DjangoRESTframework-用户状态校验

最新推荐文章于 2024-04-27 07:30:00 发布
最新推荐文章于 2024-04-27 07:30:00 发布
阅读量557 收藏
点赞数
分类专栏: # Python Django 文章标签: python django 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44614026/article/details/128889804
版权
文章介绍了在DjangoRESTframework中如何进行用户状态校验,包括利用djangosession机制验证用户登录状态,设置全局认证方案,以及在基于函数的视图、APIView类视图和视图集上应用认证。同时,文章展示了如何禁用特定接口的全局认证以及自定义权限类来限制只有项目管理员才能进行操作。
摘要由CSDN通过智能技术生成

DjangoRESTframework-用户状态校验

DjangoRESTframework-用户状态校验

django session机制

django默认的用户信息存储方案为session机制,有内置的装饰器可以验证当前请求是否携带用户认证信息

修改sqtp应用目录下的views.py文件中的user_list视图,加上@login_required装饰器

from django.contrib.auth.decorators import login_required

@api_view(['GET'])
def current_user(request):
    # 如果当前用户处于登录状态
    if request.user.is_authenticated:
        serializer = UserSerializer(request.user)
        # 返回当前用户信息
        return Response(data=serializer.data)
    else:
        return Response(data={'msg': '用户未登录', 'retcode': status.HTTP_403_FORBIDDEN, 'to': 'login.html'},status=status.HTTP_403_FORBIDDEN)   # 重定向到登录页面

此时,如果访问http://127.0.0.1:8888/api/users/接口没有带上session信息,就会返回404

DRF全局认证方案

采用 Django REST framework 框架的 DEFAULT_AUTHENTICATION_CLASSES 设置全局的默认身份验证方案

settings.py文件下添加DRF全局认证方案

# rest框架配置
REST_FRAMEWORK = {
    # 默认的渲染器
    'DEFAULT_RENDERER_CLASSES': (
        'utils.renderers.MyRenderer',
    ),
    # 全局配置异常处理模块
    'EXCEPTION_HANDLER': 'utils.exception.my_exception_handler',
    # 全局认证模块
    'DEFAULT_AUTHENTICATION_CLASSES':('rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuthentication'),
    # 全局权限模块
    'DEFAULT_PERMISSION_CLASSES':('rest_framework.permissions.IsAuthenticated',),
}
基于函数的视图

使用 @api_view 装饰器基于函数的视图,通过添加装饰器设置身份验证方案

示例:

from rest_framework.decorators import api_view, authentication_classes, permission_classes


@api_view(['GET'])
@authentication_classes((SessionAuthentication, BasicAuthentication))
@permission_classes((IsAuthenticated,))
def example_view(request, format=None):
   content = {
       'user': unicode(request.user), # `django.contrib.auth.User` 实例。
       'auth': unicode(request.auth), # None
   }
   return Response(content)

修改sqtp应用目录下的views.py文件中的user_list视图

from rest_framework.decorators import api_view, authentication_classes, permission_classes

# 用户
@api_view(['GET'])
@authentication_classes((SessionAuthentication, BasicAuthentication))
@permission_classes((IsAuthenticated,))
def user_list(request):
    query_set = User.objects.all()
    serializer = UserSerializer(query_set,many=True)
    return Response(serializer.data)

使用swagger访问访问http://127.0.0.1:8888/api/users/接口,会返回error信息:身份认证信息未提供。进行登录后,再次访问,即可获取接口信息

基于 APIView 类视图

使用基于 APIView 类视图的方式,在每个view或每个viewset基础上设置身份验证方案

示例:

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
   authentication_classes = (SessionAuthentication, BasicAuthentication)
   permission_classes = (IsAuthenticated,)
   def get(self, request, format=None):
       content = {
           'user': unicode(request.user), # `django.contrib.auth.User` 实例。
           'auth': unicode(request.auth), # None
       }
       return Response(content)
基于视图集

示例:

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(viewsets.ModelViewSet):
    queryset = Example.objects.all()
    serializer_class = ExampleSerializer
    # 权限--使用全局认证
    authentication_classes = ((SessionAuthentication, BasicAuthentication))
    permission_classes = ((IsAuthenticated,))

修改sqtp应用目录下的views.py文件中的ProjectViewSet视图集

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated

class ProjectViewSet(viewsets.ModelViewSet):
    queryset = Project.objects.all()
    serializer_class = ProjectSerializer
    # 权限--使用全局认证
    authentication_classes = ((SessionAuthentication, BasicAuthentication))
    permission_classes = ((IsAuthenticated,))

修改sqtp应用目录下的serializers.py文件,对序列化器展示的内容进行修改,前端提交的接口信息、返回给前端的接口内容需要用到这些字段

# 项目部分序列化器
class ProjectSerializer(serializers.ModelSerializer):
    class Meta:
        model = Project
        fields = ['id','admin','name','status','version','desc','create_time','update_time']

浏览器中输入http://127.0.0.1:8888/projects.html,进入项目管理页面,会弹出提示登录弹框

在这里插入图片描述

不进行登录,新增项目,接口会报错,返回身份认证信息未提供错误信息

在这里插入图片描述

而进行登录后,新增项目则可以成功

局部接口禁用全局认证

对于注册、登录、登出和获取当前用户信息视图这四个接口,是不需要设置全局认证的,像现在这样,就会出现进入注册页面,就会弹出一个弹框要求登录,这显然是不合理的

修改sqtp应用目录下的views.py文件中的注册、登录、登出和获取当前用户信息视图这四个视图函数,添加装饰器@permission_classes(()),装饰器中为空元组

@api_view(['POST'])
@permission_classes(())
def register(request):
    # 获取注册信息--序列化器
    serializer = RegisrerSerializer(data=request.data)
    if serializer.is_valid():    #自动根据模型定义来判断数据入参是否合法
        user = serializer.register()    # 创建用户数据
        auth.login(request,user)    # 完成用户登录状态的设置
        return Response(data={'msg':'register success','is_admin':user.is_superuser,'retcode':status.HTTP_201_CREATED},status=status.HTTP_201_CREATED)
    return Response(data={'msg':'error','retcode':status.HTTP_400_BAD_REQUEST,'error':serializer.errors},status=status.HTTP_400_BAD_REQUEST)


@api_view(['POST'])
@permission_classes(())
def login(request):
    # 获取登录信息--序列化器
    serializer = LoginSerializer(data=request.data)
    user = serializer.validate(request.data)
    if user:
        auth.login(request,user)    # 登录存储session信息
        return Response(data={'msg':'login success','to':'index.html'},status=status.HTTP_302_FOUND)    # 登录成功后页面重定向到index页面
    return Response(data={'msg': 'error', 'retcode': status.HTTP_400_BAD_REQUEST, 'error': serializer.errors},status=status.HTTP_400_BAD_REQUEST)   # 失败返回错误信息


@api_view(['GET'])
@permission_classes(())
def logout(request):
    # 当前用户处于登录状态
    if request.user.is_authenticated:
        auth.logout(request)    # 清除登录信息
    return Response(data={'msg': 'logout', 'to': 'login.html'},status=status.HTTP_302_FOUND)    # 重定向到登录页面


@api_view(['GET'])
@permission_classes(())
def current_user(request):
    # 如果当前用户处于登录状态
    if request.user.is_authenticated:
        serializer = UserSerializer(request.user)
        # 返回当前用户信息
        return Response(data=serializer.data)
    else:
        return Response(data={'msg': '用户未登录', 'retcode': status.HTTP_403_FORBIDDEN, 'to': 'login.html'},status=status.HTTP_403_FORBIDDEN)   # 重定向到登录页面

DRF的认证是在定义有权限类(permission_classes)的视图下才有作用,且权限类(permission_classes)必须要求认证用户才能访问此视图。如果没有定义权限类(permission_classes),那么也就意味着允许匿名用户的访问,自然牵涉不到认证相关的限制了。

对视图集禁用全局认证,也可以通过这种方式。

修改sqtp应用目录下的views.py文件中的ProjectViewSet视图集

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated

class ProjectViewSet(viewsets.ModelViewSet):
    queryset = Project.objects.all()
    serializer_class = ProjectSerializer
    # 权限--使用空元组,不使用全局认证
    authentication_classes = (())
    permission_classes = (())

DRF权限方案

一般在项目中的使用方式是在全局配置 DEFAULT_AUTHENTICATION_CLASSES 认证,然后会定义多

base views,根据不同的访问需求来继承不同的base views即可

扩展下权限的范围,新增功能,只有当前项目的管理员才有读写当前项目的权限

定义权限

sqtp应用目录下新建permissions.py文件

from rest_framework import permissions

# 自定义权限类

class IsOwnerOrReadOnly(permissions.BasePermission):
    # 自定义权限只允许对象的所有者编辑它
    def has_object_permission(self, request, view, obj):
        #   读取权限允许任何请求
        if request.method in permissions.SAFE_METHODS:
            return True
        #   当前用户是否属于该项目管理员
        return obj.owner == request.user
加入权限

sqtp应用目录下的views.py文件中对ProjectViewSet视图类进行修改

from sqtp.permissions import IsOwnerOrReadOnly

class ProjectViewSet(viewsets.ModelViewSet):
    queryset = Project.objects.all()
    serializer_class = ProjectSerializer
    # 权限
    authentication_classes = ((SessionAuthentication, BasicAuthentication))
    permission_classes = ((IsAuthenticated,IsOwnerOrReadOnly))

使用非当前项目的管理员用户进行修改测试,发现被拒绝

{
 "msg": "error",
 "retcode": 403,
 "error": "You do not have permission to perform this action."
}
沉觞流年
关注
专栏目录
Django实现API配合JWT进行用户验证的方法
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目中通过 JWT 实现 API 认证控制。从 Session 与 JWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
2021-5-21 <Django框架 六 --- 用户认证安全>
qq_41013021的博客
05-23 196
目录 用户认证: cookie与session COOKIE seesion token认证 JWT Python JWT实现 Djangojwt 用户认证: 之前实现了数据的增删改查,在开发过程当中,还需要请求者身份。以下是WEB后端常用的会话技术,WEB浏览器的两次请求相互独立,互不影响,导致用户无法以持续的状态访问页面。只能实现匿名访问。 cookie与session cookie和session是基于前后端不分离的会话技术 在web开发过程当中,cookie技术被用于用户.
Django:(04)状态保持和验证
mzfly的博客
11-17 723
Django:(04)状态保持和验证 一、Cookie 特点 ​ Cookie是由服务器(网站)生成的,存储在浏览器端的 键值对数据(通常经过加密) 在响应请求时,服务器会把生成 Cookie数据 发给浏览器,浏览器会自动保存 (前提:浏览器开启了cookie功能) 浏览器请求服务器(网站)时,会自动上传该服务器(网站)生成的所有Cookie Co...
Django REST framework -8- 用户认证基础
qq_22648091的博客
09-11 1164
前后端分离之JWT用户认证 文章目录前后端分离之JWT用户认证Json Web Token(JWT)JWT 组成Header 头部Payload 负载Signature 签名JWT 使用 资源来源于网络 https://lion1ou.win/2017/01/18/ 前后端分离之认证 文章目录 传统方式 Json Web Token(JWT) 2.1. JWT 组成 JWT 使用 和Session方式存储id的差异 总结 在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(
django restframework】 后端接口开发 开发用户相关的一组接口 登录注册与用户信息查询修改
在红尘中争渡
10-28 2750
Django DRF 前后端分离 后端接口开发 开发用户相关的一组接口 登录、注册、用户信息增删改查
DjangoRestFramework 使用 simpleJWT登陆认证
mohuisheng的博客
02-27 1966
【代码】DjangoRestFramework 使用 simpleJWT登陆认证。
Django中的用户认证失败:常见原因及解决方法
最新发布
04-27 333
如果您的表单未包含正确的CSRF令牌,用户会认证失败。确保您的密码哈希算法配置正确,并尝试使用Django提供的密码哈希工具来检查密码哈希是否匹配。未正确配置认证后端:Django支持多种认证后端,如用户名/密码、邮箱/密码、社交媒体等。如果您的认证后端配置不正确,用户将无法进行认证。检查您的认证后端配置,并确保其与您正在使用的认证方式相匹配。您可以查看Django的错误日志或调试输出来获取更多的信息,并尝试修复其他可能存在的问题。如果会话配置不正确或会话存储有问题,用户可能无法进行认证。
django项目中使用JWT(djangorestframework-jwt)
2301_76931745的博客
08-01 806
如果我们还需在返回值中增加username和user_id。通过重写视图的返回值可以完成我们的需求。"""自定义jwt认证成功返回数据"""return {'token': token, # 返回jwt签发的token'id': user.id, # 返回用户ID'username': user.username # 返回用户用户名注意需要修改配置文件# JWT配置# token有效期# 指明自定义返回数据在哪个函数中。
django使用JWT保存用户登录信息
09-17
Django 中,使用 `djangorestframework-jwt` 插件可以方便地实现 JWT 的签发、保存和校验过程。这种方法非常适合需要频繁身份验证的 RESTful API 场景,也适用于移动应用等客户端。此外,JWT 的自包含特性使得它...
Django之DRF框架(五)JWT认证
Simple子夜
07-06 1942
JWT简介 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 Json web token (JWT):是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也..
Vue结合Django-Rest-Frameword结合实现登录认证
Q11787519的博客
09-22 477
最近需要做一个登录认证的功能,所以想将整个的过程做一个记录,方便以后回头查看,同时希望给我遇到同样问题的同学一些参考。 因为认证是后端的功能,所以我这个不专业的前端在实现这个功能的时候不会深究太多。所以在记录的过程中没有过多的原理,着重记录实现过程和这个过程中遇到的问题以及解决方案。 如果对登录这块前后端流程原理不太懂的,可以先做一点功课,或者直接看我的整个操作和结果,看完之后会从结果和现象出发,在去理解学习登录认证原理就会更容易。 初始的环境介绍 前端框架 框架:Vue HTTP库:axios 后端项
Django REST Framework 之认证、权限(超详细)
她°
05-07 3989
Django 中认证和权限 在没有使用 drf 之前,如何判断用户是否登录,一般是给前端提供一个获取用户信息的接口,如果未登录返回未授权等信息,权限的话一般是在 model 层通过字段来设置,这样只能完成简单的权限限制。
Django REST Framework 的常用说明
miaozy
03-07 460
简介 用于构建 Web API 的工具 特点 提供了序列化器,快速根据数据库自动序列化和反序列化 丰富的类视图, Mixin 扩展类,简化了视图的编和自定义。 提供了身份认证,权限管理,限流,过滤(搜索功能), 排序,分页,异常处理 环境配置 REST framework 需要以下的环境: Python (3.5, 3.6, 3.7, 3.8) Django (1.11, 2.0, 2.1, ...
DRF的@action装饰器
ALiuTi的博客
08-18 1474
视图集中附加action的声明 from rest_framework.decorators import action # 追加action:返回书记的倒叙地0个书籍的信息 @action(methods=['get'],detail=False) def latest(self, request): """ # 追加action 修改图书的阅读数量 @action(methods=['put'],detail=True) def read(se
DjangoRestFramework系列教程(6):视图集viewsets和路由器router
qq_40733949的博客
07-19 894
DjangoRestFramework之教程6:视图集和路由器 REST框架包括用于处理ViewSets,这使开发人员能够集中精力对API的状态和交互进行建模,并根据常见约定自动处理URL构造。 ViewSet类几乎与View类,但它们提供的操作如下:read,或update,而不是方法处理程序,例如get或put. A ViewSet类仅在最后一刻绑定到一组方法处理程序,当它被实例化为一组视图时...
Django restframework 视图
架构专栏
07-29 496
Request 与 Response 1. Request REST framework 传入视图的request对象不再是Django默认的HttpRequest对象,而是REST framework提供的扩展了HttpRequest类的Request类的对象。 REST framework 提供了Parser解析器,在接收到请求后会自动根据Content-Type指明的请求数据类型(如J...
Django Rest framework视图-----路由Router和Action装饰器
Dong
06-02 6810
路由Routers 对于视图集ViewSet,我们除了可以自己手动指明请求方式与动作action之间的对应关系外,还可以使用Routers来帮助我们快速实现路由信息。 REST framework提供了两个router SimpleRouter DefaultRouter 1. 使用方法 1) 创建router对象,并注册视图集,例如 from rest_framework impo...
Django restframework实现批量操作
Colinspace
04-28 3405
这篇文章主要介绍两种方式实现`批量操作`, 一种是使用 Django restframework提供的装饰器action,可以更具实际情况扩展默认的增删改查操作,扩展性很好;另外一种是使用第三方模块 `djangorestframework-bulk`,这个模块简化了我们对于 `对象本身增删改查的批量化操作`,各有优缺点。实际工作中选择合适的就好。
django rest framework------权限认证
guyunzh的博客
05-24 2778
        最近在项目中需要使用django rest framework框架进行rest api设计,这很符合现在的restful 设计理念.        在设计好api视图函数后,需要对请求进行权限限制和审查,对于有权限的则允许通过,对于无权限的拒绝请求.同时,最初的设想是超级用户拥有对api里增删改查的权限,而其他普通用户只有只读权限.对于这个设想.之前的设计是用django的has_...
YHS-301A过程校验仪表:高精度手持工具
"YHS-301A过程校验仪表是一种专为工业自动化现场仪表校验和检修设计的高精度手持设备,集成了数字万用表和信号源功能。该仪表具备高分辨率、高可靠性,并有LED背光显示,适应各种光线条件。301A型号相较于301更加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值