Djoser for DRF与Knox令牌

Question

我尝试将djoser与令牌身份验证结合使用，但使用的是django-rest-knox令牌。

我已经将TOKEN_MODEL设置为knox.models.AuthToken，并将rest框架的DEFAULT_AUTHENTICATION_CLASSES设置为knox.auth.TokenAuthentication。

我天真地认为这就足够了，但似乎Djoser的内置序列化程序(创建令牌和令牌)不能与knox令牌一起正常工作。我试着用定制的序列化程序覆盖它们，但没有取得任何进展(这并不是说这是不可能的，只是我不擅长这一点)。

我突然想到，也许我应该尝试使用Knox自己的登录视图……这是可能的吗，或者它们不能像那样混合在一起？(我问这个问题主要是因为我不想让它“工作”，但我发现这样做实际上引入了一个安全漏洞)。

设置：

DJOSER = {
    "TOKEN_MODEL": "knox.models.AuthToken",
    "SERIALIZERS": {"token": "users.serializers.TokenSerializer"},
}

其中，users.serializers.TokenSerializer是：

class TokenSerializer(serializers.ModelSerializer):
    auth_token = serializers.CharField(source="token_key")

    class Meta:
        model = settings.TOKEN_MODEL
        fields = ("auth_token",)

这只是对原始的Djoser TokenSerializer稍作修改。如果AuthToken对象没有key属性，则会抛出错误。Knox令牌似乎将其称为token_key，所以我将行：auth_token = serializers.CharField(source="key")替换为auth_token = serializers.CharField(source="token_key")

现在，它不会抛出错误，但会返回一个空令牌。检查实际的数据库会发现，它已经用正确的用户和创建时间保存了一个令牌，但摘要、盐和token_key的值为'null‘

Answer 1

是的，可以将Djoser的视点和knox的视点混合在一起。为此，我们将创建一个名为auth的应用程序，我们将在该应用程序中为所有与身份验证相关的端点提供服务。

MainProject
   -auth
      --__init__.py
      --urls.py
    -mainapp
    ....

现在，在我们的auth应用程序的urls中，我们将为身份验证提供必要的端点。为此，我们将从Djoser的urls link和Knox的urls link中获得帮助，我们的作者的urls.py将如下所示

from django.conf.urls import url, include
from django.contrib.auth import get_user_model

from djoser import views as djsoer_views
from knox import views as knox_views

from rest_framework.routers import DefaultRouter

router = DefaultRouter()
router.register('users', djsoer_views.UserViewSet)

User = get_user_model()

djoser_urlpatterns = [
    url(
        r'^users/create/?$',
        djsoer_views.UserCreateView.as_view(),
        name='user-create'
    ),
    url(
        r'^users/delete/?$',
        djsoer_views.UserDeleteView.as_view(),
        name='user-delete'
    ),
    url(
        r'^users/activate/?$',
        djsoer_views.ActivationView.as_view(),
        name='user-activate'
    ),
    url(
        r'^{0}/?$'.format(User.USERNAME_FIELD),
        djsoer_views.SetUsernameView.as_view(),
        name='set_username'
    ),
    url(r'^password/?$', djsoer_views.SetPasswordView.as_view(), name='set_password'),
    url(
        r'^password/reset/?$',
        djsoer_views.PasswordResetView.as_view(),
        name='password_reset'
    ),
    url(
        r'^password/reset/confirm/?$',
        djsoer_views.PasswordResetConfirmView.as_view(),
        name='password_reset_confirm'
    ),
    url(r'^$', djsoer_views.RootView.as_view(), name='root'),
    url(r'^', include(router.urls)),   ### If you want to add user view set
]

knox_urlpatterns = [
    url(r'login/', knox_views.LoginView.as_view(), name='knox_login'),
    url(r'logout/', knox_views.LogoutView.as_view(), name='knox_logout'),
    url(r'logoutall/', knox_views.LogoutAllView.as_view(), name='knox_logoutall'),
]

urlpatterns = knox_urlpatterns + djoser_urlpatterns

现在我们将把这个urls添加到main_app的urls下

from django.urls import path
from django.conf import settings
auth_urls = include('auth.urls')

urlpatterns = [
    path('api/auth/', auth_urls),
    ......

]

现在，我们将能够访问每个端点，如以api/auth/login/登录或以api/auth/user/create/登录用户创建等。

我能看到的是，djoser在默认情况下添加了一些额外的UserViewset端点，大多数情况下你可能不喜欢这样，你应该包括你真正需要的东西。