Django OAuth Toolkit 教程：使用 OAuth2 保护你的 API 接口

Django OAuth Toolkit 教程：使用 OAuth2 保护你的 API 接口

django-oauth-toolkit 项目地址: https://gitcode.com/gh_mirrors/dja/django-oauth-toolkit

场景介绍

在现代 Web 开发中，授权服务器(Authorization Server)通常也扮演着资源服务器(Resource Server)的角色，通过 API 向外部提供自己的资源访问能力。Django OAuth Toolkit 提供了一种简单的方式来使用 OAuth2 保护 Django 应用的视图。本教程将详细介绍如何实现这一功能。

创建受保护的 API 端点

我们将从教程第一部分结束的地方继续。假设你已经设置好了授权服务器，现在需要让它提供访问某些资源的 API。为了演示目的，我们将创建一个简单的端点，使用 OAuth2 进行保护。

使用类视图实现

Django OAuth Toolkit 提供了一组通用的类视图，可以轻松地为你的视图添加 OAuth 功能。首先在你的视图模块中导入必要的组件：

from oauth2_provider.views.generic import ProtectedResourceView
from django.http import HttpResponse

然后创建响应 API 端点的视图类：

class ApiEndpoint(ProtectedResourceView):
    def get(self, request, *args, **kwargs):
        return HttpResponse('Hello, OAuth2!')

这个简单的 API 只暴露了一个 GET 方法，返回一个简单的问候消息。通过继承 ProtectedResourceView，我们自动获得了 OAuth2 保护功能。

配置 URL 路由

接下来，在 URL 配置文件中指定这个视图对应的路由：

from django.urls import path, include
import oauth2_provider.views as oauth2_views
from django.conf import settings
from .views import ApiEndpoint

# OAuth2 提供者端点
oauth2_endpoint_views = [
    path('authorize/', oauth2_views.AuthorizationView.as_view(), name="authorize"),
    path('token/', oauth2_views.TokenView.as_view(), name="token"),
    path('revoke-token/', oauth2_views.RevokeTokenView.as_view(), name="revoke-token"),
]

# 调试模式下添加更多管理端点
if settings.DEBUG:
    oauth2_endpoint_views += [
        path('applications/', oauth2_views.ApplicationList.as_view(), name="list"),
        path('applications/register/', oauth2_views.ApplicationRegistration.as_view(), name="register"),
        path('applications/<pk>/', oauth2_views.ApplicationDetail.as_view(), name="detail"),
        path('applications/<pk>/delete/', oauth2_views.ApplicationDelete.as_view(), name="delete"),
        path('applications/<pk>/update/', oauth2_views.ApplicationUpdate.as_view(), name="update"),
        path('authorized-tokens/', oauth2_views.AuthorizedTokensListView.as_view(), name="authorized-token-list"),
        path('authorized-tokens/<pk>/delete/', oauth2_views.AuthorizedTokenDeleteView.as_view(),
            name="authorized-token-delete"),
    ]

urlpatterns = [
    path('o/', include((oauth2_endpoint_views, 'oauth2_provider'), namespace="oauth2_provider")),
    path('api/hello', ApiEndpoint.as_view()),  # 示例资源端点
]

虽然 Django OAuth Toolkit 提供了这些内置视图帮助你快速开始开发，但在实际项目中，你可能需要编写自己的应用视图来处理更复杂的权限和访问控制逻辑。

测试你的 API

现在我们来测试这个受保护的 API 端点。

基本测试

1. 尝试在浏览器中访问 /api/hello 端点
2. 你应该会收到 403 禁止访问响应，因为没有提供授权头信息

使用访问令牌测试

要正确测试 API，你需要：

1. 从教程第一部分获取有效的访问令牌
2. 在请求中包含授权头：Authorization: Bearer <your_access_token>

当使用有效令牌访问时，服务器应该返回 HTTP 200 状态码和 "Hello, OAuth2!" 的响应内容。

安全注意事项

• 在生产环境中，确保使用 HTTPS 来传输令牌
• 考虑实现令牌刷新机制
• 根据业务需求设置适当的令牌有效期
• 可以扩展 ProtectedResourceView 来实现更细粒度的权限控制

通过本教程，你已经学会了如何使用 Django OAuth Toolkit 快速为你的 API 添加 OAuth2 保护。下一部分将介绍如何使用访问令牌进行用户认证。

django-oauth-toolkit 项目地址: https://gitcode.com/gh_mirrors/dja/django-oauth-toolkit