Django REST 框架中的用户身份验证

Question

我有一个 Django REST 后端，它有一个 /users 端点，我可以通过前端的 POST 方法添加新用户。

/users端点网址：

http://192.168.201.211:8024/users/

在这个端点我可以查看所有用户信息并添加新用户，所以我必须避免除管理员之外的其他人进入它。我创建了一个超级用户admin，密码为admin123python manage.py createsuperuser。

我的问题是，如果我想从前端执行 HTTP POST（我使用 Angular），我必须传递管理员的用户名和密码 admin 和 admin123，以及 POST 头部信息.所以我让其他人知道查看前端源代码的用户名和密码。

有没有其他方法可以做到这一点Authentication 而不会将管理员的用户名和密码暴露给其他人？

Answer 1

您需要创建一个处理用户创建的 API。这就是我们创建后端的原因。用户将向 API 发送他们的凭据，API 将使用管理员凭据和发布请求将用户添加到数据库中。 API 的代码将不可见。根据您的需要，auth0 可能是一个很好的解决方案，可以为您节省用户注册和登录的时间。如果您自己注册并登录，请务必对密码进行哈希处理并确保它们是通过 SSL 发送的。如果您想专注于项目的其他部分，像 auth0 这样的服务将为您处理所有这些。

Answer 2

token auth 可能是您需要的，我使用令牌身份验证作为 DRF 作为后端，使用角度作为前端

Answer 3

终于找到了解决这个问题的方法。

这里有一个非常优雅的方法，在我的 UserViewSet 中重写get_queryset 函数：

class UserViewSet(viewsets.ModelViewSet):

    # permission_classes = (permissions.IsAdminUser, )
    permission_classes = (permissions.AllowAny, )  # <-- change 1
    # queryset = User.objects.all()  # <-- change 2
    serializer_class = UserSerializer

    def get_queryset(self):
        queryset = User.objects.filter(id=self.request.user.id)
        if self.request.user.is_superuser:
            queryset = User.objects.all()
        return queryset

在更改 1 中，权限允许任何人访问，因此新用户无需任何身份验证即可执行 POST。

在更改 2 中，我只在用户是超级用户时返回所有用户，就像重写 get_queryset 完成一样。

还需要更改urls.py 文件来为这个url 添加base_name，如下所示：

router.register(r'users', UserViewSet, base_name='user')

参考，https://stackoverflow.com/a/22767325/2803344