{ "detail": "CSRF 失败：CSRF 令牌丢失或不正确。" }

Question

大家好。我尝试使用 DRF 和 Postman 在我的应用中注册新产品。 当我发送请求时，我收到此错误。 问题只是关于我的 csrf_token。 如果您能帮助我，我将不胜感激.....

这是我的看法

class ProductViewSet(viewsets.ModelViewSet):
    authentication_classes = (SessionAuthentication,TokenAuthentication) 
    permission_classes = [IsAdminUser]
    queryset = ProductInfo.objects.all().order_by('-id')
    serializer_class = ProductSerializer
    filter_backends = (filters.SearchFilter,)
    search_fields = ['title','code','owner__username']

GET 请求没有任何问题。

Answer 1

默认情况下，Django 在 POST 请求中需要 CSRF 令牌。避免使用 CSRF 令牌。

不要使用SessionAuthentication作为认证类，因为它会强制你添加CSRF令牌。

如果你仍然想使用SessionAuthentication，那么你可以使用它覆盖

def enforce_csrf(self, request):方法

试试下面这个：

from rest_framework.authentication import SessionAuthentication

class CsrfExemptSessionAuthentication(SessionAuthentication):
    def enforce_csrf(self, request):
        pass

并在您的视图中使用它：

authentication_classes = (CsrfExemptSessionAuthentication ,TokenAuthentication) 

如果你想全局使用它，你可以像这样将它放在你的 REST_FRAMEWORK settings.py 文件中：

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.TokenAuthentication',
        'myapp.path-to-file.CsrfExemptSessionAuthentication'
    ],
}

请确保在 REST_FRAMEWORK 设置中添加正确的文件路径

使用令牌进行身份验证。

你必须这样请求：

curl -X GET http://127.0.0.1:8000/api/example/ -H 'Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b'

还要确保你在你的 INSTALLED_APP 中添加了这个：

INSTALLED_APPS = [
    ''''
    'rest_framework',
    'rest_framework.authtoken',
]

更多详情可以在这里找到：https://www.django-rest-framework.org/api-guide/authentication/

Answer 2

因为GET 方法不需要csrf_token。

您可以像这样在标题中设置csrf_token：

X-CSRFToken: your_csrf_value  

所以不要使用Cookie，而是将X-CSRFToken 添加到POSTMAN 的标题中。