Почему django rest framework отвечает 401?

Question

[Klaus Kater]

Здравствуйте, столкнулся с проблемой полной магии и волшебства.
Есть паровоз, из джанго с рест фреймворком и эмбера.
Ембер пытается получить данные от сервера, гет запросом, сервер отвечает 401, я пытаюсь вручную получить данные от того же сервера, тем же гет запросом, получаю данные.
Аутентификация токенами, я ее уже отключал, подключил, танцевал с бубном... ничего не понимаю, как будто сервера разные. А самое сложное что даже не знаю куда копать..
На убунте, вся таже связка работала...

Comments

[sim3x]

"На убунте,"
а сейчас на чем?

[Klaus Kater]

Сейчас на винде.. Надо было явно указать, извиняюсь )

Answer 1

[marazmiki]

Всё идёт ровно так, как и должно идти, и нет тут ни магии, ни волшебства (ну, разве чуть-чуть: в идеале нигде не должно работать, даже на убунте). И вот почему.

Как Вы наверняка знаете, в обычном, привычном нам вебе, к коему относятся и ручные запросы из браузера, для идентификации клиента придумали такую штуку, как сессия: при первом посещении сервер выдаёт клиенту идентификатор, который клиент затем будет добавлять к каждому запросу (в случае джанги это сессионная кука sessionid). И на своей стороне создаёт хранилище для информации о конкретно этом клиенте.

При каждом запросе сервер проверяет, передан ли от клиента тем или иным способом —а чаще всего это кука — ID сессии. Если передан, то сервер "опознаёт" пользователя. Если нет, то нет :-) Кука добавляется к запросу самим браузером, без явного участия пользователя, поэтому для нас, людишек, всё выглядит как будто само собой.

Теперь про REST. Обычно API пишется чаще всего не для браузеров, а для сторонних серверов, в которых и кук-то зачастую не бывает. И такого понятия, как сессия, просто нет! Каждый запрос приходит как будто он от нового пользователя. Здесь идентифицироваться приходится ручками.

Самый простой, но вместе с тем и самый глупый вариант — вместе с каждым запросом посылать логин и пароль. Другой не самый умный, но почему-то часто встречающийся вариант — захардкоженный секретный параметр: типа если в запросе есть переменная abcdef=123, то запрос считается достоверным.

Логическое продолжение этого способа — та самая аутентификация через токены, которую Вы то включаете, то выключаете. Пользователь шлёт логин и пароль на отдельный URL, в ответ получает токен, который затем должен добавлять вручную к каждому запросу. Что-то напоминает, верно? :-)

В случае с либеральным DRF можно наплевать на рекомендуемый принцип stateless — не сохранять информацию о состоянии клиента — и добавить поддержку сессий: т.е. сделать так, что если в запросе передаётся кука (а любой браузерный запрос, даже через XHR их вроде бы добавляет), то сервер должен определять пользователя.

Включается это довольно просто: нужно использовать
rest_framework.authentication.SessionAuthentication в качестве аутентификатора. Лучше всего сделать глобальную настройку (в документации всё есть), либо указать этот класс для отдельного endpoint.

Comments

[vinograd19]

>Обычно API пишется чаще всего не для браузеров, а для сторонних серверов
В современном мире api чаще пишется как раз для браузера.

[marazmiki]

vinograd19: Вы правда считаете, что множество "веб" может быть больше множества, содержащее множество "веб"?

[vinograd19]

о чем вы?

[marazmiki]

vinograd19: я о том, что API пишется в основном не для браузеров. Чисто браузерные API, напротив, скорее исключения. И предлагаю сравнивать некие абстрактные множества "АПИ для чего угодно" (которое, очевидно, включает в себя подмножество "АПИ для браузера") и "АПИ для браузера". Как думаете, какое больше?

[vinograd19]

Ну вы сами можете ответить на свой вопрос, какой множество больше. Другое - что я прикопался к вашей фразе "Обычно API пишется чаще всего не для браузеров, а для сторонних серверов". Здесь вы сравнили два множества "апи для браузеров" и "апи для сторонних серверов". И если под сервером подразумевать не браузер (действительно, браузер же клиент), то я не согласен с вашим сравнением. О чем и упомянул первым сообщением. Так ясно?

[marazmiki]

vinograd19:

И если под сервером подразумевать не браузер

что, простите?

[vinograd19]

marazmiki: под сервером, говорю, подразумевать не браузер.

[marazmiki]

Всё, понял. Простите, опечатка. "Сервисов" там должно быть.

[Klaus Kater]

Товарищ marazmiki, я вкурсе о способах аутентификации (ну может не обо всех и не досконально)
В своей системе я конечно извратился, и проблема с аутентификацией следующая, - вся аутентификация идет через соц сети(пока исключительно через контакт). Своей схемы, типа регистрация через емеил - просто нет. И не будет скорее всего, не вижу смысла усложнять пользователям жизнь ))
Как происходит аутентификация через контакт - пользователю показывается окно с авторизацией в социалке, социалка отправляет нам данные о пользователе, если конечно он авторизовался.
И вот здесь самым логичным показался как раз способ через токены, получили данные о пользователе, создали ему токен, и отдали клиенту (браузеру) а он, добавляет его к каждому аяксу.
Не очень понимаю чем способ плох.
И я не очень помню чем это кончилось, но изначально я пытался настроить авторизацию через сессии... Почему то от них отказался.

[Klaus Kater]

Вот прям щас перечитал...
Сессионные аутентификации, встроенные в рест фреймворк джанги, работают на CSRF токенах... которые нужно прикладывать к каждому запросу.
В случае с токеновой аутентификацией, он тоже прикладывается к каждому запросу. Есть вариант сделать прикладывание токенов вручную (он там в хедер пихается) есть вариант объяснить то же самое Эмберу.
А теперь вопрос поражающей своей наивностью - Почему авторизация не должна была работать на убунте??? И почему она все таки не работает на виндувсе?

[marazmiki]

kurojneko: мне кажется, что Вы всё в кучу собрали. И я не говорил, что с подход с токенами плох; более того, это едва ли не единственный способ, который я в случае REST API приемлю.

[Klaus Kater]

Так я и реализовал подход с токенами, просто пользователя делаю вручную, как и токен. Непонятно почему система на другой машине, ведет себя по другому.