DRF中用户认证/权限认证源代码分析

逃离我推掉我的手 2022-04-15 06:49 295阅读 0赞

在讲解源码之前，先介绍一下 APIView和django中的View有什么不同

*  APIView是REST framework提供的所有视图的基类，继承自Django的View父类。

APIView与View的不同之处在于：

*  传入到视图方法中的是REST framework的Request对象，而不是Django的HttpRequeset对象；REST framework 提供了Parser解析器，在接收到请求后会自动根据Content-Type指明的请求数据类型（如JSON、表单等）将请求数据进行parse解析，解析为类字典对象保存到Request对象中；
 *  视图方法可以返回REST framework的Response对象，视图会为响应数据设置（render）符合前端要求的格式；
 *  任何APIException异常都会被捕获到，并且处理成合适的响应信息；  
    在进行dispatch()分发前，会对请求进行身份认证、权限检查、流量控制。

--------------------

好的，关于用户认证的源代码分析，我们现在从\`dispatch()\`这个函数开始分析：

def dispatch(self, request, *args, **kwargs):
            """
            `.dispatch()` is pretty much the same as Django's regular dispatch,
            but with extra hooks for startup, finalize, and exception handling.
            """
            self.args = args
            self.kwargs = kwargs
    --->  request = self.initialize_request(request, *args, **kwargs)
            self.request = request
            self.headers = self.default_response_headers  # deprecate?
    
            try:
     --->       self.initial(request, *args, **kwargs)
    
                # Get the appropriate handler method
                if request.method.lower() in self.http_method_names:
                    handler = getattr(self, request.method.lower(),
                                      self.http_method_not_allowed)
                else:
                    handler = self.http_method_not_allowed
    
                response = handler(request, *args, **kwargs)
    
            except Exception as exc:
                response = self.handle_exception(exc)
    
            self.response = self.finalize_response(request, response, *args, **kwargs)
            return self.response

这个函数首先是给了我们一个注释：

> .dispatch（）\`与Django的常规调度几乎相同，  
> 但有额外的钩子，用于启动，结束和异常的处理

在dispatch类方法中，在request执行get\\post\\put\\delete\\等方法时候，会先对request请求进行用户验证，也就是如下2行代码：

1：request = self.initialize_request(request, *args, **kwargs)
    2：self.initial(request, *args, **kwargs)

## request = self.initialize\_request(request, \*args, \*\*kwargs) ##

关于第一行代码`initialize_request`，从字面意思来看，就是对请求来的request，进行再次初始化封装，得到初始化后request，那就看看是如何进行初始化的：

def initialize_request(self, request, *args, **kwargs):
            """
            Returns the initial request object.
            """
            parser_context = self.get_parser_context(request)
    
            return Request(
                request,
                parsers=self.get_parsers(),
                authenticators=self.get_authenticators(),
                negotiator=self.get_content_negotiator(),
                parser_context=parser_context
            )

嗯，这个函数里面的注释是验证了刚才的说法，这个是用来初始化请求对象的：

先分析这一段代码`parser_context = self.get_parser_context(request)`，我们可以通过这个函数的返回值看到，它是返回的一个字典类型的数据

def get_parser_context(self, http_request):
            """
            Returns a dict that is passed through to Parser.parse(),
            as the `parser_context` keyword argument.
            """
            # Note: Additionally `request` and `encoding` will also be added
            #       to the context by the Request object.
            return {
                'view': self,
                'args': getattr(self, 'args', ()),
                'kwargs': getattr(self, 'kwargs', {})
            }

在进行字典格式转换之后，`initialize_request`方法最终返回一个django自己封装的Request：

return Request(
                request,
                parsers=self.get_parsers(),
                authenticators=self.get_authenticators(),
                negotiator=self.get_content_negotiator(),
                parser_context=parser_context
            )

来细看一下它这个Request在返回的时候，做了哪些事情：

1：`parsers=self.get_parsers()`是获取解析器(用来解析通过get\_parser\_context构造的字典数据的)  
![在这里插入图片描述][20181122185540744.png]  
![在这里插入图片描述][20181122190010230.png]  
2：parser\_context=parser\_context是构造好的原生request封装的字典格式数据

3：`negotiator=self.get_content_negotiator()`一个内容协商类，它决定如何为响应选择一个呈现器，给定一个传入请求 ；  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70]  
![在这里插入图片描述][20181122185911447.png]  
4：`authenticators=self.get_authenticators()`是获取 `[auth() for auth in self.authentication_classes]` 认证列表，里面是存放的一个个认证类对象；  
get\_authenticators方法如下，最后跟代码定位到如下键值对  
![在这里插入图片描述][20181122185640691.png]  
![在这里插入图片描述][20181122185738748.png]

我们可以先看一下父类`BaseAuthentication`的代码，如下，里面有2个方法，也就是进行认证，我们可以利用此来扩充校验认证规则  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 1]

`get_authenticators`方法就是去遍历继承类SessionAuthentication、BasicAuthentication的子类的列表，里面是一个一个子类对象，因为在列表推导是中`[auth() for auth in self.authentication_classes]`通过auth()获取类的实例对象；（其实这里面还有关于局部配置和全局配置，简单理解就是：单纯在某个类视图里面的配置，还是在settings.py中配置的，下一次会有进一步说明，get\_authenticators会从自身找寻，查询不到，在去全局配置中查找）。

好的`request = self.initialize_request(request, *args, **kwargs)`在此告一段落，现在开始说`self.initial(request, *args, **kwargs)`

## self.initial(request, \*args, \*\*kwargs) ##

def initial(self, request, *args, **kwargs):
            """
            Runs anything that needs to occur prior to calling the method handler.
            """
            self.format_kwarg = self.get_format_suffix(**kwargs)
    
            # Perform content negotiation and store the accepted info on the request
            neg = self.perform_content_negotiation(request)
            request.accepted_renderer, request.accepted_media_type = neg
    
            # Determine the API version, if versioning is in use.
            version, scheme = self.determine_version(request, *args, **kwargs)
            request.version, request.versioning_scheme = version, scheme
    
            # Ensure that the incoming request is permitted
            self.perform_authentication(request)
            self.check_permissions(request)
            self.check_throttles(request)

这个注释挺好玩的：

> 在调用方法处理程序之前运行需要发生的任何事情。

我们来着重看一下我们需要了解的信息，也就是最后三段代码的用户认证、权限认证、访问频率控制（本篇不做说明）：

1.self.perform_authentication(request)  用户认证

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 2]  
哈哈，真是惊讶，就一段代码 `request.user`， 其实看到这里，我们应该知道，这个user肯定是被@property装饰过的，不然是不可能被直接调用而且不加任何括号；可以在DRF中找一下这个Request中带有@property的user：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 3]

@property
        def user(self):
            """
            Returns the user associated with the current request, as authenticated
            by the authentication classes provided to the request.
            """
            #判断当前类中是否有已经认证过的user
            if not hasattr(self, '_user'):
                #没有认证则去认证
                self._authenticate()
            #认证过了直接返回
            return self._user

没有认证的话，就需要调用Request类中的\_authenticate()方法进行认证

def _authenticate(self):
            """
            Attempt to authenticate the request using each authentication instance
            in turn.
            """
            #遍历request对象中封装的Authentication对象
            for authenticator in self.authenticators:
                try:
                    #调用Authentication对象中的authenticate方法，必须要有这个方法不然抛出异常
                    #当然Authentication类一般有我们自己定义,实现这个方法就可以了
                    user_auth_tuple = authenticator.authenticate(self)
                except exceptions.APIException:
                    self._not_authenticated()
                    raise
    
                if user_auth_tuple is not None:
                    self._authenticator = authenticator
                    self.user, self.auth = user_auth_tuple
                    return
    
            self._not_authenticated()

2.  self.check_permissions(request)  权限认证

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 4]

#检查权限
        def check_permissions(self, request):
            """
            Check if the request should be permitted.
            Raises an appropriate exception if the request is not permitted.
            """
            #self.get_permissions()得到的是一个权限对象列表
            for permission in self.get_permissions():
                #在自定义的Permission中has_permission方法是必须要有的
                #判断当前has_permission返回的是True，False，还是抛出异常
                #如果是True则表示权限通过,False执行下面代码
                if not permission.has_permission(request, self):
                    #为False的话则抛出异常，当然这个异常返回的提示信息是英文的,如果我们想让他显示我们自定义的提示信息
                    #我们重写permission_denied方法即可
                    self.permission_denied(
                        #从自定义的Permission类中获取message(权限错误提示信息),一般自定义的话都建议写上,如果没有则为默认的(英文提示)
                        request, message=getattr(permission, 'message', None)
                    )

\#self.get\_permissions()得到的是一个权限对象列表，如下图  
![在这里插入图片描述][20181122193723421.png]  
![在这里插入图片描述][2018112219380385.png]

如果has\_permission位False执行下面的代码

def permission_denied(self, request, message=None):
            """
            If request is not permitted, determine what kind of exception to raise.
            """
            if request.authenticators and not request.successful_authenticator:
                #没有登录提示的错误信息
                raise exceptions.NotAuthenticated()
            #一般是登陆了但是没有权限提示
            raise exceptions.PermissionDenied(detail=message)

[20181122185540744.png]: /images/20220415/888e12fefd06431e9daa52d79ac7291f.png
[20181122190010230.png]: /images/20220415/627422c2fb464dfebfc014b6992a20b3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70]: /images/20220415/cdd4d40825624beb9d6604d4b68dc213.png
[20181122185911447.png]: /images/20220415/466764e87f4f44779226956d969bda81.png
[20181122185640691.png]: /images/20220415/ac98996c45524675a7c29580eef386fa.png
[20181122185738748.png]: /images/20220415/9264ebbb35ec4ca183986ca8ed8e2c2f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 1]: /images/20220415/24896e01586846ea993414d4263a44af.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 2]: /images/20220415/809083c0537546d5b4b61c54543548d4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 3]: /images/20220415/dfd4ae5cde324755a02e2e55f6cbbca0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d5bWFpc3ls_size_16_color_FFFFFF_t_70 4]: /images/20220415/19c5d442b07b4e77a00b6a0cf10bbcd0.png
[20181122193723421.png]: /images/20220415/98e01cc3f78149acaa3dcf9999588bab.png
[2018112219380385.png]: /images/20220415/53c5f6ec188d441daaed90e1dcdfbd38.png