rest-framework源码解析--TokenAuthentication

最新推荐文章于 2024-05-01 17:57:05 发布
最新推荐文章于 2024-05-01 17:57:05 发布
阅读量429 收藏 1
点赞数
分类专栏: 源码专栏 文章标签: restful python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59512744/article/details/120098949
版权

        首先,在token验证模块中,我们看到的是这一函数:

    def get_model(self):
        if self.model is not None:
            return self.model
        from rest_framework.authtoken.models import Token
        return Token

这里我们先不看 if 语句,直接去看 Token (如下图)

class Token(models.Model):
    """
    The default authorization token model.
    """
    key = models.CharField(_("Key"), max_length=40, primary_key=True)
    user = models.OneToOneField(
        settings.AUTH_USER_MODEL, related_name='auth_token',
        on_delete=models.CASCADE, verbose_name=_("User")
    )
    created = models.DateTimeField(_("Created"), auto_now_add=True)

    class Meta:
        # Work around for a bug in Django:
        # https://code.djangoproject.com/ticket/19422
        #
        # Also see corresponding ticket:
        # https://github.com/encode/django-rest-framework/issues/705
        abstract = 'rest_framework.authtoken' not in settings.INSTALLED_APPS
        verbose_name = _("Token")
        verbose_name_plural = _("Tokens")

    def save(self, *args, **kwargs):
        if not self.key:
            self.key = self.generate_key()
        return super().save(*args, **kwargs)

    @classmethod
    def generate_key(cls):
        return binascii.hexlify(os.urandom(20)).decode()

    def __str__(self):
        return self.key

         可以很明显的看出,在这里,我们建立了一个一对一的 Token 模型 指向的是 User 模型,通过元类调用 generate_key 来生产模型中的 key 字段的值,最后由魔术方法 __str__ 来作为返回值。

        回到我们的 get_model 函数,通过判断是否存在token表来执行操作:

  • 如果已有 token 表(自己定义的或是通过 Token 模型生成的表),返回该表
  • 表不存在,其返回的值就是通过 Token 模型建立的 token 表
    def get_model(self):
        if self.model is not None:
            return self.model
        from rest_framework.authtoken.models import Token
        return Token

         既然我们已经明白了 get_model() 的作用,那么我们就从它入手,找到 token验证模块中使用 get_model() 的函数:

    def authenticate_credentials(self, key):
        model = self.get_model() #这里这里 <<== 
        try:
            token = model.objects.select_related('user').get(key=key)
        except model.DoesNotExist:
            raise exceptions.AuthenticationFailed(_('Invalid token.'))

        if not token.user.is_active:
            raise exceptions.AuthenticationFailed(_('User inactive or deleted.'))

        return (token.user, token)

        先看函数名,作为一个被广泛使用的包,命名肯定是规范的,可读的。

好的,Google 翻译告诉了我们答案,再看它的函数体中的这行代码:

        令牌 = model( 也就是 Token ).object.select_related(' user ').get( key= key )

这里等于号后面的 key 是传递进来的参数,那么我们就需要看一下是谁调用了该函数(下图)

    def authenticate(self, request):
        auth = get_authorization_header(request).split()  #这里这里 <<== 

        if not auth or auth[0].lower() != self.keyword.lower().encode():
            return None

        if len(auth) == 1:
            msg = _('Invalid token header. No credentials provided.')
            raise exceptions.AuthenticationFailed(msg)
        elif len(auth) > 2:
            msg = _('Invalid token header. Token string should not contain spaces.')
            raise exceptions.AuthenticationFailed(msg)
        """
        1.无效的令牌头。没有提供任何凭据。
        2.无效的令牌头。此字符串不应包含空格。
        """
        try:
            token = auth[1].decode()  #这里这里 <<== 
            """
            获取凭证体
            """
        except UnicodeError:
            msg = _('Invalid token header. Token string should not contain invalid characters.')
            # 无效的令牌头。无效字符标记字符串不应包含无效字符。'
            raise exceptions.AuthenticationFailed(msg)

        return self.authenticate_credentials(token) #这里这里 <<==
  • 可以看到,传递的是 token ,
  • 继续往上面看 :token = auth[1].decode() 
  • 继续:auth = get_authorization_header(request).split()
  • 再向上:(下图)
def get_authorization_header(request):
    """
    Return request's 'Authorization:' header, as a bytestring.
    返回请求的“Authorization:”头,作为bytestring。
    Hide some test client ickyness where the header can be unicode.
    在头可以是unicode的地方隐藏一些测试客户端易读性。
    """
    auth = request.META.get('HTTP_AUTHORIZATION', b'') #这里这里 <<== 
    if isinstance(auth, str):
        # Work around django test client oddness
        # HTTP_HEADER_ENCODING = 'iso-8859-1'
        auth = auth.encode(HTTP_HEADER_ENCODING)
    return auth

好了,这里大概就算是验证模块的首发站了,看官方给的英文注解(看不懂的看Google 翻译出来的,虽然第二句翻译的有些奇怪...)

在这一函数中,通过 request.META.get() 我们拿到了请求头中的 凭证( Authorization ) 的数据,也就是 凭证头 以及 凭证体,见下图:

 在上图中,凭证头是 token ,凭证体是 b571d6300db3c0d86438efa25616179e7f005c0d

之后将 凭证数据 赋值给 auth ,接着我们回到 验证函数中:

    def authenticate(self, request):
        auth = get_authorization_header(request).split()

        if not auth or auth[0].lower() != self.keyword.lower().encode():
            return None

        if len(auth) == 1:
            msg = _('Invalid token header. No credentials provided.')
            # 无效的令牌头。没有提供任何凭据。
            raise exceptions.AuthenticationFailed(msg)
        elif len(auth) > 2:
            msg = _('Invalid token header. Token string should not contain spaces.')
            # 无效的令牌头。此字符串不应包含空格。
            raise exceptions.AuthenticationFailed(msg)

        try:
            token = auth[1].decode()
            """
            获取凭证体
            """
        except UnicodeError:
            msg = _('Invalid token header. Token string should not contain invalid characters.')
            # 无效的令牌头。无效字符标记字符串不应包含无效字符。'
            raise exceptions.AuthenticationFailed(msg)

        return self.authenticate_credentials(token)

auth = get_authorization_header(request).split()

get_authorization_header(request) 上面已经说过了,返回一个 auth ,在通过 split 将凭证 拆分,之后就是校验部分,很好理解,就不多赘述了。

最后是将凭证体 传递给了 authenticate_credentials,再由 authenticate_credentials 返回 通过 token 认证的用户 以及 token 值

    def authenticate_credentials(self, key):
        model = self.get_model()
        try:
            token = model.objects.select_related('user').get(key=key)
        except model.DoesNotExist:
            raise exceptions.AuthenticationFailed(_('Invalid token.'))

        if not token.user.is_active:
            raise exceptions.AuthenticationFailed(_('User inactive or deleted.'))

        return (token.user, token)

 Token 验证流程 概述:

  1. 客户端通过登录模块登录时,对是否是第一次登录进行判断:是,为其在 Token 表中新建一条数据,获取 Token 表中的 token 值;否,直接获取 Token 表中的 token 值。判断语句结束后,服务器将 token 值传递到客户端并由客户端保存在某一存储空间中
  2. 当我们访问需要 token 验证的 API 接口时,将 token 与数据一同传输到服务器
  3. 服务器解析客户端传递的数据与请求,当需要 token 用于验证时,在数据表中查找对应的 token 值:如果找到了,那就开始处理请求的其他部分;没找到,那就返回一个 401 错误 ( Unauthorized ),终止操作,等待下一次请求或关闭连接。

 好了,关于 TokenAuthentication 的源码部分就到这里了。

#Ps:边看源码边写博客属实掉头发,容我眯一会儿,如果觉得我写的狗屁不通也请不要怪罪嗷。

Sthons
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
02-05
标题"django-rest-framework-role-filters:django-rest-framework的简单角色过滤"指出,这是一个专门针对Django REST Framework(DRF)的扩展,用于实现基于角色的过滤功能。这意味着它允许开发人员根据用户的角色...
jwt方式进行登录验证
big_white_py的博客
09-21 1164
一般Web应用开发验证用户信息有两种方式,一是使用session,二是使用token。 为什么要用Token Token无需存储降低服务器成本,session是将用户信息存储在服务器中的,当用户量增大时服务器的压力也会随着增大。 防御CSRF跨站伪造请求攻击,session是基于cookie进行用户识别的, cookie如果被截获,用户信息就容易泄露。 扩展性强,session需要存储无法共享,当搭建了多个服务器时其他服务器无法获取到session中的验证数据用户无法验证成功。而Token可以实现服务器间
Django REST framemwork Token Authentication and JSON Web Token Authentication
weixin_38554490的博客
12-25 430
一、Token Authentication的应用 (1)首先注册应用:'rest_framework.authtoken' INSTALLED_APPS = [ ... 'rest_framework.authtoken' ] 然后python manage.py migrate 进行迁移, 数据库中会生成authtoken_token表 (2)获取to...
也该来学习微服务网关与用户身份识别,SpringSecurity原理和实战(1)
最新发布
ghfgjfg679的博客
05-01 32
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。etails,然后构造一个“用户名+密码”类型的UsernamePasswordAuthenticationToken令牌实例,提交给AuthenticationManager进行验证。
40.TokenAuthentication认证
weixin_43247178的博客
10-09 213
TokenAuthentication认证介绍 TokenAuthentication是一种简单的基于令牌的HTTP认证 适用于CS架构,例如普通的桌面应用程序或移动客户端 TokenAuthentication认证使用 # 将rest_framework.authtoken 添加到 INSTALLED_APPS INSTALLED_APPS = ( 'rest_framework.a...
一次性弄清楚 Authentication & Authorization以及Cookie、Session、Token
ChaITSimpleLove的博客
10-13 1848
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁? 授权 (Authorization): 你有权限干什么? 稍微正式点(啰嗦点)的说法就是: Authentication(认证) 是验证您的身份的凭据(例如用户名/用户
关于django rest frameworktoken auth的实现及答疑
weixin_34326558的博客
02-17 629
http://stackoverflow.com/questions/14838128/django-rest-framework-token-authentication ================================================ No, not in your models.py -- on the models side of things, all...
django-rest-framework解析请求参数过程详解
09-19
主要介绍了django-rest-framework解析请求参数过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
django-rest-framework-gis:Django REST Framework的地理附加组件。 由OpenWISP项目维护
02-05
**django-rest-framework-gis** 是一个扩展 **Django REST Framework** 的强大库,专注于处理与地理信息系统(GIS)相关的数据。这个项目由 **OpenWISP** 维护,旨在为开发人员提供一套全面的工具,以便在RESTful ...
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
django-rest-framework-files:对Django REST框架的文件下载和上传支持
05-09
REST框架文件 对Django REST框架的文件下载和上传支持。概述REST框架文件允许您下载用于呈现响应的格式的... CharField ( max_length = 255 ) serializers.py from rest_framework import serializersfrom . models im
6、DRF实战总结:认证及使用Token认证,代码示例详解(附源码
SteveRocket's-Blog
04-08 2669
身份验证是将传入的请求对象(request)与一组标识凭据(例如请求来自用户或其签名的令牌token)相关联的机制。REST framework 提供了一些开箱即用的身份验证方案,并且还允许实现自定义方案。 DRF的每个认证方案实际上是一个类。可以在视图中使用一个或多个认证方案类。REST framework将尝试使用列表中的每个类进行身份验证,并使用成功完成验证的第一个类返回的元组设置 request.user 和request.auth。
Token验证与用户名加密码验证的区别
ly_twt的博客
10-06 5529
1、什么是Token验证? Token是一种用户身份的验证方式,通常叫做令牌验证。当用户第一次登录成功后,服务器会生成一个Token并将此Token返回给用户,以后用户只需要带上这个Token前来请求数据即可,无需再用用户名和密码。 2、Token验证过程 ①首次登录时,客户端通过用户名与密码请求登录 ②服务端收到请求并验证用户名与密码 ③若验证通过,服务端会签发一个Token,该Tok...
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1412
了解认证、授权、凭证、Cookie、Session、Token、JWT
springsecurity oauth2在资源服务器获取令牌信息
qq_24258617的博客
12-02 704
** springsecurity oauth2在资源服务器获取令牌信息 ** 【学习笔记,代码自己敲,思想非原创】 前提:认证服务器AuthorizationConfig中使用jwt,并可以成功签发令牌,携带Bearer令牌访问资源服务器。 第一种-直接解析请求头令牌。 /** * CustomerJwt是自定义的类,用来保存用户信息 * SignedJWT和JWTClaimsSet来自nimbus-jose-jwt */ public static CustomerJwt getJwtClai
Django REST Framework的认证方式及自定义认证
weixin_30730151的博客
10-03 284
一、基于Token进行用户认证 创建相应数据库 class member_type(models.Model): mtype = models.CharField(max_length=50) def __unicode__(self): return self.mtype class member(models.Model): ...
rest_framework-认证-总结完结篇
asd0351992的博客
07-28 150
执行过程 APIView() Ruquest() Authentication() OrderView()APIView() def duspatch: self.initial(request) def inital(): self.perform_authticate() def perform_authticate(): ...
也该来学习微服务网关与用户身份识别,SpringSecurity原理和实战
公众号:该用户快成仙了
08-26 556
Spring Security原理和实战 Web服务提供者的安全访问无疑是十分重要的,而SpringSecurity安全模块是保护Web应用的一个非常好的选择。 Spring Security是Spring应用项目中的一个安全模块,特别是在Spring Boot项目中,Spring Security默认为自动开启,可见其重要性。 在微服务架构下,建议仅将Spring Security组件应用于网关(如Zuul),对于集群内部的微服务提供者,不建议启用Spring Security组件,因为重复的验证会
django_rest_framework实现cookie登录接口
分享自己浅浅的知识
11-22 1214
一、前言 1、注册和登录是我们在web中常见页面,当然,测试平台也是需要的,否则谁都可以进来看一看了 2、我们也会天天遇到这种情况,只要你注册或者登录一次,下次再访问首页时,就不会进入登录页面,而是直接进放首页,这个就用到了cookie中传说中的token登录方式 那这些是怎么实现的呢,我们下面就来说一说吧 二、rest_framework rest_framework是个很强大的插件,他其中一个功能就是帮助django自带的用户系统 自动生成token,这样就可以实现基于cookie的用户会话。
升級 django-rest-framework
06-06
升级`django-rest-framework`很简单,你可以使用pip命令来完成。步骤如下: 1. 打开终端或命令行工具,进入你的Django项目虚拟环境。 2. 执行以下命令来升级`django-rest-framework`: ``` pip install --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sthons

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值