一.Django框架

Django確實(shí)是一個(gè)很強(qiáng)大，用起來很爽的一個(gè)框架，在Rest Framework中已經(jīng)將身份認(rèn)證全都封裝好了，用的時(shí)候直接導(dǎo)入authentication.py這個(gè)模塊就好了。這個(gè)模塊中5個(gè)認(rèn)證類。但是我們?cè)陂_發(fā)中很少用自帶的認(rèn)證類，而是根據(jù)項(xiàng)目實(shí)際需要去自己實(shí)現(xiàn)認(rèn)證類。下面是內(nèi)置的認(rèn)證類

BaseAuthentication(object):所有的認(rèn)證相關(guān)的類都繼承自這個(gè)類，我們寫的認(rèn)證類也要繼承自這個(gè)認(rèn)證類，類中面有兩個(gè)方法，authenticate(self,request)：這個(gè)方法是我們開發(fā)中用的最多的，還有一個(gè)方法：authentication_header(self,request):這個(gè)方法主要是給瀏覽器返回響應(yīng)頭的。

BasicAuthentication(BaseAuthentication)：這個(gè)是基于瀏覽器實(shí)現(xiàn)的認(rèn)證類。

SessionAuthentication(BaseAuthentication):使用Django的會(huì)話框架進(jìn)行身份驗(yàn)證。

TokenAuthentication(BaseAuthentication):簡(jiǎn)單的基于令牌的身份驗(yàn)證?？蛻舳藨?yīng)通過在“授權(quán)”中傳遞令牌密鑰進(jìn)行身份驗(yàn)證HTTP頭，前面加上字符串“Token”

RemoteUserAuthentication(BaseAuthentication):遠(yuǎn)程用戶身份驗(yàn)證。

二.身份認(rèn)證的兩種實(shí)現(xiàn)方式：

1.第一種方式就是在views.py模塊中去創(chuàng)建一個(gè)認(rèn)證類，這個(gè)認(rèn)證類必須重寫authenticate()這個(gè)方法，這個(gè)方法必須返回一個(gè)元組，里面返回用戶和token值，然后在需要認(rèn)證的類視圖中注冊(cè)上這個(gè)認(rèn)證類：

authentication_classes = [AuthClass,]，authentication_classes

名字也不能改，后面講源碼的時(shí)候會(huì)告訴大家為什么這么寫。這是第一種認(rèn)證方式。

2.①：第二中方式是在settings中配置認(rèn)證模塊，這種方式是全局身份認(rèn)證。首先創(chuàng)建一個(gè)utils工具包，然后創(chuàng)建一個(gè)auth.py身份認(rèn)證模塊。把認(rèn)證類寫在這里面。這是開發(fā)中經(jīng)常使用的方式，這樣views.py中全是類視圖，把認(rèn)證類放到認(rèn)證模塊中，符合高內(nèi)聚，低耦合的編程思想，也方便后期管理維護(hù)。

②：然后將這個(gè)認(rèn)證模塊注冊(cè)到settings.py中，這是全局認(rèn)證，所有的類視圖都會(huì)進(jìn)行身份認(rèn)證。

③：用戶登錄的借口是不需要身份認(rèn)證的，所以在用戶登錄接口中加上authentication_classes = []，這樣登錄接口就不會(huì)進(jìn)行身份認(rèn)證了。

三.身份認(rèn)證源碼解析流程

1.首先當(dāng)一個(gè)請(qǐng)求過來的時(shí)候，先走路由的as_view()方法，as_view()方法中調(diào)用了dispatch方法，rest framework 中的APIView(view)繼承自django中的view,然后重寫了dispatch()方法，于是走APIView中的dispatch()方法。

2.重寫的dispatch()對(duì)django的request進(jìn)行了重新的封裝，調(diào)用了initizlize_request()方法對(duì)request進(jìn)行封裝，我們進(jìn)入initizlize_request()這個(gè)方法再看一下做了什么操作。

3.initializer_request()這個(gè)方法中調(diào)用了get_authenticators()得到認(rèn)證對(duì)象的這個(gè)方法，我們?cè)龠M(jìn)入這個(gè)方法看一下做了什么。

4.進(jìn)入get_authenticators()中發(fā)現(xiàn)，這個(gè)方法中有一個(gè)列表生成器，用來實(shí)例化當(dāng)前認(rèn)證類，這就是為什么之前要在類視圖中注冊(cè)認(rèn)證類必須要用這個(gè)名字的原因，因?yàn)樵创a中規(guī)定了認(rèn)證類讀取的名字。

所以，如果我們自己寫了認(rèn)證類，他會(huì)在類視圖中找到我們的認(rèn)證類并執(zhí)行返回，如果我們沒有寫認(rèn)證類呢？會(huì)怎么執(zhí)行？我們繼續(xù)往下看，看看列表生成器中調(diào)中的authentication_classes這個(gè)屬性它是從哪獲得的。

5.我們發(fā)現(xiàn)authentication_classes默認(rèn)是從settings中配置獲得的。所以這也是為啥可以把認(rèn)證類配置在settings中的原因。

然后這就是initizlize_request()方法對(duì)request的認(rèn)證封裝的執(zhí)行流程，封裝完后在dispatch()中繼續(xù)往下執(zhí)行，當(dāng)前只是實(shí)例化認(rèn)證類，并沒有執(zhí)行認(rèn)證。然后我們接著看dispatch()下面認(rèn)證的執(zhí)行流程

6.dispatch()調(diào)用initial(request, *args, **kwargs)這個(gè)方法進(jìn)行認(rèn)證，我們看下initial(request, *args, **kwargs)這個(gè)方法做了什么。

7.initial(request, *args, **kwargs)這個(gè)方法中又調(diào)用了三個(gè)方法:

perform_authentication(request):身份認(rèn)證方法

check_permissions(request)：權(quán)限驗(yàn)證方法

check_throttles(request)：節(jié)流方法

我們看下perform_authentication(request):身份認(rèn)證方法都干了些什么。

8.perform_authentication(request):身份認(rèn)證方法只調(diào)用了一個(gè)user方法，我們繼續(xù)看user這個(gè)方法。

9.user這個(gè)方法調(diào)用了_authenticate()這個(gè)方法，繼續(xù)往下看。

10.這次只終于到底了，_authenticate()方法中遍歷認(rèn)證類的所有對(duì)象，執(zhí)行認(rèn)證類的authenticate方法，這個(gè)就是我們寫的身份認(rèn)證方法，這個(gè)方法要返回一個(gè)元組，我們看下authenticate方法。

11.authenticate（）方法返回一個(gè)元組，元組中包含當(dāng)前對(duì)象和token值，所以我們重寫authenticate()方法也要返回這個(gè)元組。這樣整個(gè)認(rèn)證執(zhí)行流程就全結(jié)束了。

如果authenitcate（）方法拋出異常，就被捕獲并執(zhí)行 self._not_authenticated(),認(rèn)證不通過并直接返回，就不會(huì)走dispatch()下面反射機(jī)制找視圖函數(shù)方法了，反射機(jī)制上篇博客我詳細(xì)的說過了，這里就不說了，如果沒有拋出異常，繼續(xù)走dispatch()下面的代碼。

以上就是Django Rest Framework實(shí)現(xiàn)身份認(rèn)證源碼詳解的詳細(xì)內(nèi)容，更多關(guān)于Django Rest Framework身份認(rèn)證的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！