使用Python和RESTFramework创建和管理Token身份验证

在使用Python和Django REST Framework（DRF）创建和管理Token身份验证之前，我们需要确保已经安装了DRF。可以使用以下命令安装DRF：

pip install djangorestframework

接下来，我们需要配置Django项目以使用DRF和Token身份验证。首先，将DRF添加到项目的INSTALLED_APPS设置中，打开settings.py文件并添加以下行：

INSTALLED_APPS = [
    ...
    'rest_framework',
]

然后，将DEFAULT_AUTHENTICATION_CLASSES设置为使用Token身份验证。在settings.py文件中，找到以下行：

REST_FRAMEWORK = {
    ...
    'DEFAULT_AUTHENTICATION_CLASSES': (
        ...
    ),
}

并将其更改为：

REST_FRAMEWORK = {
    ...
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.TokenAuthentication',
    ),
}

接下来，我们需要在urls.py文件中创建一个视图来处理Token身份验证。打开urls.py文件并添加以下行：

...
from rest_framework.authtoken.views import obtain_auth_token

urlpatterns = [
    ...
    path('api-token-auth/', obtain_auth_token, name='api_token_auth'),
]

现在我们已经配置了Django项目来使用DRF和Token身份验证，下面是一些使用Token身份验证的示例。

1. 创建Token：

为每个用户创建一个Token，并将其关联到他们的账户。可以使用以下代码在视图中创建一个Token：

   from rest_framework.authtoken.models import Token

   def create_token(request):
       user = request.user
       token, created = Token.objects.get_or_create(user=user)
       return Response({'token': token.key})
   

通过调用get_or_create()方法，我们可以检查该用户是否已经有一个Token，如果没有，就会创建一个。

2. 使用Token进行视图访问控制：

可以使用DRF的装饰器来限制只有具有有效Token的用户才能访问特定的视图。可以使用以下装饰器来实现：

   from rest_framework.decorators import api_view, permission_classes
   from rest_framework.permissions import IsAuthenticated

   @api_view(['GET'])
   @permission_classes([IsAuthenticated])
   def my_protected_view(request):
       return Response({'message': 'Authenticated user'})
   

在该示例中，我们使用IsAuthenticated权限类来限制只有具有有效Token的用户才能访问视图。

3. 使用Token进行身份验证：

用户可以在请求（例如将Token作为标头发送）中发送Token以进行身份验证。可以使用以下代码来获取Token并验证用户：

   from rest_framework.authentication import TokenAuthentication

   def token_auth(request):
       token = request.headers.get('Authorization')
       token = token.split(' ')[1]  # Remove 'Token ' prefix
       user = TokenAuthentication().authenticate_credentials(token)
       if user:
           return Response({'message': 'Authenticated'})
       else:
           return Response({'message': 'Not authenticated'})
   

在该示例中，我们从请求头中获取Token，并使用authenticate_credentials()方法验证Token并获取相关用户。

以上是使用Python和DRF创建和管理Token身份验证的简要示例。要实现更复杂的身份验证和授权逻辑，可以查阅DRF官方文档并使用DRF提供的其他身份验证类和装饰器。