Django 权限控制之Token认证
Django权限控制之前写了篇关于Json Web Token(jwt)模块文章,现在工作遇到了基于Django权限控制,Authentication backends相关的内容,再做下分享,也可以直接去参考官网说明
指定验证后端
django后端验证可以看做是一个列表,django会按照列表中认证组件一个个的去认证,直到认证成功或所有的验证方法都被尝试。
AUTHENTICATION_BACKENDS = ('django.contrib.auth.backends.ModelBackend',)
# 可以填写多个认证类
需要注意的是,django默认的只会检查数据库和内置权限,没有其他功能。
自定义验证后端
自定义验证后端必须实现两个方法: get_user 和 authenticate 方法,另外还有 get_group_permissions、get_all_permissions、has_perm、has_module_perms等方法
class TokenAuthBackend(ModelBackend):
"""根据TOKEN验证用户"""
def authenticate(self, token=None, **kwargs):
'''根据token信息获取用户信息并验证
如果通过验证,返回值是一个User对象,如果不通过验证,返回值是None。
'''
...
def get_user(self, user_id):
'''根据token中解析出来的user_id获取用户信息,user_id可以是username、数据库id,
或则其他值但建议使用唯一字段
'''
...
如何使用验证
配置文件配置后:
1. 写到django中间件里面(推荐做法)
def process_response(self, request, response):
token = local.token
if token:
response.set_cookie(settings.CDS_TOKEN_NAME, token)
local.token = ''
return response
2. 后端调用 authenticate 方法