带有 jwt 身份验证的 django rest api 要求 csrf 令牌

【问题标题】:django rest api with jwt authentication is asking for csrf token带有 jwt 身份验证的 django rest api 要求 csrf 令牌
【发布时间】:2018-06-22 16:08:10
【问题描述】:

我是 django rest api 框架的新手。我正在为其余 api 使用基于 JWT 令牌的身份验证,并具有以下设置 - 

    REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.TokenAuthentication',
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.SessionAuthentication',
    ),
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',

    )
}

AND

JWT_AUTH = {
    'JWT_ENCODE_HANDLER':
    'rest_framework_jwt.utils.jwt_encode_handler',

    'JWT_DECODE_HANDLER':
    'rest_framework_jwt.utils.jwt_decode_handler',

    'JWT_PAYLOAD_HANDLER':
    'rest_framework_jwt.utils.jwt_payload_handler',

    'JWT_PAYLOAD_GET_USER_ID_HANDLER':
    'rest_framework_jwt.utils.jwt_get_user_id_from_payload_handler',

    'JWT_RESPONSE_PAYLOAD_HANDLER':
    'rest_framework_jwt.utils.jwt_response_payload_handler',

    'JWT_SECRET_KEY': SECRET_KEY,
    'JWT_GET_USER_SECRET_KEY': None,
    'JWT_PUBLIC_KEY': None,
    'JWT_PRIVATE_KEY': None,
    'JWT_ALGORITHM': 'HS256',
    'JWT_VERIFY': True,
    'JWT_VERIFY_EXPIRATION': True,
    'JWT_LEEWAY': 0,
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300),
    'JWT_AUDIENCE': None,
    'JWT_ISSUER': None,

    'JWT_ALLOW_REFRESH': True,
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7),

    'JWT_AUTH_HEADER_PREFIX': ('JWT','Bearer'),
    'JWT_AUTH_COOKIE': None,

}

现在基于此,我在 chrome 中使用了 postman 插件,并尝试使用以下步骤测试我的 web api 进行身份验证 -

  1. 我使用带有凭据的 url http://127.0.0.1:8000/webs/auth-jwt/ 来获取令牌。

  2. 我使用了 url http://127.0.0.1:8000/webs/testspsearch/ 并将步骤 1 中生成的令牌作为 Authorization Bearer 传递。这被定义为 POST 方法

但是当我这样做时,我得到了错误 -> CSRF 验证失败。请求中止。 HTTP 403 错误。

你能告诉我我在这方面做错了什么吗?

【问题讨论】:

  • 请记住,如果您从“127.0.0.1:8000”以外的任何地方向您的 api 发送请求,则(同源策略)[en.wikipedia.org/wiki/Same_origin_policy] 将生效并阻止请求(标准 CSRF 端口)。请注意,即使是在 localhost 但在不同端口上运行的 Web 前端也会被视为不同的来源。您需要启用 CORS 才能使其正常工作,例如下面提到的 @Muhammad Hassan。

标签: django authentication django-rest-framework jwt


【解决方案1】:

因为您是从提供数据的同一台机器发出请求,这将(相当烦人)导致 CSRF 异常。您需要在请求中包含一个 CSRF 令牌 cookie,以表明请求正常。

所以你可以做以下两件事之一:

  • 使端点crsf 豁免
  • (推荐)获取 crsf 令牌并将其作为标头附加到您的 HTTP POST 请求中

CSRF 豁免

您可以通过添加装饰器使各种端点 csrf 豁免

from django.views.decorators.csrf import csrf_exempt
class SomeView(APIView):

    @csrf_exempt
    def post(self, request):
        serializer = RegisterUserSerializer(data=request.data)

请求令牌

这有点麻烦(在我看来),因为你必须使用 javascript:

// using jQuery
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

For more info check the docs

【讨论】:

    【解决方案2】:

    使用django-cors-middleware 允许跨源请求。步骤如下

    1. 在已安装的应用中添加corsheaders
    2. 在中间件中添加corsheaders.middleware.CorsMiddleware
    3. 在设置中添加CORS_ORIGIN_ALLOW_ALL = False

    更多设置可见文档。

    【讨论】:

      猜你喜欢
      • 2020-09-12
      • 2019-02-27
      • 2020-08-21
      • 1970-01-01
      • 1970-01-01
      • 2021-05-22
      • 2019-04-22
      • 2018-11-24
      • 2018-03-25
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode