概述
在介绍Django REST Framework(二):Request和Response 时提到,DRF提供了对身份验证和权限的处理机制,特点如下:
- 1.对API的不同部分使用不同的认证策略;
- 2.支持多种身份验证策略;
- 3.对每个请求提供了用户和token信息。
在这篇文章中,将对身份验证和权限进行总结。使用时需要导入对应包:
from rest_framework import authenication from rest_framework import permissions
NOTE:
由于是身份验证,因此我们首先得创建一个用户,Django中可通过如下命令创建一个管理员用户:
python manange.py createsuperuser
1.Authentication
身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)进行关联的一种机制,以便权限和策略可以根据这个标识证书来决定是否允许该请求。因此,身份验证发生在验证权限和限制检查之前。
当收到的请求通过身份验证时:
request.user属性会设置为django.contrib.auth.User对象,即我们登录的对象(我们定义用户继承于User)。
request.auth会设置为对应的Token(如果带有Token)或者None(如果不带有Token)。
当收到请求身份验证失败时:
- request.user属性会设置为django.contrib.auth.models.AnonymousUser对象。
- request.auth会设置为None。
1.1.验证方式(Authentication Scheme)
rest_framework.auth中提供了以下四个身份验证方式:
1.BasicAuthentication
使用HTTP、HTTPS的基本验证方式进行身份验证,即username/password验证方式,验证失败则返回HTTP 401 Unauthorized响应。
2.SessionAuthentication
使用Django的Session后台框架进行身份验证,验证失败则返回HTTP 403 Forbidden响应。
3.TokenAuthentication
基于Token的身份验证方式,客户端在请求时携带有一个Authorization的请求头,和一个以”Token”开头的字符串,如:
Authorization: Token 401f7ac837da42b97f613d789819ff93537bee6a
如果验证失败,返回HTTP 401 Unauthorized响应。
使用TokenAuthentication时,需要使用Token Model来创建一个数据表,做如下配置:
INSTALLED_APPS = (
...
'rest_framework.authtoken'
)
运行python manage.py makemigrations和python manage.py migrate之后会生成一张authtoken_token的数据表,用来存放Token信息。
实际上,TokenAuthentication这种验证方式是每当创建一个用户,会生成对应的一个Token信息,并将该Token信息存放在数据表中。当收到请求时,将请求头中携带的Token和数据表中的Token进行验证,如果匹配则验证通过。因此,这种方式有两个缺点:
- 1.如果是分布式系统,则在每个主机上都需要同步数据表中的Token信息;
- 2.数据库中的数据无过期时间,一旦泄露,则带来安全问题。
因此,在项目开发中经常使用另一个基于Token的验证方式——JSONWebToken,关于JWT相关内容会在之后的文章中进行总结。
1.4.RemoteUserAuthentication
远程用户验证,将身份验证委托给服务器进行,服务器中必须有REMOTE_USER环境变量。
1.2.配置Authientacation Scheme
配置验证方式有两种方式:
1.配置全局默认验证方式
配置全局默认验证方式对所有View都有效,在项目配置文件settings.py中使用DEFAULT_AUTHENTICATION_CLASSES:
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.BasicAuthentication',
'rest_framework.authentication.SessionAuthentication',
)
}
上述配置也是默认配置。
2.配置当前View的验整方式
from rest_framework import authentication
class Show(viewsets.ModelViewSet):
serializer_class = SnippetSerializer
queryset = Snippet.objects.all()
authentication_classes = (authentication.BasicAuthentication,)
由于Authenication仅仅是进行身份校验(根据request标记凭据),它并不能对接收的请求进行限制,如果需要对请求进行限制,还需要使用Permission进行限制。
2.Permission
权限检查通常使用request.user和request.auth属性中的身份验证信息来确定是否应允许传入请求。
当权限检查失败时,将根据以下规则返回HTTP 403 Forbidden或HTTP 401 Unauthorized:
- 1.如果收到的请求身份验证通过,但是权限验证失败,则返回HTTP 403 Forbidden;
- 2.如果收到的请求身份验证失败,且最高优先级验证类不能使用WWW-Authenticate请求头,则返回HTTP 403 Forbidden;
- 3.如果收到的请求身份验证失败,且最高优先级验证类可以使用WWW-Authenticate请求头,则返回HTTP 401 Unauthorized。
2.1.权限级别
1.IsAuthenticated
表示仅仅允许身份验证通过的用户访问,其他用户无法访问。
2.IsAuthenticatedOrReadOnly
表示仅仅允许身份验证通过的用户访问,或者只允许只读请求(GET请求)访问。
3.IsAdminUser
表示仅仅允许管理员用户访问,普通用户无法访问。
其它权限不常用,就不一一整理,参考请见官方文档.
2.2.配置权限
配置权限也有两种方式:
1.配置全局默认访问权限
在settings.py中,用DEFAULT_PERMISSION_CLASSES配置:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
)
}
2.配置当前View访问权限
from rest_framework.permissions import IsAuthenticated
class Show(viewsets.ModelViewSet):
serializer_class = SnippetSerializer
queryset = Snippet.objects.all()
authentication_classes = (authentication.BasicAuthentication,)
permission_classes = (IsAuthenticated, )