带有 Knox 代币的 DRF 的 Djoser

Question

我正在尝试使用 djoser 进行令牌身份验证，但使用 django-rest-knox 令牌。

我已将TOKEN_MODEL 设置为knox.models.AuthToken，并将其余框架的DEFAULT_AUTHENTICATION_CLASSES 设置为knox.auth.TokenAuthentication。

我天真地认为这已经足够了，但 Djoser 的内置序列化程序（创建令牌和令牌）似乎无法与 knox 令牌一起正常工作。我尝试用自定义序列化程序覆盖它们，但我没有得到任何结果（这并不是说不可能，只是我不擅长这个）。

我突然想到，也许我应该尝试使用 Knox 自己的登录视图……这可能吗，或者它们不能像那样混合吗？ （我问主要是因为我不想让它“工作”，但发现我实际上在这样做时引入了一个安全漏洞）。

设置：

DJOSER = {
    "TOKEN_MODEL": "knox.models.AuthToken",
    "SERIALIZERS": {"token": "users.serializers.TokenSerializer"},
}

users.serializers.TokenSerializer 在哪里：

class TokenSerializer(serializers.ModelSerializer):
    auth_token = serializers.CharField(source="token_key")

    class Meta:
        model = settings.TOKEN_MODEL
        fields = ("auth_token",)

这只是从原始的 Djoser TokenSerializer 稍微修改。 AuthToken 对象没有key 属性会引发错误。诺克斯代币似乎将其称为token_key，所以我替换了以下行： auth_token = serializers.CharField(source="key") 与 auth_token = serializers.CharField(source="token_key")

现在，它不会引发错误，但会返回一个空标记。检查实际数据库显示它已保存具有正确用户和创建时间的令牌，但摘要、盐和令牌密钥为“空”

Answer 1

是的，可以混合Djoser 和knox 的附加视点。为此，我们将创建一个应用程序名称auth，我们将从那里为所有与身份验证相关的端点提供服务。现在我们的项目结构是这样的

MainProject
   -auth
      --__init__.py
      --urls.py
    -mainapp
    ....

现在，在我们的auth 应用程序的网址中，我们将提供必要的端点以进行身份​​验证。为此，我们将从Djoser 的网址link 和Knox 的网址link 获得帮助 我们的 auth 的 urls.py 会像下面这样

from django.conf.urls import url, include
from django.contrib.auth import get_user_model

from djoser import views as djsoer_views
from knox import views as knox_views

from rest_framework.routers import DefaultRouter

router = DefaultRouter()
router.register('users', djsoer_views.UserViewSet)

User = get_user_model()

djoser_urlpatterns = [
    url(
        r'^users/create/?$',
        djsoer_views.UserCreateView.as_view(),
        name='user-create'
    ),
    url(
        r'^users/delete/?$',
        djsoer_views.UserDeleteView.as_view(),
        name='user-delete'
    ),
    url(
        r'^users/activate/?$',
        djsoer_views.ActivationView.as_view(),
        name='user-activate'
    ),
    url(
        r'^{0}/?$'.format(User.USERNAME_FIELD),
        djsoer_views.SetUsernameView.as_view(),
        name='set_username'
    ),
    url(r'^password/?$', djsoer_views.SetPasswordView.as_view(), name='set_password'),
    url(
        r'^password/reset/?$',
        djsoer_views.PasswordResetView.as_view(),
        name='password_reset'
    ),
    url(
        r'^password/reset/confirm/?$',
        djsoer_views.PasswordResetConfirmView.as_view(),
        name='password_reset_confirm'
    ),
    url(r'^$', djsoer_views.RootView.as_view(), name='root'),
    url(r'^', include(router.urls)),   ### If you want to add user view set
]

knox_urlpatterns = [
    url(r'login/', knox_views.LoginView.as_view(), name='knox_login'),
    url(r'logout/', knox_views.LogoutView.as_view(), name='knox_logout'),
    url(r'logoutall/', knox_views.LogoutAllView.as_view(), name='knox_logoutall'),
]

urlpatterns = knox_urlpatterns + djoser_urlpatterns

现在我们要在 main_app 的 url 下添加这个 url

from django.urls import path
from django.conf import settings
auth_urls = include('auth.urls')

urlpatterns = [
    path('api/auth/', auth_urls),
    ......

]

现在我们将能够访问每个端点，例如以api/auth/login/ 登录或以api/auth/user/create/ 身份创建用户等。

我可以看到 djoser 默认添加了一些额外的 UserViewset 端点，大多数情况下你可能不喜欢这样，你应该包括你真正需要的东西。