Hướng dẫn python generate basic auth - python tạo auth cơ bản

Sử dụng sức mạnh của Python và dựa vào một trong những thư viện tốt nhất xung quanh: Yêu cầu

import requests

r = requests.get['//my.website.com/rest/path', auth=['myusername', 'mybasicpass']]

Biến R [Phản hồi yêu cầu] có nhiều tham số mà bạn có thể sử dụng. Điều tốt nhất là tham gia phiên dịch tương tác và chơi xung quanh nó và/hoặc đọc các tài liệu yêu cầu.

Auth cần phải có thể cắm được.

-Jacob Kaplan-Moss, "Thực hành tồi tệ nhất"

Xác thực là cơ chế liên kết một yêu cầu đến với một tập hợp các thông tin xác định, chẳng hạn như người dùng yêu cầu đến từ hoặc mã thông báo mà nó đã ký. Các chính sách cho phép và điều chỉnh sau đó có thể sử dụng các thông tin đó để xác định xem yêu cầu có nên được phép hay không.

REST Framework cung cấp một số sơ đồ xác thực ra khỏi hộp và cũng cho phép bạn thực hiện các chương trình tùy chỉnh.

Xác thực luôn chạy ngay khi bắt đầu xem, trước khi kiểm tra cho phép và điều chỉnh, và trước khi bất kỳ mã nào khác được phép tiến hành.

Thuộc tính

6 thường sẽ được đặt thành một thể hiện của lớp
8 của gói ____27.

Thuộc tính

9 được sử dụng cho bất kỳ thông tin xác thực bổ sung nào, ví dụ, nó có thể được sử dụng để biểu thị mã thông báo xác thực mà yêu cầu đã được ký kết.

Lưu ý: Đừng quên rằng xác thực của chính nó sẽ không cho phép hoặc không cho phép yêu cầu đến, nó chỉ cần xác định thông tin đăng nhập mà yêu cầu được thực hiện. Don't forget that authentication by itself won't allow or disallow an incoming request, it simply identifies the credentials that the request was made with.

Để biết thông tin về cách thiết lập các chính sách quyền cho API của bạn, vui lòng xem tài liệu quyền.

Cách xác định xác thực

Các sơ đồ xác thực luôn được định nghĩa là danh sách các lớp. REST Framework sẽ cố gắng xác thực với mỗi lớp trong danh sách và sẽ đặt

6 và
9 bằng cách sử dụng giá trị trả về của lớp đầu tiên xác thực thành công.

Nếu không có lớp xác thực,

request.user sẽ được đặt thành một thể hiện
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]
3 và
9 sẽ được đặt thành
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]

Giá trị của

6 và
9 cho các yêu cầu không được xác thực có thể được sửa đổi bằng cách sử dụng cài đặt
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]
8 và
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]

Đặt sơ đồ xác thực

Các sơ đồ xác thực mặc định có thể được đặt trên toàn cầu, sử dụng cài đặt DEFAULT_AUTHENTICATION_CLASSES

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
0. Ví dụ.


Bạn cũng có thể đặt sơ đồ xác thực trên cơ sở Per-View hoặc Per-Viewset, sử dụng các chế độ xem dựa trên lớp

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]

Hoặc, nếu bạn đang sử dụng trình trang trí

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
2 với các chế độ xem dựa trên chức năng.

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]

Khi một yêu cầu không xác thực bị từ chối quyền, có hai mã lỗi khác nhau có thể phù hợp.

  • HTTP 401 trái phép
  • HTTP 403 bị từ chối

Các phản hồi của HTTP 401 phải luôn bao gồm một tiêu đề

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
3, hướng dẫn khách hàng cách xác thực. Phản hồi của HTTP 403 không bao gồm tiêu đề
@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]

Loại phản hồi sẽ được sử dụng phụ thuộc vào sơ đồ xác thực. Mặc dù nhiều sơ đồ xác thực có thể được sử dụng, nhưng chỉ có một sơ đồ có thể được sử dụng để xác định loại phản hồi. Lớp xác thực đầu tiên được đặt trên chế độ xem được sử dụng khi xác định loại phản hồi.The first authentication class set on the view is used when determining the type of response.

Lưu ý rằng khi một yêu cầu có thể xác thực thành công, nhưng vẫn bị từ chối cho phép thực hiện yêu cầu, trong trường hợp đó, phản hồi

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
5 sẽ luôn được sử dụng, bất kể sơ đồ xác thực.

Apache mod_wsgi Cấu hình cụ thể

Lưu ý rằng nếu triển khai cho Apache bằng MOD_WSGI, tiêu đề ủy quyền không được chuyển qua ứng dụng WSGI theo mặc định, vì giả định rằng xác thực sẽ được Apache xử lý, thay vì ở cấp ứng dụng.

Nếu bạn đang triển khai cho Apache và sử dụng bất kỳ xác thực không dựa trên phiên nào, bạn sẽ cần cấu hình rõ ràng MOD_WSGI để chuyển các tiêu đề cần thiết qua ứng dụng. Điều này có thể được thực hiện bằng cách chỉ định Chỉ thị

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
6 trong bối cảnh thích hợp và đặt nó thành
@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On

Tham khảo API


Sơ đồ xác thực này sử dụng xác thực cơ bản HTTP, được ký vào tên người dùng và mật khẩu của người dùng. Xác thực cơ bản thường chỉ phù hợp để kiểm tra.

Nếu được xác thực thành công,

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
8 cung cấp các thông tin sau đây.

    6 sẽ là một ví dụ Django
    9 sẽ là
    from rest_framework.authentication import SessionAuthentication, BasicAuthentication
    from rest_framework.permissions import IsAuthenticated
    from rest_framework.response import Response
    from rest_framework.views import APIView
    class ExampleView[APIView]:
        authentication_classes = [SessionAuthentication, BasicAuthentication]
        permission_classes = [IsAuthenticated]
        def get[self, request, format=None]:
            content = {
                'user': str[request.user],  # `django.contrib.auth.User` instance.
                'auth': str[request.auth],  # None
            return Response[content]

Các phản hồi không xác thực bị từ chối cho phép sẽ dẫn đến phản hồi HTTP 401 Unauthorized

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
3 với tiêu đề xác thực www thích hợp. Ví dụ:

WWW-Authenticate: Basic realm="api"

Lưu ý: Nếu bạn sử dụng

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
8 trong sản xuất, bạn phải đảm bảo rằng API của bạn chỉ khả dụng trên
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
5. Bạn cũng nên đảm bảo rằng các máy khách API của bạn sẽ luôn yêu cầu lại tên người dùng và mật khẩu khi đăng nhập và sẽ không bao giờ lưu trữ các chi tiết đó để lưu trữ liên tục.
If you use
@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
8 in production you must ensure that your API is only available over
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
5. You should also ensure that your API clients will always re-request the username and password at login, and will never store those details to persistent storage.


Lưu ý: Xác thực mã thông báo được cung cấp bởi Django Rest Framework là một triển khai khá đơn giản. The token authentication provided by Django REST framework is a fairly simple implementation.

Đối với việc triển khai cho phép nhiều hơn một mã thông báo cho mỗi người dùng, có một số chi tiết triển khai bảo mật chặt chẽ hơn và hỗ trợ hết hạn mã thông báo, vui lòng xem gói bên thứ ba Django REST KNOX.

Sơ đồ xác thực này sử dụng sơ đồ xác thực HTTP dựa trên mã thông báo đơn giản. Xác thực mã thông báo phù hợp cho các thiết lập máy khách-máy chủ, chẳng hạn như máy tính để bàn gốc và máy khách di động.

Để sử dụng sơ đồ

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6, bạn sẽ cần định cấu hình các lớp xác thực để bao gồm
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 và bao gồm cả
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
8 trong cài đặt
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
9 của bạn:


Đảm bảo chạy

WWW-Authenticate: Basic realm="api"
0 sau khi thay đổi cài đặt của bạn.

Ứng dụng

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
8 cung cấp di chuyển cơ sở dữ liệu Django.

Bạn cũng sẽ cần tạo mã thông báo cho người dùng của mình.

from rest_framework.authtoken.models import Token

token = Token.objects.create[user=...]

Để khách hàng xác thực, khóa mã thông báo nên được đưa vào tiêu đề

WWW-Authenticate: Basic realm="api"
2 HTTP. Phím phải được đặt trước bằng chuỗi "mã thông báo" theo nghĩa đen, với khoảng trắng ngăn cách hai chuỗi. Ví dụ:

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

Nếu bạn muốn sử dụng một từ khóa khác trong tiêu đề, chẳng hạn như

WWW-Authenticate: Basic realm="api"
3, chỉ cần phân lớp con
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 và đặt biến lớp
WWW-Authenticate: Basic realm="api"

Nếu được xác thực thành công,

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 cung cấp các thông tin sau đây.

    6 sẽ là một ví dụ Django
    9 sẽ là
    from rest_framework.authentication import SessionAuthentication, BasicAuthentication
    from rest_framework.permissions import IsAuthenticated
    from rest_framework.response import Response
    from rest_framework.views import APIView
    class ExampleView[APIView]:
        authentication_classes = [SessionAuthentication, BasicAuthentication]
        permission_classes = [IsAuthenticated]
        def get[self, request, format=None]:
            content = {
                'user': str[request.user],  # `django.contrib.auth.User` instance.
                'auth': str[request.auth],  # None
            return Response[content]

Các phản hồi không xác thực bị từ chối cho phép sẽ dẫn đến phản hồi

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
3 với tiêu đề xác thực www thích hợp. Ví dụ:

Lưu ý: Nếu bạn sử dụng

@authentication_classes[[SessionAuthentication, BasicAuthentication]]
def example_view[request, format=None]:
    content = {
        'user': str[request.user],  # `django.contrib.auth.User` instance.
        'auth': str[request.auth],  # None
    return Response[content]
8 trong sản xuất, bạn phải đảm bảo rằng API của bạn chỉ khả dụng trên
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
5. Bạn cũng nên đảm bảo rằng các máy khách API của bạn sẽ luôn yêu cầu lại tên người dùng và mật khẩu khi đăng nhập và sẽ không bao giờ lưu trữ các chi tiết đó để lưu trữ liên tục.

Tokenenuthentication If you use

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 in production you must ensure that your API is only available over
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On

Lưu ý: Xác thực mã thông báo được cung cấp bởi Django Rest Framework là một triển khai khá đơn giản.

Đối với việc triển khai cho phép nhiều hơn một mã thông báo cho mỗi người dùng, có một số chi tiết triển khai bảo mật chặt chẽ hơn và hỗ trợ hết hạn mã thông báo, vui lòng xem gói bên thứ ba Django REST KNOX.

Sơ đồ xác thực này sử dụng sơ đồ xác thực HTTP dựa trên mã thông báo đơn giản. Xác thực mã thông báo phù hợp cho các thiết lập máy khách-máy chủ, chẳng hạn như máy tính để bàn gốc và máy khách di động.

Để sử dụng sơ đồ

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6, bạn sẽ cần định cấu hình các lớp xác thực để bao gồm
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 và bao gồm cả
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
8 trong cài đặt
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
9 của bạn:

Đảm bảo chạy

WWW-Authenticate: Basic realm="api"
0 sau khi thay đổi cài đặt của bạn.

Ứng dụng
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
8 cung cấp di chuyển cơ sở dữ liệu Django.

Bạn cũng sẽ cần tạo mã thông báo cho người dùng của mình.

Để khách hàng xác thực, khóa mã thông báo nên được đưa vào tiêu đề

WWW-Authenticate: Basic realm="api"
2 HTTP. Phím phải được đặt trước bằng chuỗi "mã thông báo" theo nghĩa đen, với khoảng trắng ngăn cách hai chuỗi. Ví dụ:

Nếu bạn muốn sử dụng một từ khóa khác trong tiêu đề, chẳng hạn như

WWW-Authenticate: Basic realm="api"
3, chỉ cần phân lớp con
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 và đặt biến lớp
WWW-Authenticate: Basic realm="api"

Nếu được xác thực thành công,

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 cung cấp các thông tin sau đây.

9 sẽ là một ví dụ

Công cụ dòng lệnh

2 có thể hữu ích để kiểm tra các API được xác thực mã thông báo. Ví dụ:

Lưu ý: Nếu bạn sử dụng

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
6 trong sản xuất, bạn phải đảm bảo rằng API của bạn chỉ khả dụng trên
# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On

Tạo mã thông báo

Bằng cách sử dụng tín hiệu

Nếu bạn muốn mọi người dùng có mã thông báo được tạo tự động, bạn chỉ cần bắt tín hiệu

5 của người dùng.

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

Lưu ý rằng bạn sẽ muốn đảm bảo bạn đặt đoạn mã này trong mô -đun
6 được cài đặt hoặc một số vị trí khác sẽ được Django nhập khi khởi động.

Nếu bạn đã tạo một số người dùng, bạn có thể tạo mã thông báo cho tất cả người dùng hiện tại như thế này:

Lệnh này sẽ trả về mã thông báo API cho người dùng đã cho, tạo nó nếu nó không tồn tại:


Trong trường hợp bạn muốn tái tạo mã thông báo [ví dụ: nếu nó đã bị xâm phạm hoặc bị rò rỉ], bạn có thể vượt qua một tham số bổ sung:



Sơ đồ xác thực này sử dụng phụ trợ phiên mặc định của Django để xác thực. Xác thực phiên phù hợp với các máy khách AJAX đang chạy trong cùng bối cảnh phiên với trang web của bạn.

Nếu được xác thực thành công,

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b
3 cung cấp các thông tin sau đây.

    6 sẽ là một ví dụ Django
    9 sẽ là
    from rest_framework.authentication import SessionAuthentication, BasicAuthentication
    from rest_framework.permissions import IsAuthenticated
    from rest_framework.response import Response
    from rest_framework.views import APIView
    class ExampleView[APIView]:
        authentication_classes = [SessionAuthentication, BasicAuthentication]
        permission_classes = [IsAuthenticated]
        def get[self, request, format=None]:
            content = {
                'user': str[request.user],  # `django.contrib.auth.User` instance.
                'auth': str[request.auth],  # None
            return Response[content]

Các phản hồi không xác thực bị từ chối cho phép sẽ dẫn đến phản hồi

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

Nếu bạn đang sử dụng API kiểu AJAX với sessionAuthentication, bạn sẽ cần đảm bảo rằng bạn bao gồm mã thông báo CSRF hợp lệ cho bất kỳ các cuộc gọi phương thức HTTP "không an toàn" nào, chẳng hạn như

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b
01 hoặc
02. Xem tài liệu Django CSRF để biết thêm chi tiết.

Cảnh báo: Luôn sử dụng chế độ xem đăng nhập tiêu chuẩn của Django khi tạo các trang đăng nhập. Điều này sẽ đảm bảo chế độ xem đăng nhập của bạn được bảo vệ đúng.: Always use Django's standard login view when creating login pages. This will ensure your login views are properly protected.

Xác thực CSRF trong Khung REST hoạt động hơi khác với DJANGO tiêu chuẩn do nhu cầu hỗ trợ cả xác thực phiên và không dựa trên phiên cho cùng một quan điểm. Điều này có nghĩa là chỉ các yêu cầu được xác thực mới yêu cầu mã thông báo CSRF và các yêu cầu ẩn danh mới có thể được gửi mà không cần mã thông báo CSRF. Hành vi này không phù hợp cho các chế độ xem đăng nhập, điều này phải luôn luôn áp dụng xác thực CSRF.

Điều khiển từ xa

Sơ đồ xác thực này cho phép bạn ủy quyền xác thực cho máy chủ web của mình, thiết lập biến môi trường

Để sử dụng nó, bạn phải có

04 [hoặc một lớp con] trong cài đặt
05 của bạn. Theo mặc định,
06 tạo các đối tượng
8 cho các tên người dùng chưa tồn tại. Để thay đổi điều này và hành vi khác, hãy tham khảo tài liệu Django.

Nếu được xác thực thành công,

08 cung cấp các thông tin đăng nhập sau:

    6 sẽ là một ví dụ Django
    9 sẽ là
    from rest_framework.authentication import SessionAuthentication, BasicAuthentication
    from rest_framework.permissions import IsAuthenticated
    from rest_framework.response import Response
    from rest_framework.views import APIView
    class ExampleView[APIView]:
        authentication_classes = [SessionAuthentication, BasicAuthentication]
        permission_classes = [IsAuthenticated]
        def get[self, request, format=None]:
            content = {
                'user': str[request.user],  # `django.contrib.auth.User` instance.
                'auth': str[request.auth],  # None
            return Response[content]

Các phản hồi không xác thực bị từ chối cho phép sẽ dẫn đến phản hồi

Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

  • Nếu bạn đang sử dụng API kiểu AJAX với sessionAuthentication, bạn sẽ cần đảm bảo rằng bạn bao gồm mã thông báo CSRF hợp lệ cho bất kỳ các cuộc gọi phương thức HTTP "không an toàn" nào, chẳng hạn như
    Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b
    01 hoặc
    02. Xem tài liệu Django CSRF để biết thêm chi tiết.
  • Cảnh báo: Luôn sử dụng chế độ xem đăng nhập tiêu chuẩn của Django khi tạo các trang đăng nhập. Điều này sẽ đảm bảo chế độ xem đăng nhập của bạn được bảo vệ đúng.

Xác thực CSRF trong Khung REST hoạt động hơi khác với DJANGO tiêu chuẩn do nhu cầu hỗ trợ cả xác thực phiên và không dựa trên phiên cho cùng một quan điểm. Điều này có nghĩa là chỉ các yêu cầu được xác thực mới yêu cầu mã thông báo CSRF và các yêu cầu ẩn danh mới có thể được gửi mà không cần mã thông báo CSRF. Hành vi này không phù hợp cho các chế độ xem đăng nhập, điều này phải luôn luôn áp dụng xác thực CSRF.

Điều khiển từ xa

Sơ đồ xác thực này cho phép bạn ủy quyền xác thực cho máy chủ web của mình, thiết lập biến môi trường

Để sử dụng nó, bạn phải có

04 [hoặc một lớp con] trong cài đặt
05 của bạn. Theo mặc định,
06 tạo các đối tượng
8 cho các tên người dùng chưa tồn tại. Để thay đổi điều này và hành vi khác, hãy tham khảo tài liệu Django.

  • Nếu được xác thực thành công,
    08 cung cấp các thông tin đăng nhập sau:
  • Tham khảo tài liệu của máy chủ web của bạn để biết thông tin về việc định cấu hình phương thức xác thực, ví dụ:

Apache Xác thực cách làm

Nginx [hạn chế quyền truy cập]

Xác thực tùy chỉnh When your custom authenticator is invoked by the request object's

27 or
28 properties, you may see an
29 re-raised as a
30. This is necessary to prevent the original exception from being suppressed by the outer property access. Python will not recognize that the
29 originates from your custom authenticator and will instead assume that the request object does not have a
27 or
28 property. These errors should be fixed or otherwise handled by your authenticator.

Để thực hiện sơ đồ xác thực tùy chỉnh, lớp con
13 và ghi đè phương thức
14. Phương pháp sẽ trả về một bộ hai của
15 nếu xác thực thành công, hoặc
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]
5 khác.

Trong một số trường hợp thay vì trả lại

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]
5, bạn có thể muốn tăng ngoại lệ
18 từ phương pháp
Thông thường, cách tiếp cận bạn nên thực hiện là:

Nếu xác thực không được thử, hãy trả lại

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView[APIView]:
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get[self, request, format=None]:
        content = {
            'user': str[request.user],  # `django.contrib.auth.User` instance.
            'auth': str[request.auth],  # None
        return Response[content]
5. Bất kỳ sơ đồ xác thực nào khác cũng được sử dụng sẽ vẫn được kiểm tra.


Nếu xác thực được thử nhưng không thành công, hãy tăng ngoại lệ

18. Một phản hồi lỗi sẽ được trả về ngay lập tức, bất kể kiểm tra quyền nào và không kiểm tra bất kỳ sơ đồ xác thực nào khác.

Gói công cụ Django OAuth cung cấp hỗ trợ OAuth 2.0 và hoạt động với Python 3.4+. Gói được duy trì bởi Jazzband và sử dụng oauthlib tuyệt vời. Gói được ghi lại tốt, và được hỗ trợ tốt và hiện là gói được đề xuất của chúng tôi cho hỗ trợ OAuth 2.0.recommended package for OAuth 2.0 support.

Cài đặt & Cấu hình

Cài đặt bằng

Thêm gói vào

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
9 của bạn và sửa đổi cài đặt khung REST của bạn.


Để biết thêm chi tiết, hãy xem Framework Django Rest - Bắt đầu tài liệu.

Django Rest Framework Oauth

Gói OAuth Django REST cung cấp cả hỗ trợ OAuth2 và OAuth2 cho khung REST.

Gói này trước đây được bao gồm trực tiếp trong khung REST nhưng hiện được hỗ trợ và duy trì dưới dạng gói của bên thứ ba.

Cài đặt & Cấu hình

Cài đặt bằng

Thêm gói vào

# this can go in either server config, virtual host, directory or .htaccess
WSGIPassAuthorization On
9 của bạn và sửa đổi cài đặt khung REST của bạn.

Để biết thêm chi tiết, hãy xem Framework Django Rest - Bắt đầu tài liệu.

Django Rest Framework Oauth

Gói OAuth Django REST cung cấp cả hỗ trợ OAuth2 và OAuth2 cho khung REST.

Gói này trước đây được bao gồm trực tiếp trong khung REST nhưng hiện được hỗ trợ và duy trì dưới dạng gói của bên thứ ba.

Cài đặt gói bằng
Để biết chi tiết về cấu hình và sử dụng, hãy xem Tài liệu OAuth Framework Django REST để xác thực và quyền.

Xác thực mã thông báo web JSON

Mã thông báo JSON Web là một tiêu chuẩn khá mới có thể được sử dụng để xác thực dựa trên mã thông báo. Không giống như sơ đồ Tokenenauthentication tích hợp, xác thực JWT không cần phải sử dụng cơ sở dữ liệu để xác thực mã thông báo. Gói xác thực JWT là DjangorestFramework-SimpleJWT cung cấp một số tính năng cũng như ứng dụng Danh sách đen mã thông báo có thể cắm được.

Hawk HTTP Xác thực

Thư viện Hawkrest xây dựng trên Thư viện Mohawk để cho phép bạn làm việc với các yêu cầu và phản hồi đã ký Hawk trong API của bạn. Hawk cho phép hai bên giao tiếp an toàn với nhau bằng cách sử dụng các tin nhắn được ký bởi khóa chia sẻ. Nó dựa trên xác thực truy cập MAC HTTP [dựa trên các phần của OAuth 1.0].

Xác thực chữ ký HTTP

  • Chữ ký HTTP [hiện là bản nháp IETF] cung cấp một cách để đạt được xác thực gốc và tính toàn vẹn tin nhắn cho các tin nhắn HTTP. Tương tự như sơ đồ chữ ký HTTP của Amazon, được sử dụng bởi nhiều dịch vụ của mình, nó cho phép xác thực không có trạng thái, yêu cầu. Elvio Toccalino duy trì gói djangorestframework-httpsignature [lỗi thời] cung cấp cơ chế xác thực chữ ký HTTP dễ sử dụng. Bạn có thể sử dụng phiên bản Fork được cập nhật của DjangorestFramework-httpsignature, đó là DRF-HTTPSIG.
  • Djoser

Thư viện Djoser cung cấp một bộ lượt xem để xử lý các hành động cơ bản như đăng ký, đăng nhập, đăng nhập, đặt lại mật khẩu và kích hoạt tài khoản. Gói hoạt động với mô hình người dùng tùy chỉnh và sử dụng xác thực dựa trên mã thông báo. Điều này đã sẵn sàng để sử dụng triển khai nghỉ ngơi của hệ thống xác thực Django.

django-rest-auth / dj-rest-auth

Thư viện này cung cấp một tập hợp các điểm cuối API REST để đăng ký, xác thực [bao gồm xác thực phương tiện truyền thông xã hội], đặt lại mật khẩu, truy xuất và cập nhật chi tiết người dùng, v.v. Có thể liên lạc với trang web phụ trợ Django của bạn một cách độc lập thông qua API REST để quản lý người dùng.


Hiện tại có hai dĩa của dự án này.


Django-Rest-Auth là dự án ban đầu, nhưng hiện không nhận được cập nhật.

DJ-Rest-Auth là một ngã ba mới hơn của dự án.

