time
ctime=str(time.time())
md5=hashlib.md5(bytes(user,encoding="utf8"))
md5.update(bytes(ctime,encoding="utf8"))
return md5.hexdigest()
from .models import User
class LoginView(APIView):
def post(self,request):
name=request.data.get("name")
pwd=request.data.get("pwd")
user=User.objects.filter(name=name,pwd=pwd).first()
res = {"state_code": 1000, "msg": None}
if user:
random_str=get_random_str(user.name)
token=Token.objects.update_or_create(user=user,defaults={"token":random_str})
res["token"]=random_str
else:
res["state_code"]=1001 #错误状态码
res["msg"] = "用户名或者密码错误"
import json
return Response(json.dumps(res,ensure_ascii=False))
注意:在python2中需要修改
def get_random_str(user):
import hashlib, time
ctime = str(time.time())
md5 = hashlib.md5(str(user))
md5.update(ctime)
return md5.hexdigest()
5、utils.py
将TokenAuth功能模块单独放入utils文件,便于扩展。
注意:
如果不继承BaseAuthentication,则需要我们自己写authenticate_header函数。
def authenticate_header(self, request):
pass
继承BASEAuthenticate后,则可以省略,因为他自带了。
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication
from .models import *
class TokenAuth(BaseAuthentication):
def authenticate(self,request):
token = request.GET.get("token")
token_obj = Token.objects.filter(token=token).first()
if not token_obj:
raise exceptions.AuthenticationFailed("验证失败123!")
else:
return token_obj.user.name,token_obj.token
三、应用
1、局部应用
当我们只需要对局部资源进行认证时,可以单独设定authentication_classes变量,指定token功能模块即可。
class AuthorModelView(viewsets.ModelViewSet):
authentication_classes = [TokenAuth,]
queryset = Author.objects.all()
serializer_class = AuthorModelSerializers
测试:
加上Token后:
2、全局应用
我们在setttings文件里面指定REST_FRAMEWORK变量即可。
REST_FRAMEWORK = {
"DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.TokenAuth",]
}
3、免token访问
全局应用后,所有资源都需要携带token才能访问,如果不希望经过认证的话,可以如下设置:
在对应View函数里面,设置变量authentication_classes为空列表即可。
authentication_classes = []
