带有 Knox 代币的 DRF 的 Djoser
Posted
技术标签:
【中文标题】带有 Knox 代币的 DRF 的 Djoser【英文标题】:Djoser for DRF with Knox tokens 【发布时间】:2019-07-24 10:23:40 【问题描述】:我正在尝试使用 djoser 进行令牌身份验证,但使用 django-rest-knox 令牌。
我已将TOKEN_MODEL 设置为knox.models.AuthToken,并将其余框架的DEFAULT_AUTHENTICATION_CLASSES 设置为knox.auth.TokenAuthentication。
我天真地认为这已经足够了,但 Djoser 的内置序列化程序(创建令牌和令牌)似乎无法与 knox 令牌一起正常工作。我尝试用自定义序列化程序覆盖它们,但我没有得到任何结果(这并不是说不可能,只是我不擅长这个)。
我突然想到,也许我应该尝试使用 Knox 自己的登录视图……这可能吗,或者它们不能像那样混合吗? (我问主要是因为我不想让它“工作”,但发现我实际上在这样做时引入了一个安全漏洞)。
设置:
DJOSER =
"TOKEN_MODEL": "knox.models.AuthToken",
"SERIALIZERS": "token": "users.serializers.TokenSerializer",
users.serializers.TokenSerializer 在哪里:
class TokenSerializer(serializers.ModelSerializer):
auth_token = serializers.CharField(source="token_key")
class Meta:
model = settings.TOKEN_MODEL
fields = ("auth_token",)
这只是从原始的 Djoser TokenSerializer 稍微修改。 AuthToken 对象没有key 属性会引发错误。诺克斯代币似乎将其称为token_key,所以我替换了以下行:
auth_token = serializers.CharField(source="key") 与 auth_token = serializers.CharField(source="token_key")
现在,它不会引发错误,但会返回一个空标记。检查实际数据库显示它已保存具有正确用户和创建时间的令牌,但摘要、盐和令牌密钥为“空”
【问题讨论】:
您是否从项目设置中覆盖Djoser 的命名空间。序列化程序应覆盖 Djsoer 设置中的序列化程序命名空间下。
是的,我做到了
您能否添加您的settings.py,我相信您这样做是正确的,但只是想检查一下。
@Shakil 我添加了更多细节
settings.TOKEN_MODEL 代表什么,我的意思是它是 knox.models.AuthToken 还是 rest_framework.authtoken.models.Token。
【参考方案1】:
是的,可以混合Djoser 和knox 的附加视点。为此,我们将创建一个应用程序名称auth,我们将从那里为所有与身份验证相关的端点提供服务。现在我们的项目结构是这样的
MainProject
-auth
--__init__.py
--urls.py
-mainapp
....
现在,在我们的auth 应用程序的网址中,我们将提供必要的端点以进行身份验证。为此,我们将从Djoser 的网址link 和Knox 的网址link 获得帮助
我们的 auth 的 urls.py 会像下面这样
from django.conf.urls import url, include
from django.contrib.auth import get_user_model
from djoser import views as djsoer_views
from knox import views as knox_views
from rest_framework.routers import DefaultRouter
router = DefaultRouter()
router.register('users', djsoer_views.UserViewSet)
User = get_user_model()
djoser_urlpatterns = [
url(
r'^users/create/?$',
djsoer_views.UserCreateView.as_view(),
name='user-create'
),
url(
r'^users/delete/?$',
djsoer_views.UserDeleteView.as_view(),
name='user-delete'
),
url(
r'^users/activate/?$',
djsoer_views.ActivationView.as_view(),
name='user-activate'
),
url(
r'^0/?$'.format(User.USERNAME_FIELD),
djsoer_views.SetUsernameView.as_view(),
name='set_username'
),
url(r'^password/?$', djsoer_views.SetPasswordView.as_view(), name='set_password'),
url(
r'^password/reset/?$',
djsoer_views.PasswordResetView.as_view(),
name='password_reset'
),
url(
r'^password/reset/confirm/?$',
djsoer_views.PasswordResetConfirmView.as_view(),
name='password_reset_confirm'
),
url(r'^$', djsoer_views.RootView.as_view(), name='root'),
url(r'^', include(router.urls)), ### If you want to add user view set
]
knox_urlpatterns = [
url(r'login/', knox_views.LoginView.as_view(), name='knox_login'),
url(r'logout/', knox_views.LogoutView.as_view(), name='knox_logout'),
url(r'logoutall/', knox_views.LogoutAllView.as_view(), name='knox_logoutall'),
]
urlpatterns = knox_urlpatterns + djoser_urlpatterns
现在我们要在 main_app 的 url 下添加这个 url
from django.urls import path
from django.conf import settings
auth_urls = include('auth.urls')
urlpatterns = [
path('api/auth/', auth_urls),
......
]
现在我们将能够访问每个端点,例如以api/auth/login/ 登录或以api/auth/user/create/ 身份创建用户等。
【讨论】:
很棒的解释@Shakil。 但是让 Djoser 与 Knox 一起工作真的很困难,至少对我来说:) 我已经尝试了几次,但是一旦我安装了 Knox,Djoser 端点对我来说更早工作(注册用户)停止工作。在安装 Knox 后,我立即开始为每个 Djoser 端点找到页面。有人可以就此提出任何建议吗?以上是关于带有 Knox 代币的 DRF 的 Djoser的主要内容,如果未能解决你的问题,请参考以下文章
DRF:如何将 django-rest-framework-jwt 集成到 Djoser
带有 django-rest-auth 和 django-rest-knox 的 AttributeError - 令牌序列化器