Регистрация и авторизация пользователей в Django с помощью djoser и веб-токенов JSON | Статьи о Джанго | Все о фреймворке Джанго и его библиотеках

Api тесты

Почти готово. Мы напишем несколько тестов, чтобы убедиться, что наши конечные точки работают должным образом.

Apps.py

from django.apps import AppConfig


class AccountsConfig(AppConfig):
    name = 'accounts'
Custom permissions¶
To create custom permissions for a given model object, use the permissionsmodel Meta attribute.
Django oauth toolkit
Пакет Django OAuth Toolkit обеспечивает поддержку OAuth 2.0 и работает с Python 3.4 . Пакет поддерживается Evonove и использует превосходную OAuthLib. Пакет хорошо документирован, хорошо поддерживается и в настоящее время является нашим рекомендуемым пакетом для поддержки OAuth 2.0.
Django rest framework oauth
Пакет Django REST framework OAuth обеспечивает поддержку как OAuth1, так и OAuth2 для REST framework.
Этот пакет ранее был включен непосредственно в REST framework, но теперь поддерживается и поддерживается как сторонний пакет.
Django-rest-auth / dj-rest-auth
Эта библиотека предоставляет набор конечных точек REST API для регистрации, аутентификации (включая аутентификацию в социальных сетях), сброса пароля, получения и обновления сведений о пользователях и т. Д. Имея эти конечные точки API, ваши клиентские приложения, такие как AngularJS, iOS, Android и другие может независимо общаться с вашим серверным сайтом Django через REST API для управления пользователями.
На данный момент существует два форка этого проекта.
Django-rest-knox
Библиотека Django-rest-knox предоставляет модели и представления для обработки аутентификации на основе токенов более безопасным и расширяемым способом, чем встроенная схема TokenAuthentication – с учетом одностраничных приложений и мобильных клиентов.
Он предоставляет токены для каждого клиента и представления для их генерации, когда предоставляется какая-либо другая аутентификация (обычно базовая аутентификация), для удаления токена (обеспечивая принудительный выход из системы с сервера) и для удаления всех токенов (выходит из системы всех клиентов, в которые вошел пользователь).
 
Djoser
Библиотека Djoser предоставляет набор представлений для обработки основных действий, таких как регистрация, вход в систему, выход из системы, сброс пароля и активация учетной записи. Пакет работает с настраиваемой моделью пользователя и использует аутентификацию на основе токенов. Это готовая к использованию REST-реализация системы аутентификации Django.
Drfpasswordless
drfpasswordlessdrfpasswordless добавляет (Medium, Square Cash) поддержку без пароля к собственной схеме TokenAuthentication Django REST Framework. Пользователи входят в систему и регистрируются с помощью токена, отправленного в контактную точку, например, на адрес электронной почты или номер мобильного телефона.
Installation & configuration
Установите пакет с помощью pip. 
pip install djangorestframework-oauth
Подробнее о настройке и использовании см. документацию OAuth фреймворка Django REST для аутентификации и permissions.
Json web token аутентификация
JSON Web Token – это довольно новый стандарт, который можно использовать для аутентификации на основе токенов. В отличие от встроенной схемы TokenAuthentication, JWT Authentication не требует использования базы данных для проверки токена.
Login.html

 В шаблоне авторизации добавляется данный виджет. По тому же самому принципу можно добавлять виджет авторизации на любой странице в любом месте сайта.
 
Login_widget.html
 Напоминаю, что я использую
 django_bootstrap3
 на сайте, поэтому и шаблон будет с его использованием.
Settings.py
INSTALLED_APPS = [
    'accounts.apps.AccountsConfig',
]
Settings.py и apps.py
 Не забудьте зарегистрировать модуль авторизаций в настройках сайта.
Urls.py файлы
 Для того, чтобы подменить страницу авторизации, да и в целом использовать виджет авторизации, необходимо в файле urls.py вашего проекта добавить следующие шаблоны url.
Views.py

 А теперь перейдём к представлению, которое будет обрабатывать авторизацию, как со страницы авторизации, так и с люой другой страницы.
 
Аутентификация
Аутентификация должна быть подключаемой.
— Jacob Kaplan-Moss, “REST worst practices”
Аутентификация – механизм связывания входящего запроса с набором идентифицирующих учетных данных, таких как пользователь, от которого пришел запрос, или токен, которым он был подписан. Политики разрешений и регулирования могут затем использовать эти учетные данные, чтобы определить, следует ли разрешить запрос.
REST framework предоставляет ряд схем аутентификации из коробки, а также позволяет реализовать собственные схемы.
Аутентификация всегда выполняется в самом начале представления, до того, как произойдут проверки разрешений и регулирования, а также до того, как будет разрешено выполнение любого другого кода.
Аутентификация в веб-запросах¶
Django использует sessions и промежуточное ПО для подключения системы аутентификации к requestobjects.
Все виды аутентификации¶
Это список со всеми представлениями, которые предоставляет django.contrib.auth. Подробности реализации смотрите в Использование представлений.
Встроенные формы¶
Если вы не хотите использовать встроенные представления, но желаете избежать необходимости писать формы для этой функциональности, система аутентификации предоставляет несколько встроенных форм, расположенных в django.contrib.auth.forms:
Групи¶
django.contrib.auth.models.Group Модели – это общий способ категоризации пользователей, чтобы вы могли применять к ним разрешения или другие метки. Пользователь может принадлежать к любому количеству групп.
Пользователь в группе автоматически имеет разрешения, предоставленные этой группе. Например, если группа Siteeditors имеет разрешение can_edit_home_page, то любой пользователь в этой группе будет иметь это разрешение.
Данные аутентификации в шаблонах¶
Текущий зарегистрированный пользователь и его разрешения доступны в template context при использовании RequestContext.
Декоратор login_required¶
login_required(redirect_field_name=‘next’, login_url=None)[исходныйкод]¶
В качестве сокращения можно использовать удобный декоратор login_required():
login_required() делает следующее:
По умолчанию путь, на который пользователь должен быть перенаправлен после успешной аутентификации, хранится в параметре строки запроса под названием "next". Если вы предпочитаете использовать другое имя для этого параметра, login_required() принимает необязательный параметр redirect_field_name:
Обратите внимание, что если вы зададите значение redirect_field_name, то, скорее всего, вам также придется настроить шаблон входа в систему, так как контекстная переменная шаблона, хранящая путь перенаправления, будет использовать в качестве ключа значение redirect_field_name, а не "next" (по умолчанию).
login_required() также принимает необязательный параметр login_url. Пример:
Обратите внимание, что если вы не указываете параметр login_url, вам нужно убедиться, что параметр settings.LOGIN_URL и ваше представление входа правильно связаны. Например, используя значения по умолчанию, добавьте следующие строки в URLconf:
settings.LOGIN_URL также принимает имена функций представления и named URL patterns. Это позволяет вам свободно переназначать представление входа в URLconf без необходимости обновлять настройки.
Изменение паролей¶
Django не хранит необработанные (открытый текст) пароли в модели пользователя, а только хэш (см. documentation of how passwords are managed для полной информации). В связи с этим не пытайтесь манипулировать атрибутом password пользователя напрямую. Поэтому при создании пользователя используется вспомогательная функция.
Чтобы изменить пароль пользователя, у вас есть несколько вариантов: 
Использование представлений¶
Существуют различные методы реализации этих представлений в вашем проекте. Самый простой способ – включить предоставленный URLconf в django.contrib.auth.urls в ваш собственный URLconf, например:
Это будет включать следующие шаблоны URL:
Представления предоставляют имя URL для более удобного использования. Подробнее об использовании именованных шаблонов URL см. в the URL documentation. 
Если вы хотите получить больший контроль над своими URL-адресами, вы можете сослаться на определенное представление в URLconf:
Представления имеют необязательные аргументы, которые можно использовать для изменения поведения представления. Например, если вы хотите изменить имя шаблона, которое использует представление, вы можете указать аргумент template_name. Для этого в URLconf можно указать аргументы в виде ключевых слов, которые будут переданы представлению. Например:
Все представления являются class-based, что позволяет легко настраивать их с помощью подклассов. 
Используя команду django manage.py
Начиная с версии 3.6.4 можно сгенерировать токен пользователя с помощью следующей команды:
Эта команда вернет токен API для данного пользователя, создав его, если он не существует:
Если вы хотите перегенерировать токен (например, если он был взломан или случилась утечка), вы можете передать дополнительный параметр:
Используя сигналы
Если вы хотите, чтобы у каждого пользователя был автоматически сгенерированный токен, вы можете просто поймать сигнал пользователя post_save. 
Обратите внимание, что вам нужно убедиться, что вы поместили этот фрагмент кода в установленный модуль models.py или в другое место, которое будет импортировано Django при запуске.
Если вы уже создали несколько пользователей, вы можете сгенерировать токены для всех существующих пользователей следующим образом:
Как войти в систему пользователя¶
Если у вас есть аутентифицированный пользователь, которого вы хотите присоединить к текущей сессии – это делается с помощью функции login().
Конкретная конфигурация apache mod_wsgi
Обратите внимание, что при развертывании на Apache с использованием mod_wsgi заголовок авторизации не передается в приложение WSGI по умолчанию, поскольку предполагается, что аутентификация будет выполняться Apache, а не на уровне приложения.
Если вы выполняете развертывание в Apache и используете любую аутентификацию, не основанную на сеансе, вам необходимо явно настроить mod_wsgi для передачи требуемых заголовков в приложение. Это можно сделать, указав директиву WSGIPassAuthorization в соответствующем контексте и установив для нее значение ‘On’.
Кэширование разрешений¶
ModelBackend кэширует разрешения на объект пользователя после первого раза, когда они должны быть получены для проверки разрешений. Обычно это подходит для цикла запрос-ответ, поскольку разрешения обычно не проверяются сразу после их добавления (например, в админке).
Миксин permissionrequiredmixin¶
Чтобы применить проверку разрешений к class-based views, вы можете использовать PermissionRequiredMixin: 
classPermissionRequiredMixin¶
Этот миксин, как и декоратор permission_required, проверяет, имеет ли пользователь, обращающийся к представлению, все заданные разрешения. Вы должны указать разрешение (или итерацию разрешений) с помощью параметра permission_required:
Вы можете установить любой из параметров AccessMixin, чтобы настроить обработку неавторизованных пользователей.
Вы также можете переопределить эти методы:
get_permission_required()¶
Возвращает итерабель имен разрешений, используемых данным микшином. По умолчанию используется атрибут permission_required, при необходимости преобразуется в кортеж.
has_permission()¶
Возвращает булево значение, обозначающее, имеет ли текущий пользователь разрешение на выполнение декорированного представления. По умолчанию возвращается результат вызова has_perms() со списком разрешений, возвращаемым get_permission_required().
Модели прокси¶
Прокси-модели работают точно так же, как и конкретные модели. Разрешения создаются с использованием собственного типа содержимого прокси-модели. Прокси-модели не наследуют разрешения конкретной модели, которую они подклассифицируют:
Несанкционированные и запрещенные ответы
Когда неаутентифицированному запросу отказано в выполнении, могут быть подходящими два разных кода ошибки.
Обновить аутентифицированного пользователя
Через запрос PUT
Обработка авторизации в пользовательских бэкендах¶
Пользовательские бэкенды авторизации могут предоставлять свои собственные разрешения. 
Ограничение доступа для вошедших в систему пользователей, которые прошли тест¶
Чтобы ограничить доступ на основе определенных разрешений или какого-либо другого теста, вы сделаете практически то же самое, что описано в предыдущем разделе.
Ограничение доступа для вошедших в систему пользователей¶
Декоратор login_required¶
login_required(redirect_field_name=‘next’, login_url=None)[исходныйкод]¶
В качестве сокращения можно использовать удобный декоратор login_required():
login_required() делает следующее:
По умолчанию путь, на который пользователь должен быть перенаправлен после успешной аутентификации, хранится в параметре строки запроса под названием "next". Если вы предпочитаете использовать другое имя для этого параметра, login_required() принимает необязательный параметр redirect_field_name:
Обратите внимание, что если вы зададите значение redirect_field_name, то, скорее всего, вам также придется настроить шаблон входа в систему, так как контекстная переменная шаблона, хранящая путь перенаправления, будет использовать в качестве ключа значение redirect_field_name, а не "next" (по умолчанию).
login_required() также принимает необязательный параметр login_url. Пример:
Обратите внимание, что если вы не указываете параметр login_url, вам нужно убедиться, что параметр settings.LOGIN_URL и ваше представление входа правильно связаны. Например, используя значения по умолчанию, добавьте следующие строки в URLconf:
settings.LOGIN_URL также принимает имена функций представления и named URL patterns. Это позволяет вам свободно переназначать представление входа в URLconf без необходимости обновлять настройки.
Ограничение доступа для вошедших в систему пользователей, которые прошли тест¶
Чтобы ограничить доступ на основе определенных разрешений или какого-либо другого теста, вы сделаете практически то же самое, что описано в предыдущем разделе.
Вы можете запустить свой тест на request.user непосредственно в представлении. Например, это представление проверяет, есть ли у пользователя email в нужном домене, и если нет, перенаправляет на страницу входа:
user_passes_test(test_func, login_url=None, redirect_field_name=‘next’)[исходныйкод]¶
В качестве сокращения можно использовать удобный декоратор user_passes_test, который выполняет перенаправление, когда вызываемый объект возвращает False:
user_passes_test() принимает обязательный аргумент: вызываемый объект, который принимает объект User и возвращает True, если пользователю разрешено просматривать страницу. Обратите внимание, что user_passes_test() не проверяет автоматически, что User не является анонимным.
user_passes_test() принимает два необязательных аргумента:
login_url
Позволяет указать URL, на который будут перенаправлены пользователи, не прошедшие тест. Это может быть страница входа в систему и по умолчанию имеет значение settings.LOGIN_URL, если вы его не укажете.
redirect_field_name
То же самое, что и для login_required(). Установка значения None удаляет его из URL, что может понадобиться, если вы перенаправляете пользователей, не прошедших тест, на страницу без входа в систему, где нет «следующей страницы».
Например:
classUserPassesTestMixin¶
При использовании class-based views, вы можете использовать UserPassesTestMixin для этого.
test_func()¶
Вы должны переопределить метод test_func() класса, чтобы указать выполняемый тест. Кроме того, вы можете установить любой из параметров AccessMixin для настройки обработки неавторизованных пользователей:
get_test_func()¶
Вы также можете переопределить метод get_test_func(), чтобы миксин использовал для своих проверок функцию с другим именем (вместо test_func()).
Декоратор permission_required¶
permission_required(perm, login_url=None, raise_exception=False)[исходныйкод]¶
Это довольно распространенная задача – проверить, есть ли у пользователя определенное разрешение. По этой причине Django предоставляет ярлык для этого случая: декоратор permission_required().:
Как и в методе has_perm(), имена разрешений принимают форму "<applabel>.<permissioncodename>" (например, polls.add_choice для разрешения на модель в приложении polls).
Декоратор также может принимать итерацию разрешений, в этом случае пользователь должен иметь все разрешения, чтобы получить доступ к представлению.
Обратите внимание, что permission_required() также принимает необязательный параметр login_url:
Как и в декораторе login_required(), login_url по умолчанию равен settings.LOGIN_URL.
Если задан параметр raise_exception, декоратор поднимет PermissionDenied, предлагая the 403 (HTTP Forbidden) view вместо перенаправления на страницу входа.
Если вы хотите использовать raise_exception, но при этом дать пользователям возможность сначала войти в систему, вы можете добавить декоратор login_required():
Это также позволяет избежать цикла перенаправления, когда LoginView становится redirect_authenticated_user=True, а у вошедшего пользователя нет всех необходимых прав.
Миксин PermissionRequiredMixin¶
Чтобы применить проверку разрешений к class-based views, вы можете использовать PermissionRequiredMixin:
classPermissionRequiredMixin¶
Этот миксин, как и декоратор permission_required, проверяет, имеет ли пользователь, обращающийся к представлению, все заданные разрешения. Вы должны указать разрешение (или итерацию разрешений) с помощью параметра permission_required:
Вы можете установить любой из параметров AccessMixin, чтобы настроить обработку неавторизованных пользователей.
Вы также можете переопределить эти методы:
get_permission_required()¶
Возвращает итерабель имен разрешений, используемых данным микшином. По умолчанию используется атрибут permission_required, при необходимости преобразуется в кортеж.
has_permission()¶
Возвращает булево значение, обозначающее, имеет ли текущий пользователь разрешение на выполнение декорированного представления. По умолчанию возвращается результат вызова has_perms() со списком разрешений, возвращаемым get_permission_required().
Открывая эндпоинт api
При использовании TokenAuthentication вы можете захотеть предоставить клиентам механизм для получения токена с учетом имени пользователя и пароля. REST framework предоставляет встроенное представление для обеспечения такого поведения. Чтобы использовать его, добавьте представление obtain_auth_token в ваш URLconf:
Обратите внимание, что часть URL-адреса шаблона может быть любой, которую вы хотите использовать.
Получить все профили пользователей
Это будет через запрос GET. 
Пользовательские пользователи и разрешения¶
Чтобы упростить включение структуры разрешений Django в ваш собственный класс пользователя, Django предоставляет PermissionsMixin. Это абстрактная модель, которую вы можете включить в иерархию классов для вашей модели пользователя, предоставляя вам все методы и поля базы данных, необходимые для поддержки модели разрешений Django.
PermissionsMixin предоставляет следующие методы и атрибуты:
Права доступа
Разрешения определяют, должен ли запросу быть предоставлен или запрещен доступ. Django rest framework поставляется с несколькими. Я не буду вдаваться в подробности, поскольку их документация достаточно обширна. Однако давайте обратим наше внимание на класс разрешений IsOwnerProfileOrReadOnly.
Это реализация пользовательских разрешений. Мы инициализируем файл license.py и наполняем его следующим кодом:
Представления api
Для доступа к данным в API мы используем конечные точки. Это в основном URL-маршруты. Как работает django, так это то, что каждый URL связан с контроллером, называемым представлением. Контроллеры могут быть на основе классов или функций.
После того, как маршрутизация определила, какой контроллер использовать для запроса, ваш контроллер отвечает за понимание запроса и соответствующий вывод.
Одной из реализаций этого контроллера в инфраструктуре отдыха являются общие представления. Они были разработаны как ярлык для общих моделей использования. Они берут определенные общие идиомы и шаблоны, найденные при разработке представления, и абстрагируют их, чтобы вы могли быстро написать общие представления данных без необходимости повторяться.
Некоторыми из этих представлений являются CreateAPIView, ListAPIView, ListCreateAPIView, RetrieveUpdateDestroyAPIView, и этот список можно продолжить.
Мы реализуем ListCreateAPIView и RetrieveUpdateDestroyAPIView.
Представления аутентификации¶
Django предоставляет несколько представлений, которые вы можете использовать для обработки входа, выхода и управления паролями. В них используется stock auth forms, но вы можете передавать и свои собственные формы.
Django не предоставляет шаблонов по умолчанию для представлений аутентификации. Вы должны создать свои собственные шаблоны для представлений, которые вы хотите использовать. Контекст шаблона документирован в каждом представлении, см. Все виды аутентификации.
Использование представлений¶
Существуют различные методы реализации этих представлений в вашем проекте. Самый простой способ – включить предоставленный URLconf в django.contrib.auth.urls в ваш собственный URLconf, например:
Это будет включать следующие шаблоны URL:
Представления предоставляют имя URL для более удобного использования. Подробнее об использовании именованных шаблонов URL см. в the URL documentation.
Если вы хотите получить больший контроль над своими URL-адресами, вы можете сослаться на определенное представление в URLconf:
Представления имеют необязательные аргументы, которые можно использовать для изменения поведения представления. Например, если вы хотите изменить имя шаблона, которое использует представление, вы можете указать аргумент template_name. Для этого в URLconf можно указать аргументы в виде ключевых слов, которые будут переданы представлению. Например:
Все представления являются class-based, что позволяет легко настраивать их с помощью подклассов.
Все виды аутентификации¶
Это список со всеми представлениями, которые предоставляет django.contrib.auth. Подробности реализации смотрите в Использование представлений.
classLoginView¶
Имя URL:login
Подробнее об использовании именованных шаблонов URL см. в разделе the URL documentation.
Методы и атрибуты
template_name¶
Имя шаблона, отображаемого для представления, используемого для входа пользователя в систему. По умолчанию имеет значение registration/login.html.
next_page¶
URL для перенаправления после входа в систему. По умолчанию LOGIN_REDIRECT_URL.
redirect_field_name¶
Имя поля GET, содержащего URL для перенаправления после входа в систему. По умолчанию используется next. Переопределяет URL get_default_redirect_url(), если передан заданный параметр GET.
authentication_form¶
Вызываемый объект (обычно класс формы), который будет использоваться для аутентификации. По умолчанию AuthenticationForm.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
redirect_authenticated_user¶
Булево значение, определяющее, будут ли аутентифицированные пользователи, зашедшие на страницу входа, перенаправлены так, как будто они только что успешно вошли в систему. По умолчанию имеет значение False.
success_url_allowed_hosts¶
set хостов, в дополнение к request.get_host(), которые безопасны для перенаправления после входа в систему. По умолчанию используется пустой set.
get_default_redirect_url()¶
Возвращает URL для перенаправления после входа в систему. Реализация по умолчанию разрешает и возвращает next_page, если установлен, или LOGIN_REDIRECT_URL в противном случае.
Вот что делает LoginView:
Вы обязаны предоставить html для шаблона входа в систему, который по умолчанию называется registration/login.html. Этому шаблону передаются четыре контекстные переменные шаблона:
Если вы предпочитаете не вызывать шаблон registration/login.html, вы можете передать параметр template_name через дополнительные аргументы методу as_view в вашем URLconf. Например, эта строка URLconf будет использовать myapp/login.html вместо:
Вы также можете указать имя поля GET, которое содержит URL-адрес для перенаправления на него после входа в систему с помощью redirect_field_name. По умолчанию поле называется next.
Вот пример шаблона registration/login.html, который вы можете использовать в качестве отправной точки. Он предполагает, что у вас есть шаблон base.html, определяющий блок content:
Если вы настроили аутентификацию (см. Customizing Authentication), вы можете использовать пользовательскую форму аутентификации, установив атрибут authentication_form. Эта форма должна принимать аргумент с ключевым словом request в своем методе __init__() и предоставлять метод get_user(), который возвращает объект аутентифицированного пользователя (этот метод вызывается только после успешной проверки формы).
classLogoutView¶
Выход пользователя из системы.
Имя URL:logout
Атрибуты:
next_page¶
URL для перенаправления после выхода из системы. По умолчанию LOGOUT_REDIRECT_URL.
template_name¶
Полное имя шаблона для отображения после выхода пользователя из системы. По умолчанию имеет значение registration/logged_out.html.
redirect_field_name¶
Имя поля GET, содержащего URL для перенаправления после выхода из системы. По умолчанию используется значение 'next'. Переопределяет URL next_page, если передан заданный параметр GET.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
success_url_allowed_hosts¶
set хостов, в дополнение к request.get_host(), которые безопасны для перенаправления после выхода из системы. По умолчанию используется пустое значение set.
Контекст шаблона:
logout_then_login(request, login_url=None)¶
Выводит пользователя из системы, а затем перенаправляет на страницу входа в систему.
Имя URL: URL по умолчанию не предоставляется
Дополнительные аргументы:
classPasswordChangeView¶
Имя URL:password_change
Позволяет пользователю изменить свой пароль.
Атрибуты:
success_url¶
URL для перенаправления после успешной смены пароля. По умолчанию 'password_change_done'.
form_class¶
Пользовательская форма «Смена пароля», которая должна принимать аргумент в виде ключевого слова user. Форма отвечает за фактическое изменение пароля пользователя. По умолчанию используется PasswordChangeForm.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
Контекст шаблона:
classPasswordChangeDoneView¶
Имя URL:password_change_done
Страница, отображаемая после того, как пользователь изменил свой пароль.
Атрибуты:
template_name¶
Полное имя шаблона для использования. По умолчанию registration/password_change_done.html, если не указано.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
classPasswordResetView¶
Имя URL:password_reset
Позволяет пользователю сбросить пароль путем генерации ссылки одноразового использования, которая может быть использована для сброса пароля, и отправки этой ссылки на зарегистрированный адрес электронной почты пользователя.
Если указанный адрес электронной почты не существует в системе, это представление не отправит письмо, но пользователь также не получит никакого сообщения об ошибке. Это предотвращает утечку информации к потенциальным злоумышленникам. Если вы хотите предоставить сообщение об ошибке в этом случае, вы можете подклассифицировать PasswordResetForm и использовать атрибут form_class.
Пользователям, отмеченным непригодным паролем (см. set_unusable_password()), не разрешается запрашивать сброс пароля, чтобы предотвратить злоупотребления при использовании внешнего источника аутентификации, например LDAP. Обратите внимание, что они не получат никакого сообщения об ошибке, поскольку это раскрыло бы существование их учетной записи, но и почта не будет отправлена.
Атрибуты:
template_name¶
Полное имя шаблона, который будет использоваться для отображения формы сброса пароля. По умолчанию имеет значение registration/password_reset_form.html, если не указано.
form_class¶
Форма, которая будет использоваться для получения email пользователя для сброса пароля. По умолчанию имеет значение PasswordResetForm.
email_template_name¶
Полное имя шаблона, который будет использоваться для создания письма со ссылкой на сброс пароля. По умолчанию имеет значение registration/password_reset_email.html, если не указано.
subject_template_name¶
Полное имя шаблона, который будет использоваться для темы письма со ссылкой на сброс пароля. По умолчанию имеет значение registration/password_reset_subject.txt, если не указано.
token_generator¶
Экземпляр класса для проверки одноразовой ссылки. По умолчанию это будет default_token_generator, это экземпляр django.contrib.auth.tokens.PasswordResetTokenGenerator.
success_url¶
URL для перенаправления после успешного запроса на сброс пароля. По умолчанию 'password_reset_done'.
from_email¶
Действительный адрес электронной почты. По умолчанию Django использует DEFAULT_FROM_EMAIL.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
html_email_template_name¶
Полное имя шаблона, используемого для генерации многокомпонентного письма text/html со ссылкой для сброса пароля. По умолчанию письмо в формате HTML не отправляется.
extra_email_context¶
Словарь контекстных данных, которые будут доступны в шаблоне письма. Его можно использовать для переопределения значений контекста шаблона по умолчанию, перечисленных ниже, например domain.
Контекст шаблона:
Контекст шаблона электронной почты:
Образец registration/password_reset_email.html (шаблон тела письма):
Тот же контекст шаблона используется для шаблона темы. Тема должна быть однострочной строкой обычного текста.
classPasswordResetDoneView¶
Имя URL:password_reset_done
Страница, отображаемая после того, как пользователь получил по электронной почте ссылку для сброса пароля. Это представление вызывается по умолчанию, если для PasswordResetView не задан явный URL success_url.
Атрибуты:
template_name¶
Полное имя шаблона для использования. По умолчанию registration/password_reset_done.html, если не указано.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
classPasswordResetConfirmView¶
Имя URL:password_reset_confirm
Представляет форму для ввода нового пароля.
Ключевые аргументы из URL:.
Атрибуты:
template_name¶
Полное имя шаблона для отображения представления подтверждения пароля. Значение по умолчанию – registration/password_reset_confirm.html.
token_generator¶
Экземпляр класса для проверки пароля. По умолчанию это будет default_token_generator, это экземпляр django.contrib.auth.tokens.PasswordResetTokenGenerator.
post_reset_login¶
Булево значение, указывающее, следует ли автоматически аутентифицировать пользователя после успешного сброса пароля. По умолчанию имеет значение False.
post_reset_login_backend¶
Пунктирный путь к бэкенду аутентификации, который будет использоваться при аутентификации пользователя, если post_reset_login является True. Требуется, только если у вас настроено несколько AUTHENTICATION_BACKENDS. По умолчанию используется None.
form_class¶
Форма, которая будет использоваться для установки пароля. По умолчанию имеет значение SetPasswordForm.
success_url¶
URL для перенаправления после сброса пароля. По умолчанию 'password_reset_complete'.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
reset_url_token¶
Параметр токена, отображаемый как компонент URL-адресов сброса пароля. По умолчанию имеет значение 'set-password'.
Контекст шаблона:
classPasswordResetCompleteView¶
Имя URL:password_reset_complete
Представляет представление, которое информирует пользователя о том, что пароль был успешно изменен.
Атрибуты:
template_name¶
Полное имя шаблона для отображения представления. По умолчанию имеет значение registration/password_reset_complete.html.
extra_context¶
Словарь контекстных данных, которые будут добавлены к контекстным данным по умолчанию, переданным в шаблон.
Разрешения и авторизация¶
Django поставляется со встроенной системой разрешений. Она предоставляет возможность назначать разрешения определенным пользователям и группам пользователей.
Он используется администратором сайта Django, но вы можете использовать его в своем собственном коде.
Административный сайт Django использует разрешения следующим образом:
Доступ к объектам просмотра ограничен пользователями, имеющими разрешение «просмотр» или «изменение» для данного типа объекта.
Доступ к просмотру формы «Добавить» и добавлению объекта ограничен пользователями с правом «Добавить» для данного типа объекта.
Доступ к просмотру списка изменений, форме «изменения» и изменению объекта ограничен пользователями с правом «изменения» для данного типа объекта.
Доступ к удалению объекта ограничен пользователями, имеющими разрешение «удалить» для данного типа объекта.
Разрешения по умолчанию¶
Когда django.contrib.auth указано в настройках INSTALLED_APPS, это гарантирует, что четыре разрешения по умолчанию – добавление, изменение, удаление и просмотр – будут созданы для каждой модели Django, определенной в одном из ваших установленных приложений.
Эти разрешения будут созданы при запуске manage.pymigrate; при первом запуске migrate после добавления django.contrib.auth к INSTALLED_APPS разрешения по умолчанию будут созданы для всех ранее установленных моделей, а также для любых новых моделей, устанавливаемых в это время.
После этого он будет создавать разрешения по умолчанию для новых моделей каждый раз, когда вы запускаете manage.pymigrate (функция, создающая разрешения, связана с сигналом post_migrate).
Предположим, что у вас есть приложение с app_labelfoo и моделью с именем Bar, для проверки основных разрешений вы должны использовать:
К модели Permission редко обращаются напрямую. 
Сериализаторы
С базовыми настройками давайте перейдем к реализации API. Если вы новичок в django, сериализаторы позволяют преобразовывать сложные данные, такие как наборы запросов и экземпляры модели, в собственные типы данных Python, которые можно легко преобразовать в форматы, такие как JSON. Это называется сериализацией. Они также позволяют десериализацию после первой проверки данных входящего запроса.
В каталоге приложения мы запустим файл serializers.py и введем следующий код:
Создание пользователей¶
Вы должны увидеть ссылку на «Пользователи» в разделе «Auth» на главной странице индекса администратора. Страница администратора «Добавить пользователя» отличается от стандартных страниц администратора тем, что она требует выбора имени пользователя и пароля, прежде чем вы сможете редактировать остальные поля пользователя.
Создание проекта
Прежде чем продолжить, давайте посмотрим на некоторые из конечных точек, которые мы будем использовать в этом разделе.
Это может показаться трудным, но хорошая новость в том, что djoser сделал для нас большую часть тяжелой работы. Все конечные точки, начинающиеся с auth, генерируются djoser.
Возвращаясь к первой части серии, мы установили несколько пакетов Python. Нам нужно добавить эти пакеты в файл settings.py проекта, чтобы использовать их в нашем проекте django.
Сторонние пакеты
Также доступны следующие сторонние пакеты. 
Указание пользовательской модели пользователя¶
Когда вы начинаете свой проект с пользовательской модели пользователя, остановитесь и подумайте, правильный ли это выбор для вашего проекта.
Хранение всей связанной с пользователем информации в одной модели устраняет необходимость в дополнительных или более сложных запросах к базе данных для получения связанных моделей. С другой стороны, может оказаться более целесообразным хранить специфическую для каждого приложения информацию о пользователе в модели, которая связана с вашей пользовательской моделью пользователя.
Это позволит каждому приложению определить свои собственные требования к пользовательским данным без потенциального конфликта или нарушения предположений других приложений. Это также означает, что вы будете держать свою пользовательскую модель как можно более простой, сфокусированной на аутентификации и соответствующей минимальным требованиям, которые Django ожидает от пользовательских моделей.
Если вы используете бэкэнд аутентификации по умолчанию, то в вашей модели должно быть одно уникальное поле, которое можно использовать для идентификации. Это может быть имя пользователя, адрес электронной почты или любой другой уникальный атрибут. Не уникальное поле имени пользователя допускается, если вы используете пользовательский бэкенд аутентификации, который может его поддерживать.
Уставнока и настройка
Установите пакет с помощью pip.
pip install django-oauth-toolkit
Добавьте пакет в свой INSTALLED_APPS и измените настройки вашего REST framework.
Дополнительные сведения см. в документации Django REST framework – Начало работы.
Handling authorization in custom backends¶
Custom auth backends can provide their own permissions.