Django学习之Rest Framework 的Token验证功能优化详解

本文和大家分享的主要是django 中Rest Framework的Token相关内容，一起来看看吧，希望对大家 学习django有所帮助。

api 的通信采用 token + ssl ，简化和方便线上脚本的调用。 Django 版本 1.8.16 ，djangorestframework 版本 3.5.3 ，用了框架提供的 rest_framework.authtoken.views.obtain_auth_token 和rest_framework.authentication.TokenAuthentication 后，发现了一个问题，前者认证通过创建 token 后，这个 token 就不会自动更新了，非常不安全，非常危险。后者验证时候是不带缓存的，需要查询数据库，由于每次请求都要验证 token ，请求相当频繁，感觉不是很爽。

1 、实现生成的 token 带过期时间

首先在setting.py 配置文件设置过期时间  REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES, 这里设置为 60 分钟

#REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES = 60#

setting.py 同目录文件 view.py 编辑一个视图

##coding=utf8 import datetime from django.utils.timezone  import utc from django.conf import settings from rest_framework import status from rest_framework.response  import Responsefrom rest_framework.authtoken.models  import Token fromrest_framework.authtoken.views import ObtainAuthToken

EXPIRE_MINUTES = getattr(settings, ’REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES’, 1)

 class  ObtainExpiringAuthToken(ObtainAuthToken):

 def  post(self, request):

serializer = self.serializer_class(data=request.data)

 if serializer.is_valid():

token, created =  Token.objects.get_or_create(user=serializer.validated_data[’user’])

utc_now = datetime.datetime.utcnow().replace(tzinfo=utc)

 if created  or token.created < utc_now - datetime.timedelta(minutes=EXPIRE_MINUTES):

token.delete()

token = Token.objects.create(user=serializer.validated_data[’user’])

token.created = utc_now

token.save()

 return Response({’token’: token.key})

 return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

obtain_expiring_auth_token = ObtainExpiringAuthToken.as_view()#

url.py 新增 url 用于生成用户 token

##from rest_framework.authtoken.views import obtain_auth_token from .views import obtain_expiring_auth_token

urlpatterns += [

#url(r’^api/token/’, obtain_auth_token, name=’api-token’),

url(r’^api/token/’, obtain_expiring_auth_token, name=’api-token’),

]#

用curl 测试接口  api/token/

#

git master) ? curl -H "Content-Type: application/json" -X POST -d ’{"username":"test","password":"test"}’ http://127.0.0.1:9000/api/token/

{"token":"6ff54785241f825846e4c5fca61cceb6be7f911e"}%#

然后，然后这个生成token 的接口就好了。目前还有一个问题，用户就是生成一个 token 例如 A ，然后用户再也不来请求这个接口生成 token ，那么这个用户的 token A 也会一直生效且不会被更新，那么要需要结合 token 验证函数，来强制删除用户过期的 token 。

2 、自定义 token 验证，强制删除过期的 token ，顺便缓存下没有过期的 token

首先在setting.py 文件新增全局认证类 api.authentication.ExpiringTokenAuthentication 替换默认的rest_framework.authentication.TokenAuthentication

#

REST_FRAMEWORK = {

’DEFAULT_AUTHENTICATION_CLASSES’: [

’rest_framework.authentication.BasicAuthentication’,

#’rest_framework.authentication.TokenAuthentication’,  #enable Token authentication

’api.authentication.ExpiringTokenAuthentication’

],

’PAGE_SIZE’: 10,

}#

新建authentication.py 文件，改文件在 api 这个目录下面。

# #coding=utf8 import datetime from django.utils.timezone  import utc from django.conf import settings fromrest_framework.authentication  import TokenAuthentication from rest_framework import exceptions from django.utils.translation import ugettext_lazy  as _

 from django.core.cache  import cache

EXPIRE_MINUTES = getattr(settings, ’REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES’, 1)

 class  ExpiringTokenAuthentication(TokenAuthentication):

"""Set up token expired time"""

 def  authenticate_credentials(self, key):

# Search token in cache

cache_user = cache.get(key)

 if cache_user:

 return (cache_user, key)

model = self.get_model()

 try:

token = model.objects.select_related(’user’).get(key=key)

 except model.DoesNotExist:

 raise exceptions.AuthenticationFailed(_(’Invalid token.’))

 if  not token.user.is_active:

 raise exceptions.AuthenticationFailed(_(’User inactive or deleted.’))

utc_now = datetime.datetime.utcnow().replace(tzinfo=utc)

 if token.created < utc_now - datetime.timedelta(minutes=EXPIRE_MINUTES):

token.delete()

 raise exceptions.AuthenticationFailed(_(’Token has expired then delete.’))

 if token:

# Cache token

cache.set(key, token.user, EXPIRE_MINUTES * 60)

 return (token.user, token)#

来源： 小马