9

我试图让这个工作,但不知道这是否可能。它应该这样做。

Django我使用++开发了一个 Web 应用程序Rest-FrameworkjQuery并且我希望有一个外部应用程序来使用相同的RESTAPI,JWT Tokens用于身份验证。

我现在的配置是这样的。

设置.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ],
    'DEFAULT_RENDERER_CLASS': [
        'rest_framework.renderers.JSONRenderer',
    ]
}

SIMPLE_JWT = {
    'AUTH_HEADER_TYPES': ('Bearer',),
    }

视图.py

class ListFileView(APIView):
    permission_classes = (IsAuthenticated,)

    def get(self, request, *args, **kwargs):
        user = request.user

        if user:

            obj = Foo.objects.filter(owner=user)
            serializer = FooSerializer(obj, many=True)
            data = serializer.data

            return Response(data, status=status.HTTP_200_OK)

        return Response({'detail': 'You have no access to files.'}, status=status.HTTP_400_BAD_REQUEST)

棘手的部分是当我使用时:

permission_classes = (IsAuthenticated,)

我可以执行ajax来自外部应用程序的调用(使用有效的JWT令牌),但jQuery来自应用程序内部的调用(使用经过身份验证的用户)失败并显示:

{"detail":"Authentication credentials were not provided."}

另一方面,如果我使用autentication_classes而不是permission_classes

authentication_classes = (SessionAuthentication, BasicAuthentication)

我可以使用从 Web 应用程序中执行 ajax 调用jQuery,但外部调用失败并出现相同的403错误。

我尝试像这样使用两者:

class ListFileView(APIView):
    authentication_classes = (SessionAuthentication, BasicAuthentication)
    permission_classes = (IsAuthenticated,)

    def get(self, request, *args, **kwargs):
        ...

但外部呼叫也被拒绝。

是否可以让这两种类型Auth在同一个class视图中一起工作,或者我应该分成两个端点?

编辑

来自应用程序内部的示例调用jQuery

<script type="text/javascript">

function loadTblDocs() {
  $("#tbl-docs > tbody").empty();

  $.ajaxSetup({
      headers: { "X-CSRFToken": '{{csrf_token}}' }
    });

  $.ajax({
    type: 'GET',
    contentType: "application/json; charset=utf-8",
    url: "/api/list/",
    dataType: "json",
    success: function (data) {
                console.log(data);
                }
    });
};

</script>

VBA并通过代码在外部:

Set web = CreateObject("WinHttp.WinHttpRequest.5.1")
web.Open "GET", "/api/list/", False
web.SetRequestHeader "Authorization", "Bearer <JWT_TOKEN_HERE>"
web.Send
4

1 回答 1

13

我无法确切了解您的情况,因为您共享的 3 种情况下的行为似乎并不一致,但将简单解释 DRF 中如何确定身份验证和授权,这可能有助于您了解问题出来了。

您应该能够毫无问题地使用两个身份验证类。使用 DRF,身份验证的工作方式如下:

在每个请求中,DRF 都会按照定义的顺序检查提供的身份验证类。对于每个类,有 3 种情况:

  1. 如果它可以使用当前类对请求进行身份验证,则 DRF 设置request.user. 从此时起,此请求已通过身份验证。
  2. 如果不存在身份验证凭据,则 DRF 会跳过该类
  3. 如果身份验证凭据存在但无效,例如Authorization标头中的 JWT 令牌无效,则 DRF 会引发异常并返回 403 响应。

DRF 视图通常使用DEFAULT_AUTHENTICATION_CLASSES设置文件中定义的变量,但如果您在视图中提供它们,设置将被覆盖。

permission_classes当您添加到您的视图时,授权开始发挥作用。permission_classes控制对您的视图的访问,因此当您添加IsAuthenticated到视图的权限类时,如果您尝试在没有经过身份验证的用户的情况下访问该视图,DRF 会以 403 响应拒绝请求。

因此,在您的初始情况下,您的内部 AJAX 请求在这种情况下失败表明您的请求会话中没有经过身份验证的用户数据。我不知道是什么原因造成的。也许您没有在登录视图中更新请求会话(Django 的登录方法应该自动执行此操作)。

在第二种情况下,您permission_classes从视图中删除,因此无论请求中是否有经过身份验证的用户,视图都会为请求提供服务。所以预计您的内部AJAX请求在这里成功,但我不知道为什么您的外部请求在这种情况下失败。

在您的第三种情况下,从您的内部 AJAX 请求来看,该场景似乎与第一种情况相同,所以我不知道为什么您的内部 AJAX 请求在这种情况下成功,而在第一种情况下却没有。外部请求在此处失败是预期的,因为您将IsAuthenticated权限类添加到视图中,但未包含JWTAuthentication在 authentication_classes 中,因此您的请求无法在此处使用您的 JWT 令牌进行身份验证。

于 2019-04-06T17:24:14.053 回答