尽管缺少Authorization令牌,但Django仍响应选项请求

时间:2018-09-18 09:53:06

标签: django authentication django-rest-framework

我正在测试来自其他API的响应。如果用户不发送令牌,我希望将发送403响应。

在下面的测试中,我创建一个用户,创建并获取他们的身份验证令牌(用于其他测试),并测试是否可以在不进行身份验证的情况下发送选项请求。

当使用外部请求测试端点时,我得到响应:

{
    "detail": "Authentication credentials were not provided."
}

但是我的代码返回状态200以及对选项请求的响应。

我检查了代码force_authentication(...中没有任何地方,并且self.client.credentials.__dict__)返回空白字典。

django为什么在permission_classes = (permissions.IsAuthenticated,)时返回请求?

查看:

from rest_framework import permissions
class getUserOptions(views.APIView, ReturnMetadata):
    permission_classes = (permissions.IsAuthenticated,)
    def options(self, request):
        field_meta = self.user_metadata(request)
        return Response(field_meta)

测试:

from django.contrib.auth import get_user_model
from rest_framework import status
from rest_framework.test import APIClient
from rest_framework.authtoken.models import Token

class basic_functionality(APITestCase, TestCase):

    def setUp(self):
        self.user_details = {...}
        self.client = APIClient()
        self.user_model = get_user_model()

        user = self.user_model.objects.create(username=self.user_details['username'])
        user.set_password(self.user_details['password'])

        user.first_name = self.user_details['first_name']
        user.last_name = self.user_details['last_name']
        user.email = self.user_details['email']
        ...
        user.is_active = self.user_details['is_active']
        user.save()

        self.client.force_login(user)

        user_temp = self.user_model.objects.get(username=self.user_details['username'])
        self.user_token = Token.objects.get_or_create(user=user_temp)[0]

class user_options(basic_functionality):

    def request_user_options(self, payload):
        """
        Test getting options for the user form
        called by test_user_options
        payload: 
            - Authorization : token
        """
        url = reverse('user_options')
        headers = {'Content-Type': 'multipart/form-data'}
        response = self.client.options(url, data=payload, headers=headers)

        return response

    def test_user_options_bad_token(self):
        payload = {}
        response = self.request_user_options(payload)
        self.assertEqual(response.status_code, status.HTTP_403_FORBIDDEN)

1 个答案:

答案 0 :(得分:0)

force_login似乎在APIClient中为您提供了会话,这意味着您无需验证后续请求。这不是我个人希望实现的目标,因为这不是具有我的身份验证设置的用户所需要的体验。

我必须设置self.client.force_authenticate(user=None)

来自docs

  

登录:   登录方法的功能与Django常规客户端的功能完全相同   类。这样,您可以针对任何包含SessionAuthentication的视图对请求进行身份验证。

# Make all requests in the context of a logged in session.
client = APIClient()
client.login(username='lauren', password='secret')
     

不验证:

     

要取消对后续请求的身份验证,请调用force_authenticate   将用户和/或令牌设置为“无”。

client.force_authenticate(user=None)
相关问题
最新问题