匿名用户在使用 simplejwt 访问 rest-api 时遇到

Question

我能够使用 SimpleJWT 获取访问和刷新令牌。我有一个自定义装饰器，它试图从用户配置文件中识别用户类型。代码在这里失败，因为它找不到经过身份验证的用户。

我多次尝试在 VS Code 中通过调试模式获取用户，但没有成功。

这是我的 settings.py

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'rest_framework',
    'rest_framework.authtoken', # Add this line
    'rest_auth',                # Add this line
    'django.contrib.sites',
    'allauth',
    'allauth.account',
    'allauth.socialaccount', # we will not be using this but not keeping this entry results in error while deleting user. A known issue https://github.com/Tivix/django-rest-auth/issues/412
    'crispy_forms',

    'users',
]

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

AUTH_USER_MODEL = 'users.User'

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    ),
    'DEFAULT_AUTHENTICATION_CLASSES': (
        #'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework_simplejwt.authentication.JWTAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}

REST_USE_JWT = True

'''
#https://www.techiediaries.com/django-rest-framework-jwt-tutorial/
JWT_AUTH = { 
    'JWT_ALLOW_REFRESH': True,
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'custom_jwt.jwt_response_payload_handler',
  # 'JWT_PAYLOAD_HANDLER': 'custom_jwt.jwt_payload_handler',
  # 'JWT_AUTH_HEADER_PREFIX': 'Bearer',
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300)
}
'''

SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
    'ROTATE_REFRESH_TOKENS': False,
    'BLACKLIST_AFTER_ROTATION': True,

    'ALGORITHM': 'HS256',
    'SIGNING_KEY': SECRET_KEY,
    'VERIFYING_KEY': None,

    'AUTH_HEADER_TYPES': ('Bearer',),
    'USER_ID_FIELD': 'id',
    'USER_ID_CLAIM': 'user_id',

    'AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),
    'TOKEN_TYPE_CLAIM': 'token_type',

    'JTI_CLAIM': 'jti',

    'SLIDING_TOKEN_REFRESH_EXP_CLAIM': 'refresh_exp',
    'SLIDING_TOKEN_LIFETIME': timedelta(minutes=5),
    'SLIDING_TOKEN_REFRESH_LIFETIME': timedelta(days=1),
}

EMAIL_BACKEND = 'django.core.mail.backends.console.EmailBackend'

SITE_ID = 1

这是用户模型

from django.db import models
from django.contrib.auth.models import AbstractUser
from django.utils.translation import ugettext_lazy as _
from django.conf import settings

class User(AbstractUser):



    username = models.CharField(max_length=100,blank=True, null=True)
    email = models.EmailField(_('email address'), unique=True)

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = ['username', 'first_name', 'last_name']

    def __str__(self):
        return "{}".format(self.email)

class UserProfile(models.Model):
    USER_TYPE_CHOICES = (
        (1, 'ADM'),
        (2, 'GEM'),
        (3, 'JET'),
        (4, 'CAT'),
        (5, 'SPR'),
        )
    user = models.OneToOneField(settings.AUTH_USER_MODEL, on_delete=models.CASCADE, related_name='profile')
    title = models.CharField(max_length=5)
    dob = models.DateField()
    address = models.CharField(max_length=255)
    country = models.CharField(max_length=50)
    city = models.CharField(max_length=50)
    zip = models.CharField(max_length=5)
    photo = models.ImageField(upload_to='uploads', blank=True)
    user_type = models.PositiveSmallIntegerField(choices=USER_TYPE_CHOICES,default=1,unique=False)

这是我要访问的视图

@method_decorator(user_is_ADM,name='dispatch')
class HelloView(APIView):

    permission_classes = (IsAuthenticated,)

    def get(self, request):
        content = {'message': 'Hello, World!'}
        return Response(content)

这是令人烦恼的自定义装饰器

def user_is_ADM(fun_c):
    @wraps(fun_c)
    def wrapped(request, *args, **kwargs):


        if request.user.profile.user_type == 1: <---throws error here
            return fun_c(request, *args, **kwargs)
        else:
            raise PermissionDenied
    return wrapped

我可以使用 http://127.0.0.1:8000/api/token/ 从 simplejwt 获取访问/刷新令牌对，并提供用户名和密码。但是当我尝试使用http://127.0.0.1:8000/core/hello/（核心是应用程序名称）和accesstoken（当然，使用授权：Bearer......）访问HelloView时，装饰器出现了。现在这个装饰器需要 request.user 来验证用户是否是'GEM'。问题是没有用户登录，因此系统给我的错误是“匿名”用户没有属性“个人资料”。即使，我作为先决条件登录，也会面临同样的错误。我是 Django 新手。

如何解决？任何替代建议？

Answer 1

经过大量的努力（这对像我这样的初学者来说很好）、调试、反复试验，我学到了很多东西并自己解决了。我在 VS 代码调试工具的帮助下得到了解决方案，我建议所有新手都习惯这一点。

这里是解决方案。 - 我使用

导入了 UserProfile 模型

from users.models import UserProfile

然后修改装饰器如下：

def user_is_ADM(fun_c):
    @wraps(fun_c)
    def wrapped(request, *args, **kwargs):
        # 1 = ADM
        #u = UserProfile.objects.get()
        #if(request.user and request.user.is_authenticated()): 
        if(request.user and request.user.is_authenticated) :   
            user_data = UserProfile.objects.get(user_id = request.user.id)
            u = user_data.user_type


            if  u == 1:
                return fun_c(request, *args, **kwargs)
            else:
                raise PermissionDenied
    return wrapped

验证

• 使用有效的用户名和密码调用 /api/token/。对于试用，用户类型 = 'ADM'
• 获得访问令牌。
• 然后postman用AccessToken调用helloWorld API（当然是用Authorization: Bearer 'access 令牌')
• 现在装饰器开始发挥作用，正如我特意为用户提供的那样，它得到了完美验证。
• 终于，我可以成功收到“hello world”消息了。

结论 - 我看过一些帖子，用户正在努力使用中间件进行身份验证。有人请验证我的方法。当然，@Naveen Jain 和 @dirkgroten 都值得称赞，因为他们热情地指导了我。忠于 Stackoverflow 和开发者兄弟会的精神。

感谢您的关注...