Почему не получается получить токен rest_framework.authtoken на других пользователей, хотя на админа получаю?

Question

[Илья Лукьянов]

Сделал авторизацию с помощью библиотеки Djoser, все ендпоинты работают как положено. Но вот токен авторизации я могу получить только на Админа, на других зарегистрированных пользователей возвращается ошибка: Невозможно войти с предоставленными учетными данными.
settings:

urls:

views:

ошибка, хотя на пароль и емэйл админа возвращает токен:


Эту проблему не могу решить несколько дней, данные копирую прямо с БД, пробовал на разных пользователях, опечатки быть не может.

Обновление информации.
В админке джанго можно ВРУЧНУЮ выдать токен любому пользователю, и уже при POST запросе backend вернет токен только для пользователя, которому я уже вручную создал токен в админке. Это объясняет почему для админа токен возвращался, а на других нет.


Django Debug Toolbar
POST запрос на получение токена на админа

Таблица из которых черпаются данные:

Comments

[Everything_is_bad]

код, ответы, логи и прочее, надо показывать текстом, а не картинками

[kr_aleksey]

Вы пишете "данные копирую прямо из с БД". Django хранит в БД хэш пароля. Если вы в БД записали пароль в открытом виде, то аутентификация работать не будет.

[kr_aleksey]

Ещё можно дать пользователю права на админку (is_staff) и попробовать войти в нее. Думаю, будет такая же ошибка.

[Илья Лукьянов]

kr_aleksey, выдал двум пользователям статус персонала, и при попытке войти в админку мне возвращается ошибка: "Пожалуйста, введите корректные email и пароль учётной записи. Оба поля могут быть чувствительны к регистру.", хотя админ входит без проблем. Далее я выдал статус суперпользователя, все равно ошибка и может зайти только админ.

[Илья Лукьянов]

kr_aleksey, нет у меня в БД пароли хранятся в открытом виде

[kr_aleksey]

По умолчанию Django хранит пароли хешированными. Как ее заставить хранить в открытом виде незнаю и незачем это. Допустим вы добились этого. Тогда, у суперпользователя, который логинится нормально, он также храниться в открытом виде, верно? Проверьте еще значение поля is_active ваших пользователей.

[kr_aleksey]

Если это не помогло, ищите проблему в соответствии логинов/паролей. Проблема может быть срыта в кодировке, непечатаемых символах, пробелах в начале и в конце.

[Илья Лукьянов]

kr_aleksey,
вот так хранятся пароли, так как пользователи создаются через POST запрос напрямую в модель CustomUser. Т.е. запрос выглядит так:

{
"email": "vpupkin@yandex.ru",
"username": "vasya.pupkin",
"first_name": "Вася",
"last_name": "Иванов",
"password": "Qwerty123"
}

Единственный пользователь который может зайти в БД - это пользователь которого я создал через консоль, т.е. как я понимаю админка ожидает хешированный пароль, а получает просто строку.

[kr_aleksey]

Не только админка. Встроенная Django аутентификация хэширует пароль и сверяет хэш с тем, что храниться в базе. Т.е. вы неправильно храните пароли. Когда вы создаёте пользователя, вы должны хэшировать его пароль перед сохранением. Django предоставляет для этого необходимые функции. Читайте доку.

Answer 1

[Илья Лукьянов]

Ответ на мой вопрос.
Нужно было сохранять пароль при помощи функции .set_password(), вот такой код в сериалайзере:

class CustomUserCreateSerializer(ModelSerializer):

   class Meta:
        model = CustomUser
        fields = ('email',
                  'username',
                  'first_name',
                  'last_name',
                  'password')
        extra_kwargs = { # указываем обязательные поля для заполнения
            'first_name': {'required': True},
            'last_name': {'required': True},
            'username': {'required': True}
        }

    def create(self, validated_data):
        user = CustomUser (
            email=validated_data['email'],
            username=validated_data['username'],
            first_name=validated_data['first_name'],
            last_name=validated_data['last_name']
        )
        user.set_password(password) # хэшируем пароль
        user.save() # сохраняем в БД
        return user

После этого заработает получение токена. Но есть еще нюанс, если для авторизации в админке в модели используется email, то получение токена тоже нужно настроить по email, иначе будет та же ошибка:

Невозможно войти с предоставленными учетными данными.