我正在使用Django Rest Framework构建API.之后这个API应该被iOS和Android设备使用.我希望允许我的用户注册Facebook和Google等oauth2提供商.在这种情况下,他们根本不必在我的平台上创建一个帐户.但是,如果没有Facebook/Google帐户,用户也应该能够注册,我正在使用django-oauth-toolkit,所以我有自己的oauth2-provider.
对于外部提供者,我使用python-social-auth,它工作正常并自动创建用户对象.
我希望客户端使用bearer令牌进行身份验证,这对于使用我的提供者注册的用户来说很好(django-oauth-toolkit为Django REST Framework提供了身份验证方案和权限类).
但是,python-social-auth仅实现基于会话的身份验证,因此没有直接的方法来代表由外部oauth2提供程序注册的用户进行身份验证的API请求.
如果我使用由django-oauth-toolkit生成的access_token,那么执行这样的请求是有效的:
curl -v -H "Authorization: Bearer <token_generated_by_django-oauth-toolkit>" http://localhost:8000/api/
但是,由于Django REST Framework没有相应的身份验证方案,并且python-social-auth提供的AUTHENTICATION_BACKENDS仅适用于基于会话的身份验证,因此以下情况不起作用:
curl -v -H "Authorization: Bearer <token_stored_by_python-social-auth>" http://localhost:8000/api/
在使用python-social-auth进行身份验证后,使用Django REST Framework提供的可浏览API工作正常,只有没有会话cookie的API调用才能正常工作.
我想知道这个问题的最佳方法是什么.我看待它的方式,我基本上有两个选择:
答:当用户注册外部oauth2提供程序(由python-social-auth处理)时,请挂钩进程以创建oauth2_provider.models.AccessToken并继续使用'oauth2_provider.ext.rest_framework.OAuth2Authentication',现在也对使用外部提供程序注册的用户进行身份验证.此处建议采用此方法:https:
//groups.google.com/d/msg/django-rest-framework/ACKx1kY7kZM/YPWFA2DP9LwJ
B:使用python-social-auth进行API请求验证.通过编写自定义后端并使用register_by_access_token,我可以让自己的用户进入python-social-auth.但是,由于API调用无法使用Django会话,这意味着我必须为Django Rest Framework编写一个使用python-social-auth存储的数据的身份验证方案.关于如何做到这一点的一些指示可以在这里找到:
http:
//psa.matiasaguirre.net/docs/use_cases.html#signup-by-oauth-access-token
http://blog.wizer.fr/2013/11/angularjs-facebook-with-a-django-rest-api/
http://cbdev.blogspot.it/2014/02/facebook-login-with-angularjs-django.html
但是,我理解它的方式python-social -auth仅在进行登录时验证令牌,之后依赖于Django会话.这意味着我必须找到一种方法来阻止python-social-auth为每个无状态API请求执行整个oauth2-flow,而不是检查存储在数据库中的数据,这些数据并不是真正针对查询进行优化的,因为它是存储为JSON(我可以使用UserSocialAuth.objects.get(extra_data__contains =)).
我也将不得不采取验证的访问令牌范围的保养和使用它们来检查的权限,一些Django的OAuth的工具包已经这样做(TokenHasScope,required_scopes等).
目前,我倾向于使用选项A,因为django-oauth-toolkit提供了与Django Rest Framework的良好集成,我得到了我需要的所有东西.唯一的缺点是我必须将python-social-auth检索到的access_tokens"注入"到django-oauth-toolkit的AccessToken模型中,这在某种程度上感觉不对,但可能是迄今为止最简单的方法.
有没有人反对这样做或者可能以不同的方式处理同样的问题?我错过了一些明显的东西,让我的生活变得更加艰难吗?如果有人已经将django-oauth-toolkit与python-social-auth和外部oauth2提供程序集成,我将非常感谢一些指示或意见.
python django oauth-2.0 django-rest-framework python-social-auth
我想使用Django REST框架构建REST API.最初它的客户端将是一个Web应用程序,但可以想象未来的客户端可能包括移动应用程序.
不幸的是,我发现文档中列出的身份验证类列表有点令人困惑.看起来TokenAuthentication会满足我的需求.我宁愿避免OAuth的认知开销,除非有一个令人信服的安全理由去那样做.
这是我想在这个早期阶段做出决定的决定.有人可以提供任何建议吗?
编辑:虽然希望不相关,但我想我会提到我将使用Neo4j作为应用程序的后端,而不是传统的SQL数据库.
你好,我正在使用 django rest-auth,我在 /password/change/ 中遇到了这个问题,它总是返回 csrf 令牌丢失或不正确的问题:我正在向一个 android 应用程序发出请求,我正在开发我的设置是:
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'django.contrib.sites',
'rest_framework',
'rest_framework.authtoken',
'rest_auth',
'rest_auth.registration',
'allauth',
'allauth.account',
'allauth.socialaccount',
]
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.locale.LocaleMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.TokenAuthentication',
)
}
版本:django-rest-auth==0.9.1
djangorestframework==3.6.2