如何在Django休息框架中验证API请求(由匿名用户)?

时间:2015-06-02 12:11:22

标签: django django-rest-framework

API请求将由匿名用户发送。没有登录/注册功能。

我需要验证API请求,我尝试过的一种原始方法是在每个请求中发送一个auth密钥。这个auth键,我作为常量保存在Angular前端。

必须有更好更复杂的方式,请帮助!

2 个答案:

答案 0 :(得分:10)

Django REST框架主要假设请求是基于用户进行身份验证的,但它们确实为身份验证匿名请求提供支持。虽然这很大程度上打破了认证"认证"意味着"验证(Django)用户是真的",Django REST框架确实允许它发生,而只是替换AnonymousUser

DRF中的身份验证可以定义请求中的request.user(经过身份验证的用户)和request.auth(通常是使用的令牌,如果适用)属性。因此,对于您的身份验证,您将保留已创建的令牌(在模型中或其他位置)并且将验证这些令牌而不是用户凭据,并且您最终不会设置用户。

from django.contrib.auth.models import AnonymousUser
from rest_framework import authentication
from rest_framework import exceptions

class ExampleAuthentication(authentication.BaseAuthentication):
    def authenticate(self, request):
        auth = authentication.get_authorization_header(request)

        if not auth or auth[0].lower() != b'token':
            return None

        if len(auth) == 1:
            msg = _('Invalid token header. No credentials provided.')
            raise exceptions.AuthenticationFailed(msg)
        elif len(auth) > 2:
            msg = _('Invalid token header. Credentials string should not contain spaces.')
            raise exceptions.AuthenticationFailed(msg)

        try:
            token = Token.objects.get(token=auth[1])
        except Token.DoesNotExist:
            raise exceptions.AuthenticationFailed('No such token')

        return (AnonymousUser(), token)

此示例假定您具有Token模型,该模型存储将进行身份验证的令牌。如果请求已正确验证,则令牌对象将设置为request.auth

答案 1 :(得分:0)

阅读authentication及其tutorial上的其他api文档 - 它们为选项提供了可靠的介绍。