认证Authentication
1.概念
身份验证是将传入请求与一组标识凭据(例如,请求来自的用户或与其进行签名的令牌)相关联的机制。然后,权限和限制策略可以使用这些凭据来确定是否应允许该请求。
身份验证本身不会允许或不允许传入的请求,它只会标识发出请求的凭据。
认证管理一般和权限管理配合使用。
2.认证方式
基本认证(BasicAuthentication)
此身份验证方案使用HTTP基本身份验证,该身份针对用户的用户名和密码进行了签名。基本身份验证通常仅适用于测试。
如果成功通过身份验证request.user将是DjangoUser实例。
未经授权的身份验证的响应将被拒绝 HTTP 401 Unauthorized
会话认证(SessionAuthentication)
此身份验证方案使用Django的默认会话后端进行身份验证。会话身份验证适用于在与您的网站相同的会话上下文中运行的AJAX客户端。
如果成功通过身份验证request.user将是DjangoUser实例。
未经授权的身份验证的响应将被拒绝HTTP 403 Forbidden。
令牌认证(TokenAuthentication)
此身份验证方案使用简单的基于令牌的HTTP身份验证方案。令牌认证适用于客户端-服务器设置,例如本机台式机和移动客户端。
为了使客户端进行身份验证,令牌密钥应包含在AuthorizationHTTP标头中。密钥应以字符串文字“ Token”作为前缀,并用空格分隔两个字符串。例如:
Authorization:Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b
认证失败会有两种可能的返回值:
- 401 Unauthorized 未认证
- 403 Permission Denied 权限被禁止
3.认证全局设置
可以在配置文件中配置全局默认的认证方案
REST_FRAMEWORK = {
# 默认的认证列表: session
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication', # session认证
)
}
因为 认证一般都是和权限配合使用,当我们不设置权限时,是没有任何效果的。为了让大家看到最佳效果,我们额外添加一条配置信息。配置信息的意思是 只有认证登录用户才可以访问视图
REST_FRAMEWORK = {
# 默认的认证列表: session
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.SessionAuthentication',
],
# 默认的权限列表: 只有登录用户才可以访问
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
)
}
添加了权限配置之后,会出现如下响应
我们可以通过创建一个超级管理员,登录后台,来创建session信息
1.创建一个超级用户
2.登录后台 http://127.0.0.1:8000/admin/login/?next=/admin/
3.登录成功生成session
登录成功之后,再次刷新页面,就可以访问了
4.认证指定视图设置
也可以在每个视图中通过设置authentication_classess属性来设置
from book.models import BookInfo
from book.serializers import BookInfoModelSerializer
from rest_framework.viewsets import ModelViewSet
from rest_framework.authentication import TokenAuthentication
class BookModelViewSet(ModelViewSet):
queryset = BookInfo.objects.all()
serializer_class = BookInfoModelSerializer
#单个视图,设置单独认证方式
authentication_classes = [TokenAuthentication]
