Django休息框架匿名用户始终经过身份验证

时间:2017-12-07 13:18:40

标签: django django-rest-framework django-authentication anonymous-users

我尝试使用django rest framework isauthenticated权限和TokenAuthentication来验证我的Web API方法 API方法:

@api_view(['Post'])
@permission_classes((IsAuthenticated,))
def listofgroups(request):
    try:
        logout(request)
        data = request.data
        page_size = data.get('pagesize')
        page_number = data.get('pagenumber')
        group_qs = Group.objects.all()
        paginator = Paginator(group_qs, int(page_size))
        group_list = paginator.page(int(page_number))
        #group_list = tools.paginate_query_set(group_qs, 1, 3)
        #list  = group_list[0]['model']
        groups = [get_group_dto(g) for g in group_list]
        sorted_groups = sorted(groups, key=lambda k: k['user_count'], reverse = True)
        group_list_dto = {
        "grps": sorted_groups, 
        "success":1,
        "fail":0
        }
        return Response(group_list_dto)
    except Exception as e:
        #.error("Error %s"(e), exc_info = 1) 
        return Response({"success" : 0, "error": str(e)})

基本上我应该总是在标题中设置Authorization,如:

  

"授权":"令牌a26171d30745cc94bcd6ac42d9bc94e1d3992948"

此令牌基于rest_framework.authtoken

错误是我可以获得响应200的数据,甚至没有在标题中设置令牌,因为它返回的匿名用户是从django的后端验证的。

  

如何使用django rest framework阻止匿名用户进行身份验证并返回403响应错误

我感谢任何帮助

2 个答案:

答案 0 :(得分:0)

实际上在django rest框架中定义了许多类用于验证。我想您的情况是,您将需要以下一组装饰器:

@api_view(['POST'])
@authentication_classes((TokenAuthentication,))
@permission_classes((IsAuthenticated,))

考虑到您已经正确设置了标头,上面的代码就不会有问题。

答案 1 :(得分:0)

你可以这样做,

为了安全起见,始终要求用户提供令牌,并且不需要调用permission_classes,它会自动进行isAuthenticated

REST_FRAMEWORK = {
    DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',
    ]
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.TokenAuthentication',
    ]
}
相关问题
最新问题