手把手教你使用SessionAuthentication()保护DjangoRestFramework的API

下面是关于如何使用SessionAuthentication()保护Django Rest Framework的API的步骤，以及一个带有示例代码的说明。

Step 1: 添加SessionAuthentication到Django Rest Framework的配置中

在Django的settings.py文件中，打开REST_FRAMEWORK的配置，增加SessionAuthentication到DEFAULT_AUTHENTICATION_CLASSES列表中。如下所示：

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.SessionAuthentication',
    ],
    ...
}

这样会将SessionAuthentication添加到API视图的默认身份验证类中。

Step 2：确保Django的SESSION_ENGINE设置正确

在Django的settings.py文件中，查看SESSION_ENGINE的设置是否正确。默认情况下，应该设置为'django.contrib.sessions.backends.db'。检查它是否如下所示：

SESSION_ENGINE = 'django.contrib.sessions.backends.db'

Step 3：保护API视图

在你的API视图中，添加rest_framework.decorators.authentication_classes装饰器，并将SessionAuthentication作为参数传递给它。如下所示：

from rest_framework.authentication import SessionAuthentication
from rest_framework.decorators import api_view, authentication_classes

@api_view(['GET'])
@authentication_classes([SessionAuthentication])
def example_view(request):
    # your code here
    return Response("Hello, World!")

在上面的示例中，我们添加了@api_view装饰器来指示该视图函数是一个DRF的APIView。我们还使用@authentication_classes装饰器将SessionAuthentication作为参数传递给它。

Step 4：启用用户会话控制

确保在Django的settings.py文件中启用了用户会话。找到MIDDLEWARE_CLASSES配置项并添加以下行：

MIDDLEWARE_CLASSES = [
    ...
    'django.contrib.sessions.middleware.SessionMiddleware',
    ...
]

Step 5：测试保护的API视图

现在你可以测试受保护的API视图。使用一个Web浏览器或curl来发送GET请求到example_view视图。需要注意的是，如果你使用的是Web浏览器，你需要先登录到你的Django应用程序。

例如，在浏览器中访问http://localhost:8000/api/example/ （假设你的API视图的URL模式是/api/example/），它应该返回"Hello, World!"的响应。如果你不进行身份验证，它将返回401（未经授权）的响应。

这样，你就成功地使用SessionAuthentication保护了Django Rest Framework的API。用户需要在浏览器中登录到应用程序才能访问受保护的API视图。