Django Rest Framework 请求对 AllowAny 设置进行身份验证

【问题标题】:Django Rest Framework requesting authentication on AllowAny settingDjango Rest Framework 请求对 AllowAny 设置进行身份验证
【发布时间】:2015-06-02 12:53:21
【问题描述】:

我为应用创建了一个JWT-Authorised 后端。登录、注销、令牌检索和刷新都可以正常工作,并且符合预期。我今天早上添加了一个注册视图,它会抛出通常的"detail": "Authentication credentials were not provided. 错误,你会期望未经身份验证的请求,因为这是默认值(见下文)。

但是,由于这是一个注册端点,我不希望它只允许授权请求。 (使用有效令牌进行检查后,当您提供身份验证时,视图的其余部分按预期工作。)查看DRF docs 的权限部分,我认为使用 AllowAny 的 permission_classes 包装器可以在这里工作,但它没有吨。

我错过了什么?我觉得 permission_classes 装饰器应该覆盖“IsAuthenticated”的默认设置?

我正在通过 curl 在 localhost 上进行测试:

curl -X POST -H "Content-Type: application/json" -d '{"email":"boba@athingy09876.com", "first_name": "boba", "last_name": "fett" "password":"xyz"}' http://localhost:8000/account/register/

视图是:

@permission_classes(AllowAny)
@api_view(['POST'])
def register_user(request):
    from django.contrib.auth.models import User
    from rest_framework_jwt.views import obtain_jwt_token
    if request.user.is_authenticated():
        return Response ({"already_registered": "User with that username has already registered"}, status=status.HTTP_701_ALREADY_REGISTERED)
    data = request.data

    user, created = User.objects.get_or_create(username=data["email"],
                                               email=data["email"],
                                               first_name=data["first_name"],
                                               last_name=data["last_name"],
                                               password=data["password"])
    if created:
        token = obtain_jwt_token(data["email"],data["password"] )
        return Response ({"token": token}, status=status.HTTP_200_OK)
    else:
        return Response ({"already_registered": "User with that username has already registered"}, status=status.HTTP_701_ALREADY_REGISTERED)

settings.py 中的权限是:

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    ),
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ),
}

相关问题: Django Rest Framework - Authentication credentials were not provided - 我认为默认权限是正确的,我只是想在这种情况下覆盖它们。

Django Rest Framework - DELETE ajax call failure due to incorrect CSFR token - CSRF 未被用作基于 JWT 的身份验证。

Django: Rest Framework authenticate header - Apache 特定问题(目前仍在 devserver localhost 上)

Django Rest Framework Authentication credentials were not provided - 尚未回答!

【问题讨论】:

  • 我的回答对你有用吗?
  • 嘿!我还没有机会实现它,但它看起来不错 - 我明天会在赏金到期之前实现它。 :) 抱歉耽搁了!
  • 完全不清楚为什么这个问题被否决了,顺便说一句 - 如果这个问题有问题,请告诉我,这不像是一个半生不熟、未经研究的问题。跨度>

标签: python-2.7 authentication django-rest-framework jwt django-1.6


【解决方案1】:

您使用@permission_classes 禁用了权限,但这只是“身份验证和授权”的“授权”部分。您需要禁用the authentication handlers 以及使用@authentication_classes 以停止接收401/403 错误。

【讨论】:

  • 对不起,我不太明白你的意思。从阅读中可以看出,当身份验证按预期失败时,它应该在 request.user 处提供 AnonymousUser - 但根据权限的东西,这无关紧要,@permission_classes(AllowAny) 应该允许不受限制的访问。无论如何,我尝试使用 @authentication_classes((SessionAuthentication, BasicAuthentication)) 无济于事,并且在 restframework.authentication 中看不到任何涵盖此用例的内容 - 我是否需要为此扩展基类?似乎有点矫枉过正......(就像,我很确定我只是不明白)
  • 我也进入并设置了REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': [], 'DEFAULT_AUTHENTICATION_CLASSES': [], },这似乎可行,但现在我必须将所有其他函数包装在显式装饰器中,而不是使用默认行为,这似乎有点倒退?当然有一种(更清晰的?)禁用身份验证处理程序的方法。我已经浏览过你链接的文档好几次了,我只是没有看到。 :(
【解决方案2】:

装饰器的顺序很重要。您的代码也存在一些问题。

我建议使用序列化程序,可能如下所示。如果您想使用电子邮件作为用户名,我会制作一个自定义用户模型。 Django 的默认身份验证系统的用户名字段的 max_length 为 30,人们的电子邮件地址很容易超过。

class UserSerializer(serializers.ModelSerializer):
    first_name = serializers.CharField(required=False, allow_null=True)
    last_name = serializers.CharField(required=False, allow_null=True)
    class Meta:
        model = User
        fields = ('id', 'username', 'first_name', 'last_name', 'email', 'password')

    def create(self, validated_data):
        return User.objects.create_user(**validated_data)

@api_view(['POST'])
@permission_classes([permissions.AllowAny,])
def register_user(request):
    if request.user.is_authenticated():
        return Response({"already_registered": "User with that username has already registered"}, status=701)
    data = request.data
    serializer = UserSerializer(data=data, partial=True)
    if serializer.is_valid():
        serializer.save(username=serializer.validated_data['email'])
        token = #call the url to get your tokens, use urllib or something similar
        return Response({"token": token}, status=status.HTTP_201_CREATED)
    else:
        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

编辑 装饰器的顺序是这样的:

@decorator
@decorator2
def func():
    print('hello world')

同装饰器(decorator2(func)))

【讨论】:

  • 天哪。我改变了装饰器的顺序,然后繁荣,你去。我无法让序列化版本立即工作,但我明白你的意思,所以明天我会以这种方式重做,以此为起点。谢谢!我在哪里可以找到更多关于订购这样的装饰器的想法?
  • 添加了一些关于装饰器的内容...尝试放在这里,但代码在 cmets 上看起来很可怕...
猜你喜欢
  • 1970-01-01
  • 2020-09-12
  • 2019-04-02
  • 1970-01-01
  • 2019-01-01
  • 1970-01-01
  • 2020-10-20
  • 2021-08-02
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode