Django REST Framework 内置认证类使用

已于 2025-04-29 15:31:48 修改
阅读量933 收藏 14
点赞数 31
分类专栏: # Django Rest Framework 文章标签: DRF 内置认证类 Session认证 Token认证 Basic认证 认证流程
于 2025-04-29 15:12:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63779518/article/details/147611643
版权

本教程专注讲解DRF框架自带的核心认证类,通过源码解析和实战演示,帮助开发者快速掌握Session、Token、Basic等内置认证方案的使用方法。

认证类检查
凭证有效
凭证无效
无凭证
当前认证类
遍历认证类
返回user/auth
立即返回401错误
继续下一个认证类
客户端发起请求
视图处理
加载认证类列表
是否还有认证类?
认证是否成功?
返回200和数据

一、内置认证类一览

1.1 核心认证类清单

认证类适用场景凭证传递方式
SessionAuthentication网页端会话认证Cookie自动携带
TokenAuthenticationAPI客户端长期令牌认证Header: Token <key>
BasicAuthentication简单HTTP基础认证Header: Basic <base64>
RemoteUserAuthentication代理服务器用户认证Header: REMOTE_USER

1.2 认证类依赖关系

# 所有认证类的基类
class BaseAuthentication:
    def authenticate(self, request):  # 必须实现
        pass  
    
    def authenticate_header(self, request):  # 用于401响应
        pass

二、认证类配置与使用

2.1 全局配置(settings.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.TokenAuthentication',
    ]
}

2.2 视图级配置

from rest_framework import authentication, views

class UserDetailView(views.APIView):
    authentication_classes = [
        authentication.TokenAuthentication
    ]
    
    def get(self, request):
        return Response({'user': request.user.username})

三、核心认证类详解

3.1 Session认证(SessionAuthentication

  • 适用场景​​:Django Admin整合、前后端不分离项目
  • ​​实现原理​​:
    • 通过Django的sessionid Cookie验证用户
    • 自动关联到request.userrequest.session
  • ​​安全要求​​:
    • 必须启用 CSRF 中间件
    • 仅限HTTPS环境生产使用
  • ​​代码验证​​:
# 登录视图(Django原生)
from django.contrib.auth import login

def login_view(request):
    user = authenticate(username='admin', password='admin123')
    login(request, user)  # 设置session

3.2 Token认证(TokenAuthentication

  • 适用场景​​:移动端/桌面客户端API访问

  • ​​使用流程​​:

    1. 生成Token
    python manage.py drf_create_token admin  # 命令行生成
# 代码生成(需关联用户)
from rest_framework.authtoken.models import Token
token = Token.objects.create(user=user)
    1. 客户端传Token
    GET /api/user/ HTTP/1.1
Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

  • 数据库模型​​

    # rest_framework/authtoken/models.py
class Token(models.Model):
    key = models.CharField(max_length=40, primary_key=True)
    user = models.OneToOneField(User, on_delete=models.CASCADE)
    created = models.DateTimeField(auto_now_add=True)

3.3 Basic认证(BasicAuthentication

  • ​​适用场景​​:内部系统快速集成、调试阶段
  • *​​工作原理**​​:
    • 客户端将username:password进行Base64编码
    • 通过Authorization头传递:Basic <credentials>
  • ​​示例请求​​:
    GET /api/books/ HTTP/1.1
Authorization: Basic YWRtaW46YWRtaW4xMjM=
```​​
  • 安全警告​​
    • 必须配合HTTPS使用(明文传输密码)
    • 不适合生产环境开放接口

3.4 代理认证(RemoteUserAuthentication

  • ​​适用场景​​:Nginx/Apache等代理服务器已处理认证
  • ​​配置示例​​:
    # settings.py
AUTHENTICATION_BACKENDS = [
    'django.contrib.auth.backends.RemoteUserBackend',
]

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.RemoteUserAuthentication',
    ]
}
  • ​​请求要求​​:
    • 代理服务器需设置头信息:
    • X-Forwarded-User: admin

四、认证流程源码解析

4.1 认证执行入口

# rest_framework/views.py
class APIView:
    def initial(self, request, *args, **kwargs):
        self.perform_authentication(request)  # 认证入口

    def perform_authentication(self, request):
        request.user  # 访问时触发认证

4.2 认证过程分解

# rest_framework/request.py
class Request:
    def _authenticate(self):
        for authenticator in self.authenticators:
            try:
                # 调用认证类的authenticate方法
                user_auth = authenticator.authenticate(self)  
            except exceptions.APIException:
                self._not_authenticated()
                raise

            if user_auth is not None:
                self.user, self.auth = user_auth  # 赋值关键属性
                return
        self._not_authenticated()

4.3 认证结果处理

  • ​认证成功​​:填充request.userrequest.auth
  • ​​认证失败​​:抛出AuthenticationFailed异常
  • ​​跳过认证​​:返回None(继续下一个认证类)

五、多认证方案共存策略

5.1 认证优先级控制

# 先验证Token,失败后尝试Session
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
    ]
}

5.2 混合认证示例

class HybridAuthView(APIView):
    authentication_classes = [
        authentication.TokenAuthentication,
        authentication.SessionAuthentication,
    ]
    
    def get(self, request):
        if request.auth:  # Token认证结果
            return Response({'type': 'token'})
        elif request.user.is_authenticated:  # Session认证
            return Response({'type': 'session'})

六、生产环境注意事项

6.1 安全增强建议

​​

  1. Session认证​​:
    • 设置SESSION_COOKIE_SECURE = True
    • 配置CSRF_COOKIE_HTTPONLY
  2. ​​Token认证​​
    • 定期轮换Token密钥
    • 监控异常Token使用
  3. ​​Basic认证​​:
    • 仅限内部网络使用
    • 限制失败尝试次数

6.2 性能优化

  • ​​Token存储​​:使用Redis替代数据库
    # settings.py
REST_FRAMEWORK = {
    'DEFAULT_AUTH_TOKEN_MODEL': 'redis_tokens.models.RedisToken',
}
  • Session后端​​:使用缓存加速

七、调试与问题排查

7.1 常见错误场景

现象原因分析解决方案
401 Unauthorized未提供有效凭证检查Authorization头格式
403 ForbiddenSession认证未通过CSRF检查添加CSRF Token或禁用CSRF
Token失效用户被删除或Token被重置重新生成Token

7.2 调试技巧

# 打印当前认证信息
print(request.authenticators)  # 查看生效的认证类
print(request.user)             # 认证后的用户对象
print(request.auth)             # 附加认证数据(如Token实例)

通过本教程,您已掌握DRF内置认证机制的核心用法,可根据项目需求灵活选择认证方案。下一步可深入学习JWT等第三方认证扩展方案!🚀

django REST frameworkDRF
xinhuixu博客
04-03 995
Django DRF API
Django REST Framework(十五)路由Routes
yjjpp2301的专栏
07-29 844
4.1在中定义模型4.2在中定义序列化器。
Django Rest framework使用简介
Snippers的博客
04-19 1523
在开发Web应用中,有两种应用模式: 前后端不分离[客户端看到的内容和所有界面效果都是由服务端提供出来的。] 2.前后端分离[把前端的界面效果(html,css,js分离到另一个服务端,python服务端只需要返回数据即可]。前端形成一个独立的网站,服务端构成一个独立的网站 什么是API? 如果我们把前端页面看作是一种用于展示的客户端,那么 API 就是为客户端提供数据、操作数据的接口。 例如:我们经常使用的淘宝商城就有很多的客户端,Web, iOS 和 Android端,但是当我.
推荐使用Django REST framework 中文文档
gitblog_00048的博客
05-25 560
推荐使用Django REST framework 中文文档 去发现同优质开源项目:https://gitcode.com/ 如果你正在寻找一个深度集成Django框架且易于使用RESTful API开发工具,那么Django REST framework中文文档绝对值得你投入时间和精力去学习和应用。这个开源项目由fangweiren维护,为开发者提供了一份详细且实时更新的中文教程和API指...
Django REST Framework(四)DRF APIVIEW
yjjpp2301的专栏
06-30 2491
REST framework 传入视图的request对象不再是Django默认的HttpRequest对象,而是REST framework提供的扩展了HttpRequest的对象。REST framework 提供了解析器,在接收到请求后会自动根据Content-Type指明的请求数据型(如JSON、表单等)将请求数据进行parse解析,解析为字典[QueryDict]对象保存到对象中。无论前端发送的哪种格式的数据,我们都可以以统一的方式读取数据。
Django REST Framework(十九)权限
yjjpp2301的专栏
08-27 707
Django 项目的配置文件中,可以全局配置 DRF 的权限管理。这种设置适用于整个项目中的所有视图。默认情况下,如果不做任何配置,DRF 会允许所有用户访问视图(AllowAny'rest_framework.permissions.IsAuthenticated', # 仅允许已通过身份认证的用户访问在此配置下,所有视图都会默认要求用户通过身份认证,否则无法访问。有时内置的权限不能满足所有需求,此时可以通过继承来创建自定义权限。:判断用户是否有权访问视图。
使用Django REST framework的高级过滤功能进行数据筛选
qq_75046142的博客
07-07 370
Django REST framework提供了多种内置的过滤器,如SearchFilter、OrderingFilter等,这些过滤器可以帮助你快速对数据进行搜索和排序。Django REST frameworkdjango-filter库结合使用,可以提供更灵活和强大的过滤功能。通过以上方法,你可以在Django REST framework中实现各种高级过滤功能,以满足不同的数据筛选需求。对于需要根据范围值进行过滤的情况,可以使用django_filters提供的RangeFilter
Django Rest Framework使用整理
HashFlag的博客
01-12 1224
Django Rest Framework 一、Rest Framework的基本介绍 程序的客户端有很多:硬件设备,游戏,APP,软件,其他的外部服务端。 1. Web应用模式 在开发Web应用中,有两种应用模式: 前后端不分离[客户端看到的内容和所有界面效果都是由服务端提供出来的。] 这种情况下,前端页面中会出现很多涉及到服务端的模板语法。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-neat7OGD-1610381584965)(E:/Download/8-3
django rest framework 学习笔记
种一棵树,最好的结果是十年前,其次是现在!
01-21 707
当用户进行登录的时候,运行了登录的as_view()方法,进入了APIView的dispatch方法 执行self.initialize_request这个方法,里面封装了request和认证对象列表等其他参数。校验数据,因为Excel表格里的数据没有约束,经常会出现数据不符合数据表字段约束条件的情况,若不校验会导致大量数据读出来以后存数据库时报错,导致写进数据库的操作失败!当您需要处理大型文件或数据时,生成器函数非常有用,因为它们可以在需要时按块生成数据,并且可以避免一次性加载大量数据到内存中。
Django REST framework讲义PDF全集,中文文档PDF版
08-11
Django REST FrameworkDRF)是基于Python的Django Web框架的一个强大扩展,专为构建Web API而设计。本讲义全面涵盖了这个框架的核心概念、功能以及最佳实践,旨在帮助开发者快速掌握如何利用DRF创建高效、可维护的...
Django REST framework内置路由用法
09-18
Django REST framework(简称DRF)是用于构建Web API的强大框架,它提供了许多方便的工具和功能,其中就包括内置的路由系统。本篇将详细解释如何使用DRF内置路由,以及它如何帮助我们更高效地构建RESTful API。 ...
完整的污水处理项目:WinCC 7.0带西门子300程序及中文注释的工艺流程
05-02
内容概要:本文详细介绍了一个完整的污水处理自动化控制系统,该系统基于WinCC 7.0和西门子S7-300 PLC构建。文中涵盖了从数据采集、处理到报表生成的全过程,尤其强调了详细的中文注释和实用的技术细节。具体包括:PLC程序中的液位值滤波、WinCC画面中的阀门开度设置校验、报表模块的时间戳命名技巧以及报警记录的画面分层显示等。此外,还介绍了工艺流程图的动态效果、PID控制参数整定、数据归档处理等多个方面的技术和实践经验。 适用人群:从事自动化控制领域的工程师和技术人员,尤其是熟悉WinCC和西门子PLC的从业者。 使用场景及目标:适用于污水处理厂或其他似工业环境的自动化控制系统设计与维护。主要目标是提高系统的可靠性和可维护性,确保操作的安全性和高效性。 其他说明:本文不仅提供了具体的代码实现和配置方法,还分享了许多宝贵的实战经验和注意事项,如防止误操作的设计、优化系统性能的方法等。这些内容对于理解和掌握工业自动化控制系统的实际应用非常有帮助。
2025年中央电大计算机专业毕业论文.doc
05-02
2025年中央电大计算机专业毕业论文.doc
COMSOL空气流注放电模型——集成针-针电极及Helmholtz光电离过程等离子体模拟新范式
最新发布
05-02
内容概要:本文详细介绍了如何利用COMSOL的等离子体模块构建针-针电极间的空气流注放电模型。主要内容涵盖了几何结构的定义、物理场配置(如电子、正负离子的载流子选择)、化学反应的设定(包括21组带电粒子反应)以及Helmholtz光电离过程的具体实现方法。文中还提供了多个代码片段用于解释各个步骤的操作方式,并强调了求解器配置和边界条件处理的关键点。此外,作者分享了一些实用的小技巧,如初始步长设置、网格细化等,以确保模型能够稳定收敛并得到合理的仿真结果。 适合人群:从事等离子体物理研究的专业人士,特别是那些对高压放电现象感兴趣的科研工作者和技术人员。 使用场景及目标:适用于希望深入了解和模拟针-针电极间空气流注放电行为的研究项目。通过该模型可以更好地理解电场分布、粒子密度变化等微观物理过程,从而为实际工程应用提供理论支持。 阅读建议:由于涉及较多的技术细节和数学公式,建议读者具备一定的电磁学、流体力学基础知识,并且最好有一定的COMSOL软件使用经验。同时,在实践中可以根据自己的研究方向调整模型参数进行探索。
组态王仿真学习案例:石灰石断烧系统详解,实时历史曲线记录、报表分析与报警管理一网打尽,入门到进阶全功能展示
05-02
内容概要:本文详细介绍了利用组态王进行石灰石煅烧系统的仿真开发,涵盖实时曲线绘制、报警系统配置、报表生成功能等多个方面。文章从实际案例出发,通过具体的代码片段和操作步骤,讲解了如何实现温度PID控制、设备联锁、能源统计等功能。同时,作者分享了许多实践经验,如解决曲线不刷新问题、优化报警逻辑、提高报表生成效率等,帮助读者快速掌握组态王的核心技术和应用场景。 适合人群:对工业自动化感兴趣的初学者以及希望深入了解组态王使用的工程师。 使用场景及目标:适用于需要构建工业控制系统仿真模型的学习者或开发者,旨在通过实例演练提升对组态王的理解和运用能力,最终能够独立完成似项目的开发。 其他说明:文中提供了丰富的代码示例和技术细节,有助于读者更好地理解和实践。此外,还特别强调了一些常见的错误和注意事项,如控件命名规范、数据源绑定规则等,确保项目顺利实施。
2025年电大《计算机》统考操作题流程.doc
05-02
2025年电大《计算机》统考操作题流程.doc
中国人口省际迁移流动分量辨识数据集 (2010-2020)
05-02
作者以中国省际迁移流动人口为研究对象,基于人口普查、就业统计数据,构建辨识省际人口迁移流动分量模型,计算出了中国分省人口增长的全要素平衡表,分析了人口增长的要素组合型及其区域分布特征,得到中国人口省际迁移流动分量辨识数据集(2010-2020)。数据集内容包括:(1)2010-2020 年中国分省份人口增长全要素平衡表数据;(2)2010-2020 年中国分省份人口流入率与流出率的对数数据。该数据集存储为.xlsx格式,1个数据文件,数据量为16.2 KB。基于该数据集的分析研究成果拟发表在《地理学报》2024年79卷第8期。丁金宏, 常亮, 陈益豪等. 人口流动分析范式及中国人口省际迁移流动分量辨识[J]. 地理学报, 2024, 79(8): 1883-1897.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yant224

点滴鼓励,汇成前行星光🌟

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值