技術文章 » DRF的認證元件(原始碼分析)

DRF的認證元件(原始碼分析)

2023-04-21 12:01:03

DRF認證元件(原始碼分析)

1. 資料庫建立使用者表

在drf中也給我們提供了 認證元件 ,幫助我們快速實現認證相關的功能,例如:

# models.py

from django.db import models

class UserInfo(models.Model):
    username = models.CharField(verbose_name="使用者名稱", max_length=32)
    password = models.CharField(verbose_name="密碼", max_length=64)
    token = models.CharField(verbose_name="TOKEN", max_length=64, null=True, blank=True)

2. 自定義認證類

定義一個認證的類並繼承BaseAuthentication

# -*- encoding:utf-8 -*-
# @time: 2023/4/21 8:44
# @author: ifeng

from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed

from app01 import models


# 使用者認證
class TokenAuthentication(BaseAuthentication):
    def authenticate(self, request):
        token = request.query_params.get('token')
        if not token:
            raise AuthenticationFailed({'code': 1002, 'error': '認證失敗'})
        user_obj = models.UserInfo.objects.filter(token=token).first()
        if not user_obj:
            raise AuthenticationFailed({'code': 1001, 'error': '認證失敗'})
        return user_obj, token

    def authenticate_header(self, request):
        return 'Bearer realm="API"'

3. 檢視函數中新增認證

from rest_framework.response import Response
from rest_framework.views import APIView
from .auth import TokenAuthentication  # 匯入認證類
from app01 import models


# Create your views here.


class UserView(APIView):
    authentication_classes = [TokenAuthentication, ]  # token認證

    def get(self, request, *args, **kwargs):
        # 使用者認證
        print(request.user, request.auth)
        return Response({'code': 0, 'data': '嘻嘻嘻哈啊哈哈'})

    def post(self, request, *args, **kwargs):
        pass

4. 關於返回None

接下來說說 「返回None」 是咋回事。

在檢視類的 authentication_classes 中定義認證類時,傳入的是一個列表,支援定義多個認證類。

當出現多個認證類時,drf內部會按照列表的順序,逐一執行認證類的 authenticate 方法,如果 返回元組 或 丟擲異常 則會終止後續認證類的執行;如果返回None,則意味著繼續執行後續的認證類。

如果所有的認證類authenticate都返回了None,則預設 request.user="AnonymousUser" 和 request.auth=None,也可以通過修改組態檔來修改預設值。

REST_FRAMEWORK = {
 "UNAUTHENTICATED_USER": lambda: None,
 "UNAUTHENTICATED_TOKEN": lambda: None,
}

應用場景:

當某個API,已認證 和 未認證 的使用者都可以存取時,比如:

  • 已認證使用者,存取API返回該使用者的視訊播放記錄列表。
  • 未認證使用者,存取API返回最新的的視訊列表。

注意:不同於之前的案例,之前案例是:必須認證成功後才能存取,而此案例則是已認證和未認證均可存取。

5. 關於返回多個認證類

當專案中可能存在多種認證方式時,就可以寫多個認證類。例如,專案認證支援:

  • 在請求中傳遞token進行驗證。
  • 請求攜帶cookie進行驗證。
class UserView(APIView):
    authentication_classes = [TokenAuthentication, CookieAuthentication]  # token認證

6. 全域性設定

在每個檢視類的類變數 authentication_classes 中可以定義,其實在組態檔中也可以進行全域性設定,例如:

REST_FRAMEWORK = {
    # 認證
    "UNAUTHENTICATED_USER": lambda: None,  # 如果每一個認證最後都返回None. 就會呼叫到這個
    "UNAUTHENTICATED_TOKEN": lambda: None,
    'DEFAULT_AUTHENTICATION_CLASSES': ['app01.auth.TokenAuthentication', ]
}

7. 原始碼分析

序號為執行流程