如何使用Django REST框架实现令牌身份验证

最新推荐文章于 2022-05-07 17:43:06 发布
最新推荐文章于 2022-05-07 17:43:06 发布
阅读量720 收藏
点赞数
分类专栏: Django RESTFramework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42517220/article/details/103774441
版权

 在本教程中,您将学习如何使用Django REST框架(DRF)实现基于标记的身份验证。令牌身份验证的工作方式是将用户名和密码交换为令牌,以便在所有后续请求中使用该令牌来标识服务器端的用户。

1. 设置项目

  让我们从头开始。安装Django和DRF:

pip install django
pip install djangorestframework

  新建一个项目

django-admin.py startproject myapi .

  进入项目目录

cd myapi

  启动一个新的应用程序,命名为core:

django-admin.py startapp core

  你的项目结构应该是这样的:

myapi/
 |-- core/
 |    |-- migrations/
 |    |-- __init__.py
 |    |-- admin.py
 |    |-- apps.py
 |    |-- models.py
 |    |-- tests.py
 |    +-- views.py
 |-- __init__.py
 |-- settings.py
 |-- urls.py
 +-- wsgi.py
manage.py

  在settings.py模块中,将您创建的应用程序core和安装的rest_framework应用程序添加到INSTALLED_APPS:

myapi/settings.py
INSTALLED_APPS = [
    # Django Apps
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',

    # Third-Party Apps
    'rest_framework',

    # Local Apps (Your project's apps)
    'myapi.core',
]

  返回项目根目录(manage.py脚本所在的文件夹),迁移数据库:

python manage.py migrate

  让我们创建我们的第一个API视图来测试一下:

myapi/core/views.py
from rest_framework.views import APIView
from rest_framework.response import Response

class HelloView(APIView):
    def get(self, request):
        content = {'message': 'Hello, World!'}
        return Response(content)

  现在在url .py模块中注册一个路径:

myapi/urls.py
from django.urls import path
from myapi.core import views

urlpatterns = [
    path('hello/', views.HelloView.as_view(), name='hello'),
]

  现在我们有了一个/hello/的API,我们可以执行GET请求。我们可以使用浏览器来使用这个端点,只需访问URL http://127.0.0.1:8000/hello/
在这里插入图片描述
  我们还可以通过传递querystring中的格式参数(如http://127.0.0.1:8000/hello/?format= JSON)来请求接收作为普通JSON数据的响应:
在这里插入图片描述
  这两种方法都适合尝试DRF API,但有时命令行工具更方便,因为我们可以更轻松地处理请求头。您可以使用curl,它在所有主要的Linux/macOS发行版上都广泛可用

curl http://127.0.0.1:8000/hello/

在这里插入图片描述
  但通常我更喜欢使用HTTPie,这是一个非常棒的Python命令行工具:

http http://127.0.0.1:8000/hello/

在这里插入图片描述
  现在我们使用token来保护这个API端点,这样我们就可以实现基于token的身份验证:

myapi/core/views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.permissions import IsAuthenticated  # <-- Here


class HelloView(APIView):
    permission_classes = (IsAuthenticated,)             # <-- And here

    def get(self, request):
        content = {'message': 'Hello, World!'}
        return Response(content)

  再次尝试访问API接口

http http://127.0.0.1:8000/hello/

在这里插入图片描述
  现在我们得到一个HTTP 403禁止错误。现在让我们实现令牌身份验证,以便访问此端点。

2. 实现令牌身份验证

  我们需要在settings.py模块中添加两条信息。第一个包括rest_framework.authtoken到你的INSTALLED_APPS,并包含到REST_FRAMEWORKTokenAuthentication:

myapi/settings.py
INSTALLED_APPS = [
    # Django Apps
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',

    # Third-Party Apps
    'rest_framework',
    'rest_framework.authtoken',  # <-- Here

    # Local Apps (Your project's apps)
    'myapi.core',
]

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',  # <-- And here
    ],
}

  迁移数据库以创建表来存储身份验证令牌

python manage.py migrate

在这里插入图片描述
  现在我们需要一个用户帐户,让我们创建一个使用manage.py命令行实用工具:

python manage.py createsuperuser --username vitor --email vitor@example.com

  生成令牌的最简单方法(仅用于测试)是再次使用命令行实用工具:

python manage.py drf_create_token vitor

在这里插入图片描述
  这段信息,随机字符串9054f7aa9305e012b3c2300408c3dfdf390fcddf是我们接下来要使用的身份验证

  现在我们有了TokenAuthentication请求认证,让我们尝试向/hello/ 接口再次发出一个请求

http http://127.0.0.1:8000/hello/

在这里插入图片描述
  注意我们的API现在向客户端提供请求信息是需要认证方法的。

  最后,让我们使用我们的token!

http http://127.0.0.1:8000/hello/ 'Authorization: Token 9054f7aa9305e012b3c2300408c3dfdf390fcddf'

在这里插入图片描述
  差不多就是这样。现在,对于所有后续请求,您应该包括头部授权:Token 9054f7aa9305e012b3c2300408c3dfdf390fcddf

  格式看起来很奇怪,通常在如何设置这个标题上很容易混淆。这将取决于客户端如何设置HTTP请求头。

  如,如果我们使用curl,命令应该是这样的:

curl http://127.0.0.1:8000/hello/ -H 'Authorization: Token 9054f7aa9305e012b3c2300408c3dfdf390fcddf'

  或者如果是python requests调用:

import requests

url = 'http://127.0.0.1:8000/hello/'
headers = {'Authorization': 'Token 9054f7aa9305e012b3c2300408c3dfdf390fcddf'}
r = requests.get(url, headers=headers)

用户获取Token

DRF为用户提供一个接口,以便使用用户名和密码请求身份验证令牌,包括以下路由到urls.py模块

myapi/urls.py
from django.urls import path
from rest_framework.authtoken.views import obtain_auth_token  # <-- Here
from myapi.core import views

urlpatterns = [
    path('hello/', views.HelloView.as_view(), name='hello'),
    path('api-token-auth/', obtain_auth_token, name='api_token_auth'),  # <-- And here
]

  现在我们有了一个全新的API接口,它是/api-token-auth/,让我们先来看看

http http://127.0.0.1:8000/api-token-auth/

在这里插入图片描述
  它不处理GET请求。基本上它只是一个接收带有usernamepassword的POST请求的视图。

http post http://127.0.0.1:8000/api-token-auth/ username=vitor password=123

在这里插入图片描述
  响应体是与此特定用户关联的令牌,在此之后,您将存储此令牌并将其应用于未来的请求中。

  如果这是一个Angular客户端,你可以把令牌存储在localStorage中,如果这是一个桌面CLI应用程序,你可以把它存储在一个点文件中(即隐藏文件),放在用户主目录的一个文本文件中。

总结

  需要注意的是,默认的令牌实现有一些限制,比如每个用户只有一个令牌,没有为令牌设置过期日期的内置方法。

FatPuffer
关注
专栏目录
【原创】Django配置Windows AD域进行账号认证
cpongo10的博客~
11-06 581
Django配置Windows AD域进行账户认证,此配置只能进行Djangoadmin 管理平台登录,前端登录页面需要单独开发,用到的插件有:django-auth-ldap,代码如下: Python #Django-auth-ldap 配置部分 此部分代码配置在django的settings.py里 import ldap ...
Django API验证(令牌
weixin_30475039的博客
02-16 457
1. 获取接口信息 Client端 import requests import time import hashlib ctime = time.time() key = 'akfljakfjaklfjaklfj22222324290482' new_key = "%s|%s" % (key, ctime) m = hashlib.md5() m.update(...
如何使用Django REST Framework实施令牌认证
平凡的脚步也可以走完伟大的行程
02-09 378
执行命令: python3 manage.py drf_create_token auth_user 异常描述: CommandError: Cannot create the Token: user user does not exist 实施令牌认证 我们需要在settings.py模块中添加两条信息。首先将rest_framework.authtoken包含到您的文件中,INSTALLED_APPS并包含TokenAuthenticationtoREST_FRAMEWOR...
Django Rest Framework 身份认证源码详解
weixin_43697214的博客
12-04 615
一.Django确实是一个很强大,用起来很爽的一个框架,在Rest Framework中已经将身份认证全都封装好了,用的时候直接导入authentication.py这个模块就好了。这个模块中5个认证类。但是我们在开发中很少用自带的认证类,而是根据项目实际需要去自己实现认证类。下面是内置的认证类   BaseAuthentication(object):所有的认证相关的类都继承自这个类...
Django 中集成Microsoft 的AD 验证
weixin_30951389的博客
10-09 129
最近在django的项目中需要集成Microsoft的AD(Active Directory)验证系统,在网上google了一番之后,发现都是在谈论django如何与Openldap集成,没有找到与AD集成相关的例子。仔细看看后,本质上AD与Openldap应该没有什么太大的区别,都是ldap协议的具体实现,经过一番折腾后,终于可以工作了,先记录如下: 1. 当然需要先安装相关的软件包 lda...
drf-oidc-auth:Django REST框架的OpenID Connect身份验证
05-15
Django Rest Framework的... 在settings.py中配置Django REST框架身份验证REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES' : ( 'rest_framework.permissions.IsAuthenticated' , ), 'DEFAULT_AUTHENTI
django-cognito-jwt:适用于AWS Cognito JWT令牌Django Rest框架身份验证后端
01-29
总结来说,`django-cognito-jwt`是一个方便的工具,它使得基于Django REST框架的应用能够轻松地集成AWS Cognito的身份验证系统,利用JWT实现安全的用户认证,适用于构建云原生的、依赖AWS服务的Web应用程序。
django-rest-framework-stormpath:Django REST Framework的Stormpath令牌身份验证授权
05-21
用户可以针对Stormpath进行身份验证以生成JSON Web令牌,然后将该令牌传递到Authorization标头中,以使用该库进行身份验证,以请求Django REST Framework实例。 用法 的方法添加到REST_FRAMEWORK['DEFAULT_...
deux:Django Rest框架的多因素身份验证
05-07
多重身份验证Django Rest框架提供了多重身份验证集成。 它与提供的DRF和OAuth2中内置的令牌认证集成。 什么是多因素身份验证? 多因素身份验证(MFA)是一种安全系统,需要从独立凭据类别中进行多种身份验证方法...
Python-DjangoREST框架的无密码验证
08-10
在Python的Web开发领域,Django REST框架Django REST framework,简称DRF)是一个强大的工具,用于构建可扩展的、...同时,理解并掌握Django REST框架的灵活性和扩展性,将有助于我们实现更多定制化的身份验证方案。
django-auth-ldap-ad, Django 认证后端,支持 Active Directory.zip
09-18
django-auth-ldap-ad, Django 认证后端,支持 Active Directory django-auth-ldap-ad为什么Django 认证后端,支持 Active Directory由于无法找到使用 django-auth-ldap 绑定到SASL的正确方式,所以我创建了这个项目。问题是并非所有的广告设置
Django的身份认证系统
豆芽胡的博客
05-16 1844
1 .在Django使用身份认证系统 Django的身份认证系统实际上是一个app,该app叫做django.contrib.auth,它在django contrib模块下 使用时只需要在setting.py文件的INSTALLED_APPS中添加:'django.contrib.auth'即可 身份认证系统包括以下内容: 用户 权限:标志指定用户是否可以执行某项任务。 ...
django jwt token 令牌
廷益_飞鸟的博客
02-23 239
jwt的使用 jwt官网:https://jwt.io/ 1.header {‘alg’:‘HS256’, ‘typ’:‘JWT’} 2.payload { ‘exp’:xxx, # Expiration Time 此token的过期时间的时间戳 ‘iss’:xxx,# (Issuer) Claim 指明此token的签发者 ‘aud’:xxx, #(Audience) Claim 指明此token的 ‘iat’:xxx, # (Issued At) Claim 指明此创建时间的时间戳 ‘aud’:.
Django集成LDAP认证方式
热门推荐
python_tty的专栏
12-08 1万+
最近项目需求,要实现LDAP认证方式,上网找了一下,大致的方式就是使用django-auth-ldap 和 python-ldap这两个第三库。实现方法如下: 1. pip install python-ldap django-auth-ldap 笔者的环境是centos6, 在windows上安装 python-ldap会出问题 2.配置django的settings.py文件...
【原创】Django-auth-ldap 配置方法
cpongo10的博客~
12-08 302
使用场景 公司内部使用Django作为后端服务框架的Web服务,当需要使用公司内部搭建的Ldap 或者 Windows 的AD服务器作为Web登录认证系统时,就需要这个Django-auth-ldap第三方插件 插件介绍 Django-auth-ldap是一个Django身份验证后端,可以针对LDAP服务进行身份验证。有许多丰富的配置选项可用于处理用户,组和权限,便于对页面和后台的控制 插...
Django中——JWT生成用户身份令牌
qq_41134008的博客
03-25 316
一、生成token并返回 import jwt import datetime user = User.objects.filter(id=userid) if user: payload = { 'exp':datetime.datetime.utconutcnow() + datetime.timedelta(days=1), 'data':{ 'userid':user.us...
django中ldap验证的三种方式,你需要哪种?
Tian丶Yuting
02-08 3295
方法一:django中settings添加ldap验证及自动记录用户信息到本地user表中,感觉麻烦的可以看方法二 # settings配置 import ldap from django_auth_ldap.config import LDAPSearch AUTHENTICATION_BACKENDS = ( # 配置为先使用LDAP认证,如通过认证则不再使用后面的 'django_auth_ldap.backend.LDAPBackend', # 本地用户验证,如果不需要的,可以
Django REST Framework 之认证、权限(超详细)
她°
05-07 3925
Django认证和权限 在没有使用 drf 之前,如何判断用户是否登录,一般是给前端提供一个获取用户信息的接口,如果未登录返回未授权等信息,权限的话一般是在 model 层通过字段来设置,这样只能完成简单的权限限制。
关于Django项目接入LDAP用户认证
weixin_34321753的博客
08-15 1054
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值