概述
在介绍Django REST Framework(二):Request和Response 时提到,DRF提供了对身份验证和权限的处理机制,特点如下:
- 1.对API的不同部分使用不同的认证策略;
- 2.支持多种身份验证策略;
- 3.对每个请求提供了用户和token信息。
在这篇文章中,将对身份验证和权限进行总结。使用时需要导入对应包:
from rest_framework import authenication
from rest_framework import permissions
NOTE:
由于是身份验证,因此我们首先得创建一个用户,Django中可通过如下命令创建一个管理员用户:
python manange.py createsuperuser
1.Authentication
身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)进行关联的一种机制,以便权限和策略可以根据这个标识证书来决定是否允许该请求。因此,身份验证发生在验证权限和限制检查之前。
当收到的请求通过身份验证时:
request.user
属性会设置为django.contrib.auth.User
对象,即我们登录的对象(我们定义用户继承于User)。request.auth
会设置为对应的Token
(如果带有Token)或者None
(如果不带有Token)。
当收到请求身份验证失败时:
request.user
属性会设置为django.contrib.auth.models.AnonymousUser
对象。