Django學習之Rest Framework 的Token驗證功能最佳化詳解

標籤：

本文和大家分享的主要是django 中Rest Framework的Token相關內容，一起來看看吧，希望對大家 學習django有所協助。api 的通訊採用 token + ssl ，簡化和方便線上指令碼的調用。 Django 版本 1.8.16 ，djangorestframework 版本 3.5.3 ，用了架構提供的 rest_framework.authtoken.views.obtain_auth_token 和rest_framework.authentication.TokenAuthentication 後，發現了一個問題，前者認證通過建立 token 後，這個 token 就不會自動更新了，非常不安全，非常危險。後者驗證時候是不帶緩衝的，需要查詢資料庫，由於每次請求都要驗證 token ，請求相當頻繁，感覺不是很爽。1 、實現產生的 token 帶到期時間首先在setting.py 設定檔設定到期時間  REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES, 這裡設定為 60 分鐘#REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES = 60#setting.py 同目錄檔案 view.py 編輯一個視圖##coding=utf8 import datetime from django.utils.timezone  import utc from django.conf import settings from rest_framework import status from rest_framework.response  import Responsefrom rest_framework.authtoken.models  import Token fromrest_framework.authtoken.views import ObtainAuthTokenEXPIRE_MINUTES = getattr(settings, ’REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES’, 1) class  ObtainExpiringAuthToken(ObtainAuthToken): def  post(self, request):serializer = self.serializer_class(data=request.data) if serializer.is_valid():token, created =  Token.objects.get_or_create(user=serializer.validated_data[’user’])utc_now = datetime.datetime.utcnow().replace(tzinfo=utc) if created  or token.created < utc_now - datetime.timedelta(minutes=EXPIRE_MINUTES):token.delete()token = Token.objects.create(user=serializer.validated_data[’user’])token.created = utc_nowtoken.save() return Response({’token’: token.key}) return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)obtain_expiring_auth_token = ObtainExpiringAuthToken.as_view()#url.py 新增 url 用於產生使用者 token##from rest_framework.authtoken.views import obtain_auth_token from .views import obtain_expiring_auth_tokenurlpatterns += [#url(r’^api/token/’, obtain_auth_token, name=’api-token’),url(r’^api/token/’, obtain_expiring_auth_token, name=’api-token’),]#用curl 測試介面  api/token/#git master) ? curl -H "Content-Type: application/json" -X POST -d ’{"username":"test","password":"test"}’ http://127.0.0.1:9000/api/token/{"token":"6ff54785241f825846e4c5fca61cceb6be7f911e"}%#然後，然後這個產生token 的介面就好了。目前還有一個問題，使用者就是產生一個 token 例如 A ，然後使用者再也不來請求這個介面產生 token ，那麼這個使用者的 token A 也會一直生效且不會被更新，那麼要需要結合 token 驗證函式，來強制移除使用者到期的 token 。2 、自訂 token 驗證，強制移除到期的 token ，順便緩衝下沒有到期的 token首先在setting.py 檔案新增全域認證類 api.authentication.ExpiringTokenAuthentication 替換預設的rest_framework.authentication.TokenAuthentication#REST_FRAMEWORK = {’DEFAULT_AUTHENTICATION_CLASSES’: [’rest_framework.authentication.BasicAuthentication’,#’rest_framework.authentication.TokenAuthentication’,  #enable Token authentication’api.authentication.ExpiringTokenAuthentication’],’PAGE_SIZE’: 10,}#建立authentication.py 檔案，改檔案在 api 這個目錄下面。# #coding=utf8 import datetime from django.utils.timezone  import utc from django.conf import settings fromrest_framework.authentication  import TokenAuthentication from rest_framework import exceptions from django.utils.translation import ugettext_lazy  as _ from django.core.cache  import cacheEXPIRE_MINUTES = getattr(settings, ’REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES’, 1) class  ExpiringTokenAuthentication(TokenAuthentication):"""Set up token expired time""" def  authenticate_credentials(self, key):# Search token in cachecache_user = cache.get(key) if cache_user: return (cache_user, key)model = self.get_model() try:token = model.objects.select_related(’user’).get(key=key) except model.DoesNotExist: raise exceptions.AuthenticationFailed(_(’Invalid token.’)) if  not token.user.is_active: raise exceptions.AuthenticationFailed(_(’User inactive or deleted.’))utc_now = datetime.datetime.utcnow().replace(tzinfo=utc) if token.created < utc_now - datetime.timedelta(minutes=EXPIRE_MINUTES):token.delete() raise exceptions.AuthenticationFailed(_(’Token has expired then delete.’)) if token:# Cache tokencache.set(key, token.user, EXPIRE_MINUTES * 60) return (token.user, token)#來源： 小馬

Django學習之Rest Framework 的Token驗證功能最佳化詳解