首页 / 技术问答 / Django问答列表 / 问答详情

Django RESTful API 的令牌认证:是否应该定期更改令牌

我正在使用Django和django-rest-framework构建一个REST风格的API.

作为认证机制,我们 Select 了"令牌认证",我已经按照django-睡觉框架的文档实现了它,问题是,应用程序是否应该定期更新/更改令牌,如果是,该如何更新/更改令牌?应该是移动应用程序需要续签令牌,还是web应用程序应该自主更新令牌?

最佳实践是什么?

这里有谁有过使用Django 睡觉框架的经验,能给出一个技术解决方案吗?

(最后一个问题的优先级较低)

推荐答案

让移动客户端定期更新其身份验证令牌是一种很好的做法.这当然取决于服务器来执行.

默认的TokenAuthentication类不支持此功能,但是您可以对其进行扩展以实现此功能.

例如: 

from rest_framework.authentication import TokenAuthentication, get_authorization_header
from rest_framework.exceptions import AuthenticationFailed

class ExpiringTokenAuthentication(TokenAuthentication):
    def authenticate_credentials(self, key):
        try:
            token = self.model.objects.get(key=key)
        except self.model.DoesNotExist:
            raise exceptions.AuthenticationFailed('Invalid token')

        if not token.user.is_active:
            raise exceptions.AuthenticationFailed('User inactive or deleted')

        # This is required for the time comparison
        utc_now = datetime.utcnow()
        utc_now = utc_now.replace(tzinfo=pytz.utc)

        if token.created < utc_now - timedelta(hours=24):
            raise exceptions.AuthenticationFailed('Token has expired')

        return token.user, token

还需要覆盖默认的睡觉框架登录视图,这样每次登录都会刷新令牌:

class ObtainExpiringAuthToken(ObtainAuthToken):
    def post(self, request):
        serializer = self.serializer_class(data=request.data)
        if serializer.is_valid():
            token, created =  Token.objects.get_or_create(user=serializer.validated_data['user'])

            if not created:
                # update the created time of the token to keep it valid
                token.created = datetime.datetime.utcnow()
                token.save()

            return Response({'token': token.key})
        return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

obtain_expiring_auth_token = ObtainExpiringAuthToken.as_view()

别忘了修改URL:

urlpatterns += patterns(
    '',
    url(r'^users/login/?$', '<path_to_file>.obtain_expiring_auth_token'),
)

Django相关问答推荐

如何根据属性的 Select 对查询集进行排序

Django Admin中显示的DateField下面的小提示是什么?

如何从Django';S模型中的方法中检索值?

如何组织 Django REST Framework url

在 Django 4.1 中提交表单之前显示数据

Django 身份验证系统修改

Django 长时间运行带有线程/处理的异步任务

Django 嵌套事务 - with transaction.atomic()

关于Django中批量保存对象的问题

Django基于类的视图上的success_url的反向抱怨循环导入

获取结果集中返回的元素数的 django 模板标签是什么?

相关字段查找无效:​​icontains

TestCase 类中的 setUpClass、setUpTestData 和 setUp 有什么区别?

如何运行克隆的 Django 元素?

无效的命令 WSGIDaemonProcess 在 CentOS 6.7 上部署 Django 应用程序

Django:如何使用动态(非模型)数据预填充 FormView?

Python 社区里的小马是怎么回事?

Django ORM 能否以可靠的与后端无关的方式存储无符号 64 位整数(又名 ulong64 或 uint64)?

django 管理员操作而不 Select 对象

PyCharm 代码判断提示找不到模板文件,如何解决?

实用课程推荐
相关教程推荐
休闲君评测 |  TOOLFK工具网 |  古诗文网 |  良许Linux教程网 |  Python之禅 |  红色石头 |  入党申请书 | 

© 2020 Hi LearnFk 意见反馈 免责声明 关于我们 桂ICP备11002319号-3 友链&广告位+QQ: 1963612630