django-rest-framework Rückkehr 403 Antwort auf POST, PUT, DELETE trotz AllowAny Berechtigungen

Ich bin mit einem django-oneall sozialen login-session-Authentifizierung auf meiner Website. Während es nicht eine der vorgeschlagenen auth-Anbieter für django-rest-framework, rest_framework.authentication.SessionAuthentication verwendet django ' s default-session-Authentifizierung. also dachte ich, es sollte Recht einfach zu integrieren.

Auf die Berechtigungen Seite, schließlich verwende ich IsAdmin, aber zum Zweck der Entwicklung, ich hatte es eingestellt, um IsAuthenticated. Wenn Sie, dass die Rückgabe 403s, entspannte ich die Berechtigungen AllowAny, aber noch keine Würfel. Hier ist mein rest-framework config:

settings.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',
    ),
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.AllowAny',
        # 'rest_framework.permissions.IsAuthenticated',
        # 'rest_framework.permissions.IsAdminUser',
     ),
    'PAGE_SIZE': 100,
    'DEFAULT_FILTER_BACKENDS': (
        'rest_framework.filters.DjangoFilterBackend',
    ),
}

EDIT:

Habe ich diese arbeiten auf der Grundlage der Antwort unten. Es stellt sich heraus, dass rest_framework erwartet, dass beide die csrftoken cookie und ein X-CSRFToken Header den gleichen Wert haben, richte ich meine front-end-code schicken header für alle ajax-Anfragen und alles hat gut funktioniert.

InformationsquelleAutor ckot | 2015-09-18
  1. 27

    Django REST Framework zurückgegebene status-code 403 unter ein paar relevante Umstände:

    • Wenn Sie nicht über die erforderliche Berechtigungsstufe (z.B. eine API-Anforderung, die als ein nicht authentifizierter Benutzer, als DEFAULT_PERMISSION_CLASSES ist ('rest_framework.permissions.IsAuthenticated',).
    • Wenn Sie tun, eine unsichere Art der Anfrage (POST, PUT, PATCH oder LÖSCHEN einer Anforderung, sollte Nebenwirkungen haben), verwenden Sie rest_framework.authentication.SessionAuthentication und Sie haben nicht enthalten Ihr CSRFToken in der requeset.
    • Wenn Sie gerade eine unsichere Art der Anfrage und die CSRFToken Sie aufgenommen haben ist nicht mehr gültig.

    Werde ich ein paar demo-Anfragen gegen eine test-API zu geben, wird jeweils ein Beispiel, um Ihnen zu helfen bei der diagnose, welche Problem Sie haben und zeigen, wie es zu lösen. Ich werde mit der requests Bibliothek.

    Die test-API

    Ich eine sehr einfache DRF-API mit einem einzigen Modell Life, enthält ein einzelnes Feld (answermit einem Standard-Wert von 42). Alles, was von hier aus ist ziemlich geradlinig; ich habe ein ModelSerializer - LifeSerializer eine ModelViewSet - LifeViewSet, und ein DefaultRouter auf die /life URL-route. Ich habe konfiguriert DRF zu benötigen Benutzer authentifiziert werden, die API zu nutzen und zu verwenden SessionAuthentication.

    Schlagen die API

    import json
import requests

response = requests.get('http://localhost:8000/life/1/')
# prints (403, '{"detail":"Authentication credentials were not provided."}')
print response.status_code, response.content

my_session_id = 'mph3eugf0gh5hyzc8glvrt79r2sd6xu6'
cookies = {}
cookies['sessionid'] = my_session_id
response = requests.get('http://localhost:8000/life/1/',
                        cookies=cookies)
# prints (200, '{"id":1,"answer":42}')
print response.status_code, response.content

data = json.dumps({'answer': 24})
headers = {'content-type': 'application/json'}
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (403, '{"detail":"CSRF Failed: CSRF cookie not set."}')
print response.status_code, response.content

# Let's grab a valid csrftoken
html_response = requests.get('http://localhost:8000/life/1/',
                             headers={'accept': 'text/html'},
                             cookies=cookies)
cookies['csrftoken'] = html_response.cookies['csrftoken']
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (403, '{"detail":"CSRF Failed: CSRF token missing or incorrect."}')
print response.status_code, response.content

headers['X-CSRFToken'] = cookies['csrftoken']
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (200, '{"id":1,"answer":24}')
print response.status_code, response.content
    • hmm... mein Ember app ist in der Tat vorbei an der csrf-cookie in der Anfrage. Ich habe eine reverse-proxy-setup in apache für meine rest-api. Vielleicht muss ich irgendwie ändern, meine reverse-proxy kopiert die csrf-cookie mit dem Wert in der HTTP_X_CSRFTOKEN header?
    • ich denke, ich sollte besser konfigurieren Stück immer passieren die csrftoken cookie-Wert in der Kopfzeile. das sollte einfacher sein.
    • Ich aktualisiert meine Antwort. Vergessen, dass sowohl die header - X-CSRFToken und das cookie csrftoken gesetzt werden musste.
    • danke. genial, das macht total Sinn. Ich werde versuchen, es in etwas, das ich brauchen, um Forschung, die Konfiguration ember bit-ersten. Ich vorstellen, es ist nur ein $.ajaxSetup() oder etwas ähnliches
    • yep. das funktioniert Danke! Sie können sich nicht vorstellen, wie viel Zeit du hast mich gerettet. Jetzt kann ich mit IsAuthenticated privs. Sobald ich ein update für meine social-login - /Registrierungsseite, so dass es unterscheiden kann zwischen admin und normalen user, ich werde in der Lage sein zu wechseln IsAdmin!
    InformationsquelleAutor chucksmash
  2. 2

    Vollständigkeit halber, es gibt noch einen Umstand, unter dem DRF gibt code 403: wenn Sie vergessen, hinzuzufügen as_view() zu der Ansicht, die Erklärung in Ihre urls.py Datei. Nur mir passiert ist, und ich verbrachte Stunden damit, bis ich herausfand, wo das Problem war, also vielleicht mit diesem Zusatz können sparen Sie einige Zeit für jemanden.

    • as_view ist für django class based views, hat es zu den besten meines Wissens nichts tun, tun Sie mit api-urls von django-rest-framework. DRF auch nicht, erwähnen Sie es in Ihrer routing-Dokumentation (außer für die Einbeziehung von nicht-DRF-Ansichten), django-rest-framework.org/api-guide/routers . Könnten Sie näher erläutern was Sie bedeuten?
    InformationsquelleAutor fzznk
  3. 1

    Nur für alle, die vielleicht das gleiche problem.
    Wenn Sie mit viewsets ohne Router wie:

    user_list = UserViewSet.as_view({'get': 'list'})
user_detail = UserViewSet.as_view({'get': 'retrieve'})

    Django Rest framework zurück 403, es sei denn, Sie definieren permission_classes auf einem Klasse Niveau: 

    class UserViewSet(viewsets.ModelViewSet):
    """
    A viewset for viewing and editing user instances.
    """
    permission_classes= YourPermisionClass

    Hoffe, es hilft!

    InformationsquelleAutor Duilio
Schreibe einen Kommentar