Django-restframework 源码之认证组件源码分析

一 前言

之前在 Django-restframework 的流程分析博客中，把最重要的关于认证、权限和频率的方法找到了。该方法是 APIView 的一个名为initial的类方法，也就是在 views 中定义的视图类方法，继承自APIView方法。该方法源码如下：

那么当代码执行到这里时，最开始执行的是用户的认证，也就是perform_autnentication方法。下面来深入的分析一下在用户认证中具体是怎么执行的。

二 用户认证执行流程

进入查看该方法源码如下：

1. 执行APIView.perform_authentication

2. 执行 Request.user

3. 执行Request._authenticate

4. Request.authenticators

5. APIView.initialize_request

6. APIView.get_authticators

7. api_settings.DEFAULT_AUTHENTICATION_CLASSES

到这里就是查找APIView 配置的问题了，后面的DEFAULT_AUTHENTICATION_CLASSES是默认的认证类，该类定义在settings.py文件中。之后我会写一篇 Django 加载项目配置的博客，到时候详细分析一下，这会涉及到 python 的两种加载文件的方式，一种是 import；一种是使用importlib模块导入。

三 自定义认证组件

了解了 restframework 的认证流程，对于需要自定义认证组件其实很明了，就是自定义认证类，重写 authenticate 方法。不过这还不行，我们还需要进行一下配置。

需求：在之前的项目中，我们需要在服务器中保存相关的 cookie 或 session 来进行用户身份校验，那么如何使用 restframework 的认证来实现该需求，使得既能校验身份，也可以不用在服务端保存用户的 cookie 或 session。

首先不管 cookie 或 session 都是为了校验用户的，那么在这里我们可以使用一个随机字符串（加密后的），当客户端朝服务端发送请求时会携带该值，之后进行反解用来对比。

1. urls.py

url(r'^login/', views.Login.as_view()),

2. Views.py

# 获取 随机token值

def get_token(id, salt='123'):

    md = hashlib.md5()

    md.update(bytes(str(id), encoding='utf-8'))

    md.update(bytes(salt, encoding='utf-8'))

    return md.hexdigest() + '|' + str(id)

# 登陆视图类

class Login(APIView):

    # def dispatch(self, request, *args, **kwargs):

    #     return super(Login, self).dispatch(request, *args, **kwargs)

    def post(self, request):

        response = {'status': 100, 'msg': None}

        name = request.data.get('name')

        password = request.data.get('password')

        print(name, password)

        user_obj = models.UserInfo.objects.filter(name=name, password=password).first()

        if user_obj:

            token = get_token(user_obj.pk)

            response['msg'] = '登陆成功'

            response['status'] = 100

            response['token'] = token

            print('111', token)

        else:

            response['msg'] = '用户名或密码错误'

        return Response(response)

3. authenticate_classes.py

# 校验 token

def check_token(token, salt='123'):

    ls = token.split('|')

    md = hashlib.md5()

    md.update(bytes(ls[-1], encoding='utf-8'))

    md.update(bytes(salt, encoding='utf-8'))

    if md.hexdigest() == ls[0]:

        return True

    else:

        return False

# 改写的认证类

class BookAuth(BaseAuthentication):

    def authenticate(self, request):

        token = request.data.get('token')

        print('222', token)

        if token:

            succ = check_token(token)

            if succ:

                print('333')

                # user =

                return

            else:

                raise NotAuthenticated('认证失败')

        else:

            raise NotAuthenticated('请先登录')

四 配置自定义认证类

1. 局部配置

假设一个功能需要登陆成功才可以使用，那么只需要在该视图类中定义一个参数authentication_classes

class Book(APIView):

    # 配置该参数可以局部使用

    authentication_classes = [authticate_classes.BookAuth, ]

    def dispatch(self, request, *args, **kwargs):

        return super().dispatch(request, *args, **kwargs)

    def get(self, request, id):

        print(request.user, '444')

        response = {'status': 100, 'msg': None}

        book_obj = models.Book.objects.filter(pk=id).first()

        if book_obj:

            book_ser = myser.BookSer(book_obj, many=False)

            response['book'] = book_ser.data

        else:

            response['msg'] = '图书没有对象'

            response['status'] = 101

        return Response(response)

2. 全局使用

全局使用的话需要在项目 settings 中配置，如下：

REST_FRAMEWORK={

    "DEFAULT_AUTHENTICATION_CLASSES":["app01.authenticate_classes.BookAuth",]

}

这样对 views 中所有的请求方法都有效。因为所有的视图类都会加载 settings 中的配置。这些都是在dispatch方法中完成的。

3. 局部禁用

局部禁用的话只需要在视图类中定义一个空的authentication_classes。

authentication_classes = []