本篇记录一下自己对django鉴权的学习和理解
先上代码
# Backend可以是普通的python类,但是关于登陆校验需要具有以下规定的2个方法(登录basic认证方式# BasicAuthentication之后的后端处理逻辑-理解为中间件也可以):
# authenticate(self,username=None,password=None) 或者authenticate(self,token=None),如果通过验证,返回值是一个User对象,如果不通过验证,返回值是None。
# get_user(self,user_id)
# 这两类方法的具体使用不是很相同,关于登陆校验的authenticate,Django在使用他们的时候,会遍历所有的auth backends
# 一旦发现有一个backend校验通过,即返回User对象,那么将会停止下面backend的校验,并且将校验成功的backend绑定在该用户上放入session中,
# 此后如果再次调用该方法,那么将会使用session中的backend进行校验,而不再遍历所有backend了。
AUTHENTICATION_BACKENDS = ['util.auth_func.CustomBackend']
REST_FRAMEWORK = {
# api文档
'DEFAULT_SCHEMA_CLASS': 'rest_framework.schemas.AutoSchema',
# 配置默认的认证方式 base:账号密码验证
# session:session_id认证
'DEFAULT_AUTHENTICATION_CLASSES': (
# drf的这一阶段主要是做验证,middleware的auth主要是设置session和user到request对象
# 默认的验证是按照验证列表从上到下的验证(只需要通过一个即可)
# 判断request中是否带有JWT的自定义请求头(token形式)
'rest_framework_simplejwt.authentication.JWTAuthentication',
# 判断是否有session_id(cookie形式)
'rest_framework.authentication.SessionAuthentication',
# basic认证(用户密码登录)
'rest_framework.authentication.BasicAuthentication',
)}
AUTHENTICATION_BACKENDS 登录的时候会调用(有优先级)
DEFAULT_AUTHENTICATION_CLASSES
我这里写了三种校验方式 但凡匹配到任意一种,无论是否成功,都不会继续校验了
第一级:rest_framework_simplejwt.authentication.JWTAuthentication
以postman为例,因为我的登录校验是优先jwt,所以我参数里填token的形式 就只会 走 JWTAuthentication
第二级:rest_framework.authentication.SessionAuthentication --检查request中是否带有session_id
第三级:rest_framework.authentication.BasicAuthentication --basic认证,就是账号密码
这一期就写这么多 有时间再记录。之前看到过一张时序图 还挺好的 我贴在下面