我正在尝试使用django-rest-framework和django-rest-auth通过tivix(link to documentation)实施身份验证。我使用django shell创建了一个用户:
from django.contrib.auth.models import User
user = User.objects.create_user(username='foo', email='foo@bar.com', password='bar')
user.save()
然后根据Documentation我使用django-rest-auth(终端命令)登录用户:
curl -X POST -d "username=foo&password=bar&email=foo@bar.com" http://127.0.0.1:8000/rest-auth/login/
它返回了一个令牌,我知道用户已经过身份验证。
现在我使用django-rest-auth文档中描述的方法注销了,我仍然可以看到数据库中存在的令牌。然后我再次登录,它返回了与密钥相同的令牌。
每次用户注销时,都会以任何方式删除令牌或更好的令牌。此外,文档中没有提及令牌本身是否会在经过一段时间后过期(自动删除)。
如果不可能这样做,我怎样才能在两种情况下删除令牌?
编辑:登录&退出代码
urls.py(主要):
url(r'^rest-auth/', include('rest_auth.urls')),
settings.py:
INSTALLED_APPS = [
...
'rest_framework',
'rest_framework.authtoken',
'rest_auth',
...
]
登录CURL命令:( GIVEN ABOVE)。 登录命令响应:
{u'key': u'e41f0a1c2f5e55569df1c41d1d5d4efb77beddee'}
注销CURL命令:
curl -X POST -d "key=e41f0a1c2f5e55569df1c41d1d5d4efb77beddee" http://127.0.0.1:8000/rest-auth/logout/
退出响应:
{u'success': u'Successfully logged out.'}
答案 0 :(得分:7)
您必须登录才能删除令牌。
以下是django-rest-auth处理退出(ref)的方式:
def post(self, request):
return self.logout(request)
def logout(self, request):
try:
request.user.auth_token.delete()
except (AttributeError, ObjectDoesNotExist):
pass
logout(request)
return Response({"success": _("Successfully logged out.")},
status=status.HTTP_200_OK)
所以注销:
curl -X POST -H "Authorization: Token <token>" http://127.0.0.1:8000/rest-auth/logout/
请注意django-rest-auth支持基于会话和DRF令牌身份验证。
以下是有关DRF Token Authentication以及如何使用
的文档添加了有关DRF令牌身份验证的信息