12

我无法从其余 api 的浏览器模式中注销当前用户。

这是我的设置

REST_FRAMEWORK = {
               'PAGINATE_BY': 10,  
                 'DEFAULT_AUTHENTICATION_CLASSES': (  
                      'rest_framework.authentication.BasicAuthentication',  
                      'rest_framework.authentication.SessionAuthentication',  
                      'rest_framework.authentication.TokenAuthentication',  
                                                 ),  
                  'DEFAULT_PERMISSION_CLASSES': (  
                      'rest_framework.permissions.IsAuthenticated',  
                                      ),  
                 }

是因为我使用了会话吗?请帮忙。

请求和响应标头:

Request URL:`http://localhost:8000/api/api-auth/logout/?next=/api/city/`   
Request Method:GET  
Status Code:302 FOUND  
Request Headers:
---------------
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8  
Accept-Encoding:gzip,deflate,sdch  
Accept-Language:en-US,en;q=0.8  
Connection:keep-alive  
Cookie:sessionid=j7qebcdjdwzwqlmep4eyq3svuial43uv; csrftoken=vK3Ghn3QFVbCe3nKx1LDZBTzM7sRiDym  
Host:127.0.0.1:8000  
Referer:`http://localhost:8000/api/city/`
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko)   Chrome/28.0.1500.71 Safari/537.36  
Query String Parametersview sourceview URL encoded  
next:/api/city/  
Response Headers  
----------------
Content-Type:text/html; charset=utf-8  
Date:Mon, 15 Jul 2013 20:46:35 GMT  
Location:`http://localhost:8000/api/city/`  
Server:WSGIServer/0.1 Python/2.7.4  
Set-Cookie:sessionid=b1x24z93dqu384lqirtv5r9npy16s0qx; expires=Mon, 29-Jul-2013 20:46:35 GMT;  httponly; Max-Age=1209600; Path=/
Vary:Cookie  
4

3 回答 3

19

解决了!这是因为启用了 BasicAuthentication。我想我是通过浏览器中的 HTTP 登录登录的,但注销似乎不起作用。我删除了 BasicAuthentication,现在一切似乎都正常。

于 2013-07-16T01:27:45.157 回答
4

实际上注销是有效的,但是在注销结束时重定向(到需要身份验证的视图,因为我们使用权限 IsAuthenticated)期间,BasicAuth 使用缓存的 HTTP 身份验证标头信息再次验证请求:

auth = request.META.get('HTTP_AUTHORIZATION', b'')

所以就像 OP 说的,我们可以禁用 BasicAuth 并只使用 SessionAuth。但问题是,我们有时可能需要在没有 GUI 的情况下访问 API,我们可以使用 TokenAuth 来代替。由于 BasicAuth/TokenAuth 无论如何都不是那么安全(https://www.rfc-editor.org/rfc/rfc2617),我们最好使用 OAuth2 或其他更安全的身份验证方案。无论如何,这取决于需求。

于 2014-03-13T05:21:05.393 回答
4

我今天遇到了这个问题,并通过将顺序更改为以下来解决:

'DEFAULT_AUTHENTICATION_CLASSES': (
    'rest_framework.authentication.SessionAuthentication',
    'rest_framework.authentication.BasicAuthentication',
    'rest_framework.authentication.TokenAuthentication',
),
于 2016-09-27T06:19:31.770 回答