28

我正在使用AngularJS开发一个 SPA 应用程序,它使用Django后端作为服务器。我从 SPA 与服务器通信的方式是使用django-rest-framework。所以现在我想用 facebook(谷歌和推特)进行身份验证,我阅读了很多关于这个主题的内容,发现OAuth.io正在客户端 SPA 端进行身份验证,而python-social-auth正在做同样的事情但在服务器端。

所以目前我只有客户端身份验证,我的应用程序正在连接到 facebook(使用 OAuth.io)并成功登录。此过程正在返回 access_token,然后我向我的 API 发出请求,该 API 必须登录该用户或通过给定令牌为该用户创建帐户,这部分不起作用。所以我不确定我错在哪里,也许是因为没有关于使用 python-social-auth 的完整教程所以也许我遗漏了一些东西或者..我不知道..

所以我有一些代码:

在 SPA 方面:这是与 OAuth.io 的连接,并且正在工作,因为我正在获取访问令牌。然后我必须向我的其余 API 发出请求。后端是 'facebook'、'google' 或 'twitter'

OAuth.initialize('my-auth-code-for-oauthio');
OAuth.popup(backend, function(error, result) {
    //handle error with error
    //use result.access_token in your API request

    var token = 'Token ' + result.access_token;
    var loginPromise = $http({
         method:'POST', 
         url: 'api-token/login/' + backend + '/', 
         headers: {'Authorization': token}});

         loginPromise.success(function () {
             console.log('Succeess');
         });
         loginPromise.error(function (result) {
             console.log('error');
         });
});

在我的 settings.py 的服务器上,我已将社交插件添加到已安装的应用程序、模板上下文预处理器、一些身份验证后端,这就是我的文件:

INSTALLED_APPS = (
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    ...,
    'rest_framework',
    'rest_framework.authtoken',
    'api',
    'social.apps.django_app.default',
    'social'
)
TEMPLATE_CONTEXT_PROCESSORS = ("django.contrib.auth.context_processors.auth",
                               "django.core.context_processors.debug",
                               "django.core.context_processors.i18n",
                               "django.core.context_processors.media",
                               "django.core.context_processors.static",
                               "django.core.context_processors.request",
                               "django.contrib.messages.context_processors.messages",
                               'social.apps.django_app.context_processors.backends',
                               'social.apps.django_app.context_processors.login_redirect',)

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.TokenAuthentication',
    )
}

SOCIAL_AUTH_FACEBOOK_KEY = 'key'
SOCIAL_AUTH_FACEBOOK_SECRET = 'secret'
SOCIAL_AUTH_FACEBOOK_SCOPE = ['email']

AUTHENTICATION_BACKENDS = (
      'social.backends.open_id.OpenIdAuth',
      'social.backends.facebook.FacebookOAuth2',
      'social.backends.facebook.FacebookAppOAuth',
      'social.backends.google.GoogleOpenId',
      'social.backends.google.GoogleOAuth2',
      'social.backends.google.GoogleOAuth',
      'social.backends.twitter.TwitterOAuth',
      'django.contrib.auth.backends.ModelBackend',
  )

在我的 API 的 views.py 中,我有以下内容(我在这里找到了):

from django.contrib.auth.models import User, Group
from rest_framework import viewsets, generics
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import authentication, permissions, parsers, renderers
from rest_framework.authtoken.serializers import AuthTokenSerializer
from rest_framework.decorators import api_view, throttle_classes
from social.apps.django_app.utils import strategy
from rest_framework.permissions import IsAuthenticated, IsAuthenticatedOrReadOnly

from django.contrib.auth import get_user_model
from django.db.models.signals import post_save
from django.dispatch import receiver
from rest_framework.authtoken.models import Token

class ObtainAuthToken(APIView):
    throttle_classes = ()
    permission_classes = ()
    parser_classes = (parsers.FormParser, parsers.MultiPartParser, parsers.JSONParser,)
    renderer_classes = (renderers.JSONRenderer,)
    serializer_class = AuthTokenSerializer
    model = Token

    # Accept backend as a parameter and 'auth' for a login / pass
    def post(self, request, backend):
        serializer = self.serializer_class(data=request.DATA)

        if backend == 'auth':
            if serializer.is_valid():
                token, created = Token.objects.get_or_create(user=serializer.object['user'])
                return Response({'token': token.key})
            return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

        else:
            # Here we call PSA to authenticate like we would if we used PSA on server side.
            user = register_by_access_token(request, backend)

            # If user is active we get or create the REST token and send it back with user data
            if user and user.is_active:
                token, created = Token.objects.get_or_create(user=user)
                return Response({'id': user.id , 'name': user.username, 'userRole': 'user','token': token.key})

@strategy()
def register_by_access_token(request, backend):
    backend = request.strategy.backend
    user = request.user
    user = backend._do_auth(
        access_token=request.GET.get('access_token'),
        user=user.is_authenticated() and user or None
    )
    return user

最后我在 urls.py 中有这些路由:

...
url(r'^api-auth/', include('rest_framework.urls', namespace='rest_framework')),
url(r'^api-token-auth/', 'rest_framework.authtoken.views.obtain_auth_token'),
url(r'^api-token/login/(?P<backend>[^/]+)/$', views.ObtainAuthToken.as_view()),
url(r'^register/(?P<backend>[^/]+)/', views.register_by_access_token),
...

每次我尝试进行身份验证时,OAuth.io 都在工作并且 rqest 到 api 返回

详细信息:“无效令牌”

我认为我在 python-social-auth 的配置中遗漏了一些东西,或者我做错了一切。因此,如果有人有一些想法并想提供帮助,我会很高兴:)

4

3 回答 3

7

将以下行添加到您的获取AuthToken 类

authentication_classes = ()

并且您的错误 {"detail": "Invalid token"} 将消失。

这就是为什么...

您的请求包含以下标头

Authorization: Token yourAccessToken

但是您已经在 DEFAULT_AUTHENTICATION_CLASSES 中定义了 rest_framework.authentication.TokenAuthentication。

基于此,Django 认为您希望在传递令牌时执行令牌身份验证。它失败是因为这是 facebook 的访问令牌,并且在您的 django *_token 数据库中不存在,因此出现无效令牌错误。在您的情况下,您需要做的就是告诉 Django 不要为此视图使用 TokenAuthentication 。

供参考

请记住,您可能会遇到更多错误,因为您的代码执行在 ObtainAuthToken 的 post 方法执行之前已停止。就个人而言,在尝试单步执行您的代码时出现错误

'DjangoStrategy' object has no attribute 'backend'


backend = request.strategy.backend

并通过更改为

uri = ''
strategy = load_strategy(request)
backend = load_backend(strategy, backend, uri)

此外,您应该更新您的 register_by_access_token 函数,因为它与您引用的博客中的工作代码不一致。博客作者在这里发布了他的最新代码。如果您想使用它与 facebook 等第三方进行身份验证,您的版本不会将令牌从身份验证标头中提取出来。

于 2014-09-17T06:18:59.107 回答
5

是的。解决了。设置不对,需要添加权限。

 REST_FRAMEWORK = {
     # Use hyperlinked styles by default.
     # Only used if the `serializer_class` attribute is not set on a view.
     'DEFAULT_MODEL_SERIALIZER_CLASS':
         'rest_framework.serializers.HyperlinkedModelSerializer',

     # Use Django's standard `django.contrib.auth` permissions,
     # or allow read-only access for unauthenticated users.
     'DEFAULT_PERMISSION_CLASSES': [
         'rest_framework.permissions.DjangoModelPermissionsOrAnonReadOnly'
     ]
 }

以及有关管道的一些信息:

 SOCIAL_AUTH_PIPELINE = (
     'social.pipeline.social_auth.social_details',
     'social.pipeline.social_auth.social_uid',
     'social.pipeline.social_auth.auth_allowed',
     'social.pipeline.social_auth.social_user',
     'social.pipeline.user.get_username',
     'social.pipeline.social_auth.associate_by_email',
     'social.pipeline.user.create_user',
     'social.pipeline.social_auth.associate_user',
     'social.pipeline.social_auth.load_extra_data',
     'social.pipeline.user.user_details'
 )
于 2014-05-09T15:28:02.667 回答
2

我和你一样使用工具,但我提供了我的登录/注册/.... django-allauth包,然后django-rest-auth用于 API 处理。

您只需要按照安装说明进行操作,然后将它们用于您的其余 API。

添加allauthrest-auth到您的 INSTALLED_APPS:

INSTALLED_APPS = (
    ...,
    'rest_framework',
    'rest_framework.authtoken',
    'rest_auth'
    ...,
    'allauth',
    'allauth.account',
    'rest_auth.registration',
    ...,
    'allauth.socialaccount',
    'allauth.socialaccount.providers.facebook',
)

然后添加您的自定义网址:

urlpatterns = patterns('',
    ...,
    (r'^auth/', include('rest_auth.urls')),
    (r'^auth/registration/', include('rest_auth.registration.urls'))
)

最后,添加这一行:

TEMPLATE_CONTEXT_PROCESSORS = (
    ...,
    'allauth.account.context_processors.account',
    'allauth.socialaccount.context_processors.socialaccount',
    ...
)

这两个包就像一个魅力,你不需要关心任何类型的 login.registration,因为allauth包处理 django 模型登录和 oAuth 登录。

我希望它有帮助

于 2015-07-01T07:04:27.877 回答