实现djangorestframework-simplejwt无密码令牌认证

Question

我的应用程序不需要密码，因为我想使用电话和 OTP 登录。我正在尝试实现自定义简单 JWT 令牌身份验证，该身份验证仅需要电话号码而无需密码。我是 Django 新手，我确实检查了 stackoverflow 中的一些链接并尝试了以下操作：

class CustomSerializer(TokenObtainPairSerializer):

def __init__(self, *args, **kwargs):
    super().__init__(*args, **kwargs)
    self.fields[self.username_field] = serializers.CharField()
    del self.fields['password']



def validate(self,attr):
    print(attr)
    
    data = super().validate(attr)
    token = self.get_token(self.user)
    print (token)
    try:
        request = self.context["request"]
        print(request)
    except KeyError:
        pass
    request_data = json.loads(request.body)
    print(request_data)
 

因此，当执行 validate 方法时，它会执行 validate TokenObtainPairSerializerinit 方法，该方法又调用其父类的 init 方法来验证密码。因此，即使我在自定义序列化程序中删除密码字段，它仍然会给我一个密码密钥错误。我尝试传递密钥错误，但再次失败request.body。

我被困在这个问题上，我不知道如何实现没有密码的简单 JWT。

Answer 1

我有同样的问题，经过大量搜索和阅读 django-rest-framework-simplejwt的源代码，我得到了答案。

因此，即使我在自定义序列化程序中删除密码字段，它仍然会给我密码密钥错误

如果你看一下这个类，它是hereTokenObtainSerializer的父Serializer ，你可以看到密码是这样调用的：TokenObtainPairSerializer

# rest_framework_simplejwt/serializers.py

def validate(self, attrs):
    authenticate_kwargs = {
        self.username_field: attrs[self.username_field],
        'password': attrs['password'],
    }
    # ...

因此，即使您删除了密码字段，稍后仍会调用它。

我所做的是将密码字段设置为不需要，并指定一个空字符串作为密码。

class TokenObtainPairWithoutPasswordSerializer(TokenObtainPairSerializer):

    def __init__(self, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.fields['password'].required = False

    def validate(self, attrs):
        attrs.update({'password': ''})
        return super(TokenObtainPairWithoutPasswordSerializer, self).validate(attrs)

现在可以在视图中使用此序列化器。

class TokenObtainPairWithoutPasswordView(TokenViewBase):
    serializer_class = TokenObtainPairWithoutPasswordSerializer

然后我创建了一个自定义身份验证后端，以便用户无需密码即可进行身份验证。

from django.contrib.auth.backends import BaseBackend


class AuthenticationWithoutPassword(BaseBackend):

    def authenticate(self, request, username=None):
        if username is None:
            username = request.data.get('username', '')
        try:
            return User.objects.get(username=username)
        except User.DoesNotExist:
            return None

    def get_user(self, user_id):
        try:
            return User.objects.get(pk=user_id)
        except User.DoesNotExist:
            return None

您可以阅读文档以获取有关创建自定义身份验证后端的更多信息。

最后，settings.py改变你的AUTHENTICATION_BACKENDS变量。

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'core.custom_authentication.AuthenticationWithoutPassword',
)

现在 Django 将尝试使用第一个身份验证进行身份验证ModelBackend，然后使用新的AuthenticationWithoutPassword.

只是在这里说显而易见的事情，但请记住，没有密码的身份验证绝对不安全，因此您应该在自定义身份验证中添加更多逻辑，请记住您可以访问该request变量。