一.Django框架

Django確實是一個很強大，用起來很爽的一個框架，在Rest Framework中已經(jīng)將身份認(rèn)證全都封裝好了，用的時候直接導(dǎo)入authentication.py這個模塊就好了。這個模塊中5個認(rèn)證類。但是我們在開發(fā)中很少用自帶的認(rèn)證類，而是根據(jù)項目實際需要去自己實現(xiàn)認(rèn)證類。下面是內(nèi)置的認(rèn)證類

BaseAuthentication(object):所有的認(rèn)證相關(guān)的類都繼承自這個類，我們寫的認(rèn)證類也要繼承自這個認(rèn)證類，類中面有兩個方法，authenticate(self,request)：這個方法是我們開發(fā)中用的最多的，還有一個方法：authentication_header(self,request):這個方法主要是給瀏覽器返回響應(yīng)頭的。

BasicAuthentication(BaseAuthentication)：這個是基于瀏覽器實現(xiàn)的認(rèn)證類。

SessionAuthentication(BaseAuthentication):使用Django的會話框架進(jìn)行身份驗證。

TokenAuthentication(BaseAuthentication):簡單的基于令牌的身份驗證。客戶端應(yīng)通過在“授權(quán)”中傳遞令牌密鑰進(jìn)行身份驗證HTTP頭，前面加上字符串“Token”

RemoteUserAuthentication(BaseAuthentication):遠(yuǎn)程用戶身份驗證。

二.身份認(rèn)證的兩種實現(xiàn)方式：

1.第一種方式就是在views.py模塊中去創(chuàng)建一個認(rèn)證類，這個認(rèn)證類必須重寫authenticate()這個方法，這個方法必須返回一個元組，里面返回用戶和token值，然后在需要認(rèn)證的類視圖中注冊上這個認(rèn)證類：

authentication_classes = [AuthClass,]，authentication_classes

名字也不能改，后面講源碼的時候會告訴大家為什么這么寫。這是第一種認(rèn)證方式。

2.①：第二中方式是在settings中配置認(rèn)證模塊，這種方式是全局身份認(rèn)證。首先創(chuàng)建一個utils工具包，然后創(chuàng)建一個auth.py身份認(rèn)證模塊。把認(rèn)證類寫在這里面。這是開發(fā)中經(jīng)常使用的方式，這樣views.py中全是類視圖，把認(rèn)證類放到認(rèn)證模塊中，符合高內(nèi)聚，低耦合的編程思想，也方便后期管理維護(hù)。

②：然后將這個認(rèn)證模塊注冊到settings.py中，這是全局認(rèn)證，所有的類視圖都會進(jìn)行身份認(rèn)證。

③：用戶登錄的借口是不需要身份認(rèn)證的，所以在用戶登錄接口中加上authentication_classes = []，這樣登錄接口就不會進(jìn)行身份認(rèn)證了。

三.身份認(rèn)證源碼解析流程

1.首先當(dāng)一個請求過來的時候，先走路由的as_view()方法，as_view()方法中調(diào)用了dispatch方法，rest framework 中的APIView(view)繼承自django中的view,然后重寫了dispatch()方法，于是走APIView中的dispatch()方法。

2.重寫的dispatch()對django的request進(jìn)行了重新的封裝，調(diào)用了initizlize_request()方法對request進(jìn)行封裝，我們進(jìn)入initizlize_request()這個方法再看一下做了什么操作。

3.initializer_request()這個方法中調(diào)用了get_authenticators()得到認(rèn)證對象的這個方法，我們再進(jìn)入這個方法看一下做了什么。

4.進(jìn)入get_authenticators()中發(fā)現(xiàn)，這個方法中有一個列表生成器，用來實例化當(dāng)前認(rèn)證類，這就是為什么之前要在類視圖中注冊認(rèn)證類必須要用這個名字的原因，因為源碼中規(guī)定了認(rèn)證類讀取的名字。

所以，如果我們自己寫了認(rèn)證類，他會在類視圖中找到我們的認(rèn)證類并執(zhí)行返回，如果我們沒有寫認(rèn)證類呢？會怎么執(zhí)行？我們繼續(xù)往下看，看看列表生成器中調(diào)中的authentication_classes這個屬性它是從哪獲得的。

5.我們發(fā)現(xiàn)authentication_classes默認(rèn)是從settings中配置獲得的。所以這也是為啥可以把認(rèn)證類配置在settings中的原因。

然后這就是initizlize_request()方法對request的認(rèn)證封裝的執(zhí)行流程，封裝完后在dispatch()中繼續(xù)往下執(zhí)行，當(dāng)前只是實例化認(rèn)證類，并沒有執(zhí)行認(rèn)證。然后我們接著看dispatch()下面認(rèn)證的執(zhí)行流程

6.dispatch()調(diào)用initial(request, *args, **kwargs)這個方法進(jìn)行認(rèn)證，我們看下initial(request, *args, **kwargs)這個方法做了什么。

7.initial(request, *args, **kwargs)這個方法中又調(diào)用了三個方法:

perform_authentication(request):身份認(rèn)證方法

check_permissions(request)：權(quán)限驗證方法

check_throttles(request)：節(jié)流方法

我們看下perform_authentication(request):身份認(rèn)證方法都干了些什么。

8.perform_authentication(request):身份認(rèn)證方法只調(diào)用了一個user方法，我們繼續(xù)看user這個方法。

9.user這個方法調(diào)用了_authenticate()這個方法，繼續(xù)往下看。

10.這次只終于到底了，_authenticate()方法中遍歷認(rèn)證類的所有對象，執(zhí)行認(rèn)證類的authenticate方法，這個就是我們寫的身份認(rèn)證方法，這個方法要返回一個元組，我們看下authenticate方法。

11.authenticate（）方法返回一個元組，元組中包含當(dāng)前對象和token值，所以我們重寫authenticate()方法也要返回這個元組。這樣整個認(rèn)證執(zhí)行流程就全結(jié)束了。

如果authenitcate（）方法拋出異常，就被捕獲并執(zhí)行 self._not_authenticated(),認(rèn)證不通過并直接返回，就不會走dispatch()下面反射機制找視圖函數(shù)方法了，反射機制上篇博客我詳細(xì)的說過了，這里就不說了，如果沒有拋出異常，繼續(xù)走dispatch()下面的代碼。

以上就是Django Rest Framework實現(xiàn)身份認(rèn)證源碼詳解的詳細(xì)內(nèi)容，更多關(guān)于Django Rest Framework身份認(rèn)證的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論