在drf中也给我们提供了 认证组件 ，帮助我们快速实现认证相关的功能，例如：

# models.pyfrom django.db import modelsclass UserInfo(models.Model):    username = models.CharField(verbose_name="用户名", max_length=32)    password = models.CharField(verbose_name="密码", max_length=64)    token = models.CharField(verbose_name="TOKEN", max_length=64, null=True, blank=True)

定义一个认证的类并继承BaseAuthentication

【资料图】

# -*- encoding:utf-8 -*-# @time: 2023/4/21 8:44# @author: ifengfrom rest_framework.authentication import BaseAuthenticationfrom rest_framework.exceptions import AuthenticationFailedfrom app01 import models# 用户认证class TokenAuthentication(BaseAuthentication):    def authenticate(self, request):        token = request.query_params.get("token")        if not token:            raise AuthenticationFailed({"code": 1002, "error": "认证失败"})        user_obj = models.UserInfo.objects.filter(token=token).first()        if not user_obj:            raise AuthenticationFailed({"code": 1001, "error": "认证失败"})        return user_obj, token    def authenticate_header(self, request):        return "Bearer realm="API""

from rest_framework.response import Responsefrom rest_framework.views import APIViewfrom .auth import TokenAuthentication  # 导入认证类from app01 import models# Create your views here.class UserView(APIView):    authentication_classes = [TokenAuthentication, ]  # token认证    def get(self, request, *args, **kwargs):        # 用户认证        print(request.user, request.auth)        return Response({"code": 0, "data": "嘻嘻嘻哈啊哈哈"})    def post(self, request, *args, **kwargs):        pass

接下来说说 “返回None” 是咋回事。

在视图类的 authentication_classes中定义认证类时，传入的是一个列表，支持定义多个认证类。

当出现多个认证类时，drf内部会按照列表的顺序，逐一执行认证类的 authenticate方法，如果 返回元组 或 抛出异常 则会终止后续认证类的执行；如果返回None，则意味着继续执行后续的认证类。

如果所有的认证类authenticate都返回了None，则默认 request.user="AnonymousUser" 和 request.auth=None，也可以通过修改配置文件来修改默认值。

REST_FRAMEWORK = { "UNAUTHENTICATED_USER": lambda: None, "UNAUTHENTICATED_TOKEN": lambda: None,}

应用场景:

当某个API，已认证 和 未认证 的用户都可以访问时，比如：

已认证用户，访问API返回该用户的视频播放记录列表。未认证用户，访问API返回最新的的视频列表。

注意：不同于之前的案例，之前案例是：必须认证成功后才能访问，而此案例则是已认证和未认证均可访问。

当项目中可能存在多种认证方式时，就可以写多个认证类。例如，项目认证支持：

class UserView(APIView):    authentication_classes = [TokenAuthentication, CookieAuthentication]  # token认证

在每个视图类的类变量 authentication_classes中可以定义，其实在配置文件中也可以进行全局配置，例如：

REST_FRAMEWORK = {    # 认证    "UNAUTHENTICATED_USER": lambda: None,  # 如果每一个认证最后都返回None. 就会调用到这个    "UNAUTHENTICATED_TOKEN": lambda: None,    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.auth.TokenAuthentication", ]}

序号为执行流程