说明
DRF认证组件根据前端传来的 '认证信息' 校验出合法用户与非法用户,合法用户会进入权限校验
- 合法用户: 游客(没有认证信息), 登录用户(有认证信息,认证成功)
- 非法用户: 有认证信息,但信息错误,直接抛出异常,返回403
认证组件的返回值若为None: 游客
认证组件的返回值若为元组: 登录用户
认证组件会将该元组内的user赋值给request.user, auth赋值给reuqest.auth
补充:
认证组件通过后,在视图类中request.user就一定有值
- 游客: print(request.user) -> AnonymousUser
- 登录用户: print(request.user) -> 用户对象
源码
def perform_authentication(self, request):
# 调用 Request类的 方法属性 user 方法 => self._authenticate() 完成认证
request.user
认证的细则:
# 做认证
def _authenticate(self): # self是request对象
# 遍历拿到一个个认证器(对象) 说明: self.authenticators就是一堆认证类的对象组成的列表 补充: 认证类全局或局部配置
for authenticator in self.authenticators: # authenticators的源码到Request类中查找
try:
# 认证器(对象)调用authenticate(认证类对象self, request)方法 补充: 自定义认证类要实现authenticate方法
user_auth_tuple = authenticator.authenticate(self) # 注意: authenticate(self)有两个参数,这里的self是request对象
# 返回值user_auth_tuple是登录的用户与认证信息组成的元组
except exceptions.APIException:
self._not_authenticated()
raise # 认证不通过抛出异常
# 认证通过后,有两种情况 1.user_auth_tuple为空, 2.user_auth_tuple不为空
if user_auth_tuple is not None: # 如果user_auth_tuple不为空
self._authenticator = authenticator
self.user, self.auth = user_auth_tuple # 解压赋值,将'登录用户'与'登录认证'分别保存到 request.user, request.auth
return
# user_auth_tuple为空,代表没有'登录用户'与'登录认证',这种情况是游客
self._not_authenticated()
自定义认证类
步骤:
1.继承BaseAuthentication类
2.重写authenticate(self, request)方法,自定义认证规则(核心), 源码中就是调用authenticate方法完成认证,返回元组
3.认证规则基于的条件:
- 没有认证信息返回None(游客)
- 有认证信息认证失败抛异常(非法用户)
- 有认证信息认证成功返回用户与认证信息的元素(合法用户)
4.完成视图类的全局(settings.py)或局部(视图类中)配置
补充:
前台在请求头中会携带认证信息(获取认证的字段要与前台约定),
且默认规范用 Authorization 字段为键 值是认证字符串
后台固定在请求对象的META字段中 HTTP_AUTHORIZATION 获取
'认证信息'由后台规定: 三段式或两段式
使用:
- authentications.py
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from . import models
class MyAuthentication(BaseAuthentication):
def authenticate(self, request):
# 获取认证字符串
auth = request.META.get('HTTP_AUTHORIZATION', None) # 请求头的信息被wsgiref转为str
print(auth) # auth abc.123.xyz
# 处理游客
if auth is None:
return None
# 设置认证字段小规则(两段式) : auth 认证字符串
auth_list = auth.split() # 按空格切分
# 校验合法用户还是非法用户
if not (len(auth_list) == 2 and auth_list[0].lower() == 'auth'):
raise AuthenticationFailed('认证信息有误, 非法用户')
# 合法的用户还需要从auth_list[1]中解析出来
# 注:假设一种情况,信息为abc.123.xyz,就可以解析出admin用户;实际开发,该逻辑一定是校验用户的正常逻辑
if auth_list[1] != 'abc.123.xyz': # 校验失败
raise AuthenticationFailed('用户校验失败,非法用户')
user = models.User.objects.filter(username='admin123').first()
if not user:
raise AuthenticationFailed('用户数据有误,非法用户')
return (user, None)
- 全局配置
settings.py
REST_FRAMEWORK = {
# 认证类配置
'DEFAULT_AUTHENTICATION_CLASSES': [
# drf自带的认证 SessionAuthentication与BasicAuthentication
# 'rest_framework.authentication.SessionAuthentication', # 一般不用,因为会重新启动csrf
# 'rest_framework.authentication.BasicAuthentication',
# 全局配置自定义认证类
'app01.authentications.MyAuthentication',
],
}
- 局部配置
class MyAPIView(APIView):
在需要配置的视图类中配置
authentication_calsses = []
pass