Django REST Framework Authentifizierungsklassen

Snippet

Django REST Framework Authentifizierungsklassen

Eigene Authentifizierungsklassen in Django REST Framework ermöglichen die Implementierung beliebiger Authentifizierungsmechanismen durch Erweiterung von BaseAuthentication. Dieses Beispiel implementiert HMAC-basierte Authentifizierung mit Zeitstempelvalidierung zur Verhinderung von Replay-Angriffen. Die authenticate()-Methode gibt entweder None (ermöglicht anderen Authentifikatoren) oder ein Tuple von (user, auth) zurück, das DRF verwendet um request.user zu setzen.

snippet.py
python
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from django.contrib.auth.models import User
import hmac
 
class HMACAuthentication(BaseAuthentication):
    def authenticate(self, request):
        signature = request.META.get('HTTP_X_SIGNATURE')
        timestamp = request.META.get('HTTP_X_TIMESTAMP')
        
        if not signature or not timestamp:
            return None
        
        if not self.is_valid_timestamp(timestamp):
            raise AuthenticationFailed('Request expired')
        
        secret = self.get_user_secret(request)
        expected = hmac.new(
            secret.encode(),
            timestamp.encode(),
            hashlib.sha256
        ).hexdigest()
        
        if not hmac.compare_digest(signature, expected):
            raise AuthenticationFailed('Invalid signature')
        
        user = self.get_user_from_request(request)
        return (user, None)
 
    def is_valid_timestamp(self, timestamp):
        import time
        return abs(time.time() - float(timestamp)) < 300
 
    def get_user_secret(self, request):
        api_key = request.META.get('HTTP_X_API_KEY', '')
        return f'secret_{api_key}'
 
    def get_user_from_request(self, request):
        return User.objects.get(username='api_user')

django

Erklärung

class HMACAuthentication(BaseAuthentication):

Erweitere BaseAuthentication um eine eigene Authentifizierungsmethode zu erstellen

if not signature or not timestamp: return None

Gib None zurück wenn Anmeldedaten fehlen, DRF versucht dann nächsten Authentifikator

raise AuthenticationFailed('Request expired')

Werfe Exception bei Validierungsfehler um Anfrage sofort abzulehnen

hmac.compare_digest(signature, expected)

Verwende konstantzeitigen Vergleich um Timing-Angriffe zu verhindern

return (user, None)

Gib Tuple zurück: Benutzerobjekt und Authentifizierungsinfo (hier None)

Vorheriges Snippet Nächstes Snippet

Mehr Python-Übungen für Fortgeschrittene →

Verwandt

Aus deiner Bibliothek