没有用户模型的 Django 基于令牌的身份验证

Posted

技术标签:

【中文标题】没有用户模型的 Django 基于令牌的身份验证【英文标题】:Django's Token based Authentication without User model 【发布时间】:2017-11-02 00:59:00 【问题描述】:

我正在使用基于 Django 令牌的身份验证。 (JWT Token 由 AWS Cognito 等第三方服务生成,我们只验证签名和过期时间)。

此 REST 应用程序不会有任何用户模型,任何使用 API 调用的人只需通过 JWT 令牌进行身份验证。

class JSONWebTokenAuthentication(TokenAuthentication):
    def authenticate_credentials(self, jwtToken):
        try:
            payload = jwt.decode(jwtToken, secret_key,verify=True)
            # user = User.objects.get(username='root')
            user =  AnonymousUser()
        except (jwt.DecodeError, User.DoesNotExist):
            raise exceptions.AuthenticationFailed('Invalid token')
        except jwt.ExpiredSignatureError:
            raise exceptions.AuthenticationFailed('Token has expired')
        return (user, payload)

在视图中:

@api_view(["POST"])
@authentication_classes((JSONWebTokenAuthentication,))
@permission_classes((AllowAny,))

上述过程根本不跟踪Token。有/无令牌,API 调用正在工作。如果我进行如下两项更改,它就可以工作了。

user = User.objects.get(username='root')
#user = AnonymousUser()
@permission_classes((IsAuthenticated,))

一种方法是,在我的应用程序中至少拥有一个用户并引用该用户[此网络应用程序可能会在需要时扩展到任意数量的实例,因此必须插入具有相同“用户名”的同一用户自动化。 ]。但是,我可以消除身份验证中的“用户”概念吗?

【问题讨论】:

【参考方案1】:

有时您真的不需要用户,例如,服务器到服务器的通信。这是一个解决方案。

覆盖 AnonymousUser 的 is_authenticated 属性,一切顺利

from django.contrib.auth.models import AnonymousUser

class ServerUser(AnonymousUser):

    @property
    def is_authenticated(self):
        # Always return True. This is a way to tell if
        # the user has been authenticated in permissions
        return True

只需在您的自定义身份验证中返回这种新类型的用户

class CustomServerAuthentication(authentication.BaseAuthentication):
    keyword = 'Token'

    def authenticate(self, request):
        auth = get_authorization_header(request).split()

        if not auth or auth[0].lower() != self.keyword.lower().encode():
            return None

        if len(auth) == 1:
            raise exceptions.AuthenticationFailed('Invalid token header. No credentials provided.')

        elif len(auth) > 2:
            raise exceptions.AuthenticationFailed('Invalid token header. Token string should not contain spaces.')

        token = auth[1].decode()

        if not (settings.CUSTOM_SERVER_AUTH_TOKEN == token):
            raise exceptions.AuthenticationFailed('You do not have permission to access this resource')

        user = ServerUser()

        return user, None

【讨论】:

【参考方案2】:

使用django-rest-framework-simplejwt,您可以将DEFAULT_AUTHENTICATION_CLASSES 设置为使用JWTTokenUserAuthentication,即使没有用户也可以验证令牌。

【讨论】:

【参考方案3】:

Django REST 框架在很大程度上假设请求是基于用户进行身份验证的,但它们确实提供了对身份验证匿名请求的支持。但它通过授予匿名用户某些权限而从“验证(django)用户是真实的”的标准假设中脱颖而出。您的第一个案例的问题是“允许任何”的权限装饰器。

我建议有一个虚拟的 Django 用户。 (它也不会阻止您扩展到任意数量的实例)。

使用

user = User.objects.get_or_create(username='whatever')[0]

而不是

user =  AnonymousUser()

现在将权限装饰器更改为

@permission_classes((IsAuthenticated,))

除非您设置密码,否则任何人都无法登录此用户,此外,由于此用户登录不会让您访问您的 API 调用。访问您的 API 的唯一方法是发送一个有效的 Token。

希望这会有所帮助。

【讨论】:

谢谢。它对我来说是一种解决方法。在使用 AWS cognito 等第三方工具时,我相信我们根本不应该关心 Django User 模型。【参考方案4】:

您可以在不向数据库插入数据的情况下使用用户模型 使用:

user = User(id=22,username="someone")

代替:

user = User.objects.get_or_create(username="someone")

 AnonymousUser()

【讨论】:

以上是关于没有用户模型的 Django 基于令牌的身份验证的主要内容,如果未能解决你的问题,请参考以下文章

无法使用用户名/密码登录令牌端点:drf 令牌身份验证和自定义用户模型,Django

Django REST 的 JSON Web 令牌不会向用户数据库进行身份验证

在 Django (DRF) 中使用外部 API 进行基于令牌的身份验证

检测用户首次使用 Django Rest Framework 进行身份验证

Django + JSON Web 令牌 + 禁用基于会话的授权

django rest 框架身份验证