django-rest-framework - 使用 Knox 代币的 DRF Djoser

Question

我正在尝试将 djoser 与 token 身份验证一起使用，但使用的是 django-rest-knox token 。

我已将 TOKEN_MODEL 设置为 knox.models.AuthToken，并将其余框架的 DEFAULT_AUTHENTICATION_CLASSES 设置为 knox.auth.TokenAuthentication 。

我天真地认为这就足够了，但 Djoser 的内置序列化器(创建 token 和 token )似乎无法与 knox token 一起正常工作。我尝试用自定义序列化器覆盖它们，但我没有得到任何结果(这并不是说这是不可能的，只是我不擅长这个)。

我突然想到，也许我应该尝试使用 Knox 自己的登录 View ……这可能吗，或者它们不能那样混合使用吗？ (我问的主要是因为我不想让它“工作”，但发现这样做实际上引入了一个安全漏洞)。

设置:

DJOSER = {
    "TOKEN_MODEL": "knox.models.AuthToken",
    "SERIALIZERS": {"token": "users.serializers.TokenSerializer"},
}

users.serializers.TokenSerializer 在哪里:

class TokenSerializer(serializers.ModelSerializer):
    auth_token = serializers.CharField(source="token_key")

    class Meta:
        model = settings.TOKEN_MODEL
        fields = ("auth_token",)

这仅对原始 Djoser TokenSerializer 稍作修改。它抛出了 AuthToken 对象没有 key 属性的错误。 Knox token 似乎将其称为 token_key，因此我替换了以下行:auth_token = serializers.CharField(source="key") 与 auth_token = serializers.CharField(source="token_key")

现在，它不会抛出错误，但会返回一个空标记。检查实际的数据库表明它已经保存了一个具有正确用户和创建时间的 token ，但摘要、salt 和 token_key 为“null”

Answer 1

是的，可以混合 Djoser 和 knox 的附加观点。为此，我们将创建一个名为 auth 的应用程序，我们将从中为所有与身份验证相关的端点提供服务。现在我们的项目结构是这样的

MainProject
   -auth
      --__init__.py
      --urls.py
    -mainapp
    ....

现在，在我们的 auth 应用程序的 url 中，我们将为身份验证提供必要的端点。为此，我们将从 Djoser 的 urls link 中寻求帮助。和 Knox 的网址 link我们的 auth 的 urls.py 将如下所示

from django.conf.urls import url, include
from django.contrib.auth import get_user_model

from djoser import views as djsoer_views
from knox import views as knox_views

from rest_framework.routers import DefaultRouter

router = DefaultRouter()
router.register('users', djsoer_views.UserViewSet)

User = get_user_model()

djoser_urlpatterns = [
    url(
        r'^users/create/?$',
        djsoer_views.UserCreateView.as_view(),
        name='user-create'
    ),
    url(
        r'^users/delete/?$',
        djsoer_views.UserDeleteView.as_view(),
        name='user-delete'
    ),
    url(
        r'^users/activate/?$',
        djsoer_views.ActivationView.as_view(),
        name='user-activate'
    ),
    url(
        r'^{0}/?$'.format(User.USERNAME_FIELD),
        djsoer_views.SetUsernameView.as_view(),
        name='set_username'
    ),
    url(r'^password/?$', djsoer_views.SetPasswordView.as_view(), name='set_password'),
    url(
        r'^password/reset/?$',
        djsoer_views.PasswordResetView.as_view(),
        name='password_reset'
    ),
    url(
        r'^password/reset/confirm/?$',
        djsoer_views.PasswordResetConfirmView.as_view(),
        name='password_reset_confirm'
    ),
    url(r'^$', djsoer_views.RootView.as_view(), name='root'),
    url(r'^', include(router.urls)),   ### If you want to add user view set
]

knox_urlpatterns = [
    url(r'login/', knox_views.LoginView.as_view(), name='knox_login'),
    url(r'logout/', knox_views.LogoutView.as_view(), name='knox_logout'),
    url(r'logoutall/', knox_views.LogoutAllView.as_view(), name='knox_logoutall'),
]

urlpatterns = knox_urlpatterns + djoser_urlpatterns

现在我们要在我们的 main_app 的 url 下添加这个 url

from django.urls import path
from django.conf import settings
auth_urls = include('auth.urls')

urlpatterns = [
    path('api/auth/', auth_urls),
    ......

]

现在我们将能够访问每个端点，例如登录 api/auth/login/ 或用户创建 api/auth/user/create/ 等等

我可以看到 djoser 默认添加一些额外的 UserViewset 端点，大多数情况下你可能不喜欢这样，你应该包括你真正需要的东西。