我已经为基于令牌的身份验证实现了simpleJWT。我创建了一个简单的hello world test API。
在测试时,我正在使用/ rest-auth / login /进行登录,并生成了/ api / token /的使用-两者都可以正常工作。
现在要进行测试,我使用用户XYZ(具有helloworld api的访问权限)登录,并使用另一个用户ABC(不具有helloworld api的访问权限)来生成令牌。
因此,现在用户XYZ已通过身份验证(确定),但是我拥有用户ABC的令牌(确定)。
现在,当我使用生成的用于ABC的令牌调用API时,即使用户ABC没有对该API的权限,我也可以访问helloworld api!因为具有权限的用户XYZ已经登录。
问题是,当多个用户使用该网站时,总是这样。怎么解决?下面也显示了一些代码片段:
我的settings.py断了
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
),
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
基本上,对用户进行身份验证的装饰器的代码如下
def user_is_ADM(fun_c):
@wraps(fun_c)
def wrapped(request, *args, **kwargs):
# 1 = ADM
if(request.user and request.user.is_authenticated) : <--- here is the issue
user_data = UserProfile.objects.get(user_id = request.user.id)
# user profile as as a user type
u = user_data.user_type
if u == 1:
return fun_c(request, *args, **kwargs)
else:
raise PermissionDenied
return wrapped
在这种情况下我应该采取什么策略?
编辑 如下修改了我的装饰器,它正在工作。如果我做错了事,请有人发表评论
def user_is_ADM(fun_c):
@wraps(fun_c)
def wrapped(request, *args, **kwargs):
juser = get_user(request)
if juser.is_authenticated:
user_jwt = JWTAuthentication().authenticate(Request(request))
if user_jwt is not None:
if request.user == user_jwt[0]:
k = user_jwt[0].userprofile.get_user_type_display()
if k == 'ADM':
return fun_c(request,*args,**kwargs)
else:
raise PermissionDenied
else:
raise PermissionDenied
else:
raise PermissionDenied
else:
raise PermissionDenied
return wrapped
答案 0 :(得分:0)
查看此文档enter image description here(自定义权限)
设置常规权限设置(IsAuthenticated)时。 确实是在验证用户身份,但不随时验证其权限
class IsAuthenticated(BasePermission):
"""
Allows access only to authenticated users.
"""
def has_permission(self, request, view):
return bool(request.user and request.user.is_authenticated)
如果基本的管理员和用户身份验证还不够。您可以实现自定义权限
from rest_framework import permissions
class CustomerAccessPermission(permissions.BasePermission):
"""
extracted from the documentation
"""
message = 'Adding customers not allowed.'
def has_permission(self, request, view):
"""
add authentication logic and return a boolean value
"""
# ...
# return bool()
在视图中
from rest_framework.views import APIView
from modulename.permissions import CustomerAccessPermission
class ExampleView(APIView):
"""
...
"""
permission_classes = (CustomerAccessPermission,)
def get(self, request, format=None):
"""
...
"""
这里是具有Django身份验证权限的示例
from typing import Tuple
from rest_framework.permissions import BasePermission
class CustomPermission(BasePermission):
"""
...
"""
list_permissions: Tuple[str] = (
'modelname.view_modelname',
'modelname.add_modelname',
'modelname.change_modelname',
'modelname.delete_modelname',
)
def has_permission(self, request, view) -> bool:
return bool(
request.user.has_perms(self.list_permissions)
or
request.user and request.user.is_staff
or
request.user and request.user.is_superuser
)
摘要
关于一般语法,您不会看到任何更改,必须在视图中导入权限或装饰器,区别在于运行时和django评估权限的方式
记住装饰器无非是说func(func())的一种概括方式。 因此,您应该始终评估视图并调用由装饰器修改的方法
相反,此框架中的权限始终定义为权限类列表。在执行视图主体之前,将验证列表中的每个权限。如果任何权限验证失败,将生成异常。权限被拒绝或例外。将生成未经身份验证的异常,并且视图的主体将不执行。 (请查阅文档以获取完整说明)
您应该评估哪种方法最适合您的情况(性能,语法等)。
# you can set your permission in the general settings to avoid importing into each file
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'modulename.permissions.CustomPermission',
),
# ...
}