8、使用认证和权限保护 RESTful Web服务

最新推荐文章于 2025-08-24 06:54:14 发布

像素大盗

最新推荐文章于 2025-08-24 06:54:14 发布

阅读量67

点赞数

CC 4.0 BY-SA版权

分类专栏： Python与Django REST框架构建现代Web服务文章标签： RESTful Web服务 Django REST框架认证

本文链接：https://blog.youkuaiyun.com/2w3e4r5t6y/article/details/148779044

Python与Django REST框架构建现代Web服务专栏收录该内容

10 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

使用认证和权限保护 RESTful Web服务

1. 理解认证和权限的概念

在开发 RESTful Web服务时，安全性是一个至关重要的方面。为了确保只有授权用户能够访问特定资源，我们需要实施认证和权限机制。认证（Authentication）是指验证用户身份的过程，而权限（Authorization）则是指确定用户是否有权访问某个资源。

认证与权限的区别

认证：验证用户身份，确保用户是他们声称的人。
权限：确定用户是否有权执行特定操作或访问特定资源。

在 RESTful Web服务中，认证和权限通常结合使用，以确保系统的安全性和可靠性。接下来，我们将详细介绍如何在 Django REST框架中实现这两项功能。

2. Django REST框架中的认证类

Django REST框架提供了多种认证类，每种类适用于不同的场景。以下是三种主要的认证类：

BasicAuthentication ：使用 HTTP基本认证，验证用户名和密码。
SessionAuthentication ：与 Django的会话框架一起工作，进行认证。
TokenAuthentication ：提供基于令牌的身份验证，请求必须包括作为 Authorization HTTP头部键的值的令牌，该令牌是为用户生成的，并且以 ‘Token ’ 字符串作为令牌的前缀。

认证类的选择

在选择认证类时，应考虑以下因素：
- 安全性 ：确保认证机制足够安全，特别是在生产环境中。
- 易用性 ：选择易于实现和维护的认证方式。
- 性能：评估认证机制对系统性能的影响。

3. 向模型添加安全性和权限相关数据

为了确保 RESTful Web服务的安全性，我们需要在模型中添加安全性和权限相关数据。以下是具体步骤：

定义模型 ：创建模型以存储用户信息和其他敏感数据。
添加字段 ：为模型添加必要的字段，如用户角色、权限级别等。
关联用户 ：将用户与模型实例关联，以便跟踪谁创建或修改了数据。

示例代码

from django.db import models
from django.contrib.auth.models import User

class SecureModel(models.Model):
    user = models.ForeignKey(User, on_delete=models.CASCADE)
    created_at = models.DateTimeField(auto_now_add=True)
    updated_at = models.DateTimeField(auto_now=True)

    class Meta:
        abstract = True

4. 自定义权限类

为了实现更细粒度的权限控制，我们可以创建自定义权限类。自定义权限类继承自 rest_framework.permissions.BasePermission ，并重写 has_permission 和 has_object_permission 方法。

示例代码

from rest_framework import permissions

class CustomObjectPermissions(permissions.BasePermission):
    def has_permission(self, request, view):
        # 实现全局权限检查
        return True

    def has_object_permission(self, request, view, obj):
        # 实现对象级权限检查
        if request.method in permissions.SAFE_METHODS:
            return True
        return obj.user == request.user

权限检查流程

以下是权限检查的流程图，展示了如何在每次请求中应用权限策略：

graph TD;
    A[开始请求] --> B{是否有全局权限};
    B -->|是| C[继续处理请求];
    B -->|否| D{是否有对象级权限};
    D -->|是| C;
    D -->|否| E[拒绝请求];

5. 配置权限策略

在 Django REST框架中，可以通过设置 REST_FRAMEWORK 字典来配置全局权限策略。以下是一个示例配置：

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    ),
}

基于类的视图配置

对于特定的基于类的视图，可以覆盖 permission_classes 属性来指定不同的权限策略：

from rest_framework import permissions, viewsets

class DroneViewSet(viewsets.ModelViewSet):
    queryset = Drone.objects.all()
    serializer_class = DroneSerializer
    permission_classes = [CustomObjectPermissions]

6. 发送经过认证的请求

为了测试配置的权限策略，我们需要发送经过认证的请求。可以使用命令行工具（如 curl ）或图形用户界面工具（如 Postman）来完成这一任务。

使用 `curl` 发送认证请求

curl --user "username:password" -iX GET localhost:8000/drones/12

使用 Postman 发送认证请求

打开 Postman 并创建一个新的请求。
设置请求方法为 PATCH 。
输入请求 URL，例如 http://localhost:8000/drones/12 。
在 Authorization 标签中选择 Basic Auth ，并填写用户名和密码。
在 Body 标签中选择 raw 和 JSON 格式，输入要更新的数据。
点击 Send 发送请求。

示例请求体

{
    "has_it_competed": "true"
}

7. 使用可浏览 API浏览安全的 RESTful Web服务

Django REST框架提供的可浏览 API功能允许我们通过浏览器轻松与 RESTful Web服务进行交互。为了确保可浏览 API能够显示登录和登出视图，我们需要在 urls.py 文件中添加相应的 URL模式。

修改 `urls.py`

from django.conf.urls import url, include

urlpatterns = [
    url(r'^', include('drones.urls')),
    url(r'^api-auth/', include('rest_framework.urls')),
]

登录和登出视图

打开浏览器并访问 http://localhost:8000/ 。你应该能看到右上角有一个登录超链接。点击登录后，你可以使用已有的用户凭据进行认证，并开始与 RESTful Web服务进行交互。

在接下来的部分中，我们将进一步探讨基于令牌的身份验证、权限策略的配置以及如何使用命令行工具和图形用户界面工具来测试这些配置。此外，我们还会详细介绍如何确保 RESTful Web服务的安全性，并通过实际案例展示如何在生产环境中应用这些技术。

8. 使用基于令牌的身份验证

基于令牌的身份验证是一种简单且有效的认证方式，尤其适合 RESTful Web服务。Django REST框架提供了内置的支持，使得实现基于令牌的身份验证变得非常容易。

生成和使用令牌

为了使用基于令牌的身份验证，首先需要为用户生成令牌。可以通过 Django shell 或 Django管理命令来生成令牌。

生成令牌

from rest_framework.authtoken.models import Token
from django.contrib.auth.models import User

user = User.objects.get(username='example_user')
token = Token.objects.create(user=user)
print(token.key)

使用令牌进行认证

一旦生成了令牌，可以在 HTTP请求中使用 Authorization 头部来传递令牌。以下是使用 curl 发送带有令牌的请求的示例：

curl -iX GET http://localhost:8000/pilots/ -H "Authorization: Token PASTE-TOKEN-HERE"

示例响应

如果认证成功，服务器将返回一个 HTTP 200 OK 状态码，并将飞行员集合的第一页序列化为 JSON格式在响应体中。以下屏幕截图显示了带有适当令牌的请求示例响应的前几行：

[
    {
        "url": "http://localhost:8000/pilots/1",
        "name": "Penelope Pitstop",
        "gender": "F",
        "races_count": 0,
        "inserted_timestamp": "2017-11-03T03:22:36.399433Z"
    }
]

9. 配置权限策略

除了全局权限配置，还可以为特定的视图配置权限策略。这使得我们可以根据不同的业务需求灵活地调整权限设置。

示例配置

from rest_framework import permissions, viewsets

class PilotViewSet(viewsets.ModelViewSet):
    queryset = Pilot.objects.all()
    serializer_class = PilotSerializer
    permission_classes = [permissions.IsAuthenticatedOrReadOnly]

权限策略的组合

有时我们需要组合多个权限类来实现更复杂的权限控制。例如，我们可以允许任何人查看飞行员列表，但只有认证用户才能创建或更新飞行员信息。

from rest_framework import permissions

class CustomPermission(permissions.BasePermission):
    def has_permission(self, request, view):
        if request.method in permissions.SAFE_METHODS:
            return True
        return request.user and request.user.is_authenticated

class PilotViewSet(viewsets.ModelViewSet):
    queryset = Pilot.objects.all()
    serializer_class = PilotSerializer
    permission_classes = [CustomPermission]

10. 使用命令行工具和图形用户界面工具测试配置

为了确保配置的权限策略按预期工作，我们需要进行充分的测试。可以使用命令行工具（如 curl ）或图形用户界面工具（如 Postman）来进行测试。

使用 `curl` 测试认证请求

curl -iX GET http://localhost:8000/pilots/ -H "Authorization: Token PASTE-TOKEN-HERE"

使用 Postman 测试认证请求

打开 Postman 并创建一个新的请求。
设置请求方法为 GET 。
输入请求 URL，例如 http://localhost:8000/pilots/ 。
在 Authorization 标签中选择 Bearer Token ，并粘贴生成的令牌。
点击 Send 发送请求。

测试未认证请求

尝试发送未认证的请求，以确保服务器返回 HTTP 401 Unauthorized 状态码。

curl -iX GET http://localhost:8000/pilots/

示例响应

{
    "detail": "Authentication credentials were not provided."
}

11. 确保 RESTful Web服务的安全性

在生产环境中，确保 RESTful Web服务的安全性至关重要。以下是一些建议：

使用 HTTPS ：确保所有通信都通过 HTTPS进行，以防止中间人攻击。
定期更新依赖库 ：确保所有依赖库都是最新版本，以修复潜在的安全漏洞。
限制令牌有效期 ：为令牌设置合理的有效期，以降低令牌泄露的风险。
日志记录 ：启用详细的日志记录，以便在出现问题时能够快速定位和解决问题。

安全性检查清单

检查项	描述
HTTPS	确保所有通信都通过 HTTPS进行
依赖库更新	确保所有依赖库都是最新版本
令牌有效期	为令牌设置合理的有效期
日志记录	启用详细的日志记录

12. 实际案例：生产环境中的应用

假设我们正在开发一个无人机竞赛管理系统，该系统需要确保只有认证用户才能创建和更新无人机和飞行员信息。通过前面介绍的技术，我们可以轻松实现这一目标。

创建超级用户

首先，创建一个超级用户，用于管理系统的管理员账户。

python manage.py createsuperuser

创建普通用户

接着，创建一些普通用户，用于测试权限策略。

python manage.py shell
>>> from django.contrib.auth.models import User
>>> User.objects.create_user('user1', 'user1@example.com', 'password123')
>>> User.objects.create_user('user2', 'user2@example.com', 'password123')

测试权限策略

使用 Postman 或 curl 测试不同用户的权限。例如，超级用户可以创建和更新无人机信息，而普通用户只能查看。

权限测试流程图

以下是权限测试的流程图，展示了如何验证不同用户的权限：

graph TD;
    A[开始测试] --> B{用户是否认证};
    B -->|是| C{用户是否超级用户};
    C -->|是| D[允许所有操作];
    C -->|否| E{操作是否安全};
    E -->|是| F[允许操作];
    E -->|否| G[拒绝操作];
    B -->|否| H[拒绝所有操作];

通过以上步骤，我们可以确保 RESTful Web服务的安全性和可靠性，同时提供灵活的权限控制机制。无论是简单的 API还是复杂的企业级应用，这些技术都能帮助我们构建更加安全和高效的系统。