在我的应用程序中,我需要通过我的 REST API 对用户进行身份验证。所以我有一个带有用户/密码字段的表单,提交后,我想直接进入“下一页”。所以显然我需要通过 AJAX 提交我的表单,因为我不想被重定向到 API 页面。但是RemoteUserMiddleware,如果请求将由 javascript 处理,那么如何知道我的用户应该经过身份验证?
问问题
1744 次
1 回答
9
据我了解,您目前拥有的系统架构如下所示:
-------------- ------------------- -------------------
| client web | ----------> | REST API | ----> | db / persistent |
| browser | <---------- | pylons / nodejs | <---- | storage |
-------------- ------------------- -------------------
^ | ^ |
| | | |
| | | v
| | ----------------- -------------------
| ------------------> | django | ------> | db / persistent |
--------------------- | | <------ | storage |
----------------- -------------------
您的问题与在 REST API webapp 中执行身份验证时如何在 django 应用程序上登录和注销用户有关。
我不确定这RemoteUserMiddleware是您正在寻找的东西,它旨在允许在同一台服务器上使用 wsgi 运行 django 时通过 Apache webserver 层进行身份验证。该名称与REMOTE_USERunix 系统变量有关,这是 apache 中的一种老式身份验证方法。
让客户端成为 django 和您的 REST API 之间的身份验证链中的中介似乎是不明智的,这似乎本质上是不安全的。相反,django 可以直接调用 REST API 来对用户进行身份验证,然后创建相应的django.contrib.auth.models.User对象来本地存储,这是在自定义身份验证后端中执行的,请参见此处。
就像是:
from django.contrib.auth.models import User
import requests
class RestBackend(object):
supports_inactive_user = False
def authenticate(self, username=None, password=None):
rest_response = requests.post('http://your.rest.interface/auth',
data={ 'username' : username, 'password' : password }).json()
if rest_response['error'] == 'None':
try:
user = User.objects.get(username=username)
except User.DoesNotExist:
user = User(username=username, password=password)
user.save()
return user
return user
def get_user(self, user_id):
try:
return User.objects.get(pk=user_id)
except User.DoesNotExist:
return None
这使用requests库通过同步 http 请求调用 REST API 以登录用户,然后创建 User 对象的本地实例(如果尚不存在)。远程认证有更复杂的协议,如果需要, http: //oauth.net/2/就是一个例子。
此后端应在settings.py文件中指定
AUTHENTICATION_BACKENDS = ('my.classy.django.app.RestBackend')
然后你的 django 应用程序可以在它的视图中使用authenticateandlogin函数,使用 http 或 json,更多信息在这里。
Django 将 设置request.user为类的对象,AnonymousUser直到用户登录,文档在这里。这允许您在不使用重定向的情况下区分视图中的这些用户:
from django.http import HttpResponse
from django.utils import simplejson
from myApp.models impor InfoObject
def infoPage(request):
# return info objects for logged in user, or all info objects otherwise
if request.user.is_authenticated():
infoObjects = InfoObject.objects.filter(user=request.user).orderby("-pubdate")
else:
infoObjects = InfoObject.objects.orderby("-pubdate")
return HttpResponse(simplejson.dumps(infoObjects), content_type = "application/json")
或者如果您希望在页面上显示“用户配置文件”框,ala stackoverflow:
# helper function that can be called from all your views
def getUserInfo(request):
if request.user.is_authenticated():
return UserInfo.objects.get(user=user)
else:
return []
def randomPage(request):
info = getUserInfo(request)
.....other page logic....
return HttpResponse('['+simplejson.dumps(..pageData..)+','+simplejson.dumps(info)+']', content_type = "application/json")
相反,如果您使用模板而不是 ajax 来呈现页面,则可以将此逻辑传递给模板,在用户登录时显示区域,而无需使用重定向:
{% extends "base.html" %}
{% block userInfo %}
<div id="userArea">
{% if user.is_authenticated %}
User: {{ user.username }}<br />
geezer score: {{ userProfile.geezerScore }}<br />
<input type="button" value="log out" />
{% else %}
Username: <input type="text" id="username" />
password: <input type="password" id="password" />
<input type="button" value="log in" />
{% endif %}
</div>
{% endblock %}
这依赖于视图基于模板的用户对象,并且需要 javascript 来连接后端的身份验证。
也可以使用render_to_string()模板渲染上下文,并将其返回给 ajax 请求而不是 json。从而允许 html 在服务器上呈现并返回给客户端,而无需在客户端重新加载页面。
通过这种方式,可以让 django 呈现一些模板并使用一些 ajax 响应来补充对 REST 接口的 ajax 请求。
这是否像您正在寻找的东西?
于 2013-11-12T16:29:27.750 回答