Requests库中的认证机制详解：从基础到高级-优快云博客

Requests库中的认证机制详解：从基础到高级

requests A simple, yet elegant, HTTP library. 项目地址: https://gitcode.com/gh_mirrors/re/requests

前言

在现代Web开发中，认证(Authentication)是保护API安全的重要机制。作为Python中最流行的HTTP客户端库，Requests提供了多种认证方式的支持。本文将全面解析Requests库中的认证机制，帮助开发者根据实际需求选择合适的认证方式。

基础认证(Basic Authentication)

HTTP基础认证是最简单的认证方式，Requests原生支持这种认证机制。

基本用法

from requests.auth import HTTPBasicAuth
basic = HTTPBasicAuth('username', 'password')
response = requests.get('https://example.com/api', auth=basic)

简化写法

Requests还提供了更简洁的元组写法：

response = requests.get('https://example.com/api', auth=('username', 'password'))

这两种写法在功能上是完全等价的，开发者可以根据个人偏好选择。

netrc文件支持

Requests会自动检查用户主目录下的.netrc文件，如果找到匹配的host认证信息，会自动使用基础认证：

machine example.com
login username
password secret

当请求example.com时，Requests会自动使用这些凭证，无需显式指定auth参数。

摘要认证(Digest Authentication)

摘要认证比基础认证更安全，Requests同样提供了开箱即用的支持：

from requests.auth import HTTPDigestAuth
response = requests.get('https://example.com/api', auth=HTTPDigestAuth('username', 'password'))

摘要认证通过避免明文传输密码来提高安全性，适合对安全性要求较高的场景。

OAuth认证

OAuth是现代API常用的认证协议，Requests通过requests-oauthlib库提供支持。

OAuth 1.0

from requests_oauthlib import OAuth1

auth = OAuth1(
    'YOUR_APP_KEY', 
    'YOUR_APP_SECRET',
    'USER_OAUTH_TOKEN', 
    'USER_OAUTH_TOKEN_SECRET'
)

response = requests.get('https://api.example.com/endpoint', auth=auth)

OAuth 2.0

OAuth 2.0支持多种授权流程：

Web应用流程(Authorization Code)
移动应用流程(Implicit)
传统应用流程(Resource Owner Password Credentials)
后端应用流程(Client Credentials)

每种流程在requests-oauthlib中都有对应的实现方式，开发者需要根据应用类型选择合适的流程。

自定义认证机制

当内置认证方式不能满足需求时，Requests允许开发者实现自定义认证机制。

实现自定义认证类

from requests.auth import AuthBase

class MyCustomAuth(AuthBase):
    def __init__(self, token):
        self.token = token
        
    def __call__(self, r):
        r.headers['X-Custom-Auth'] = f"Bearer {self.token}"
        return r

response = requests.get('https://example.com/api', auth=MyCustomAuth('my_token'))

自定义认证类需要继承AuthBase并实现__call__方法，该方法会在请求准备阶段被调用。