django-repos-cadre de retourner 403 réponse sur le POST, PUT, DELETE, malgré AllowAny autorisations

Je suis en utilisant un django-oneall pour permettre la connexion de la session d'authentification sur mon site. Alors que ce n'est pas l'une des suggestions auth fournisseurs pour django-repos-cadre, rest_framework.authentication.SessionAuthentication utilise django par défaut de la session d'authentification. j'ai donc pensé qu'il devrait être assez simple à intégrer.

Sur les autorisations de côté, en fin de compte je vais utiliser IsAdmin, mais à des fins de développement, j'avais juste mis à IsAuthenticated. Lorsque que le retour 403s, je me suis détendu les autorisations de AllowAny, mais toujours pas de dés. Voici mon repos cadre config:

settings.py

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',
    ),
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.AllowAny',
        # 'rest_framework.permissions.IsAuthenticated',
        # 'rest_framework.permissions.IsAdminUser',
     ),
    'PAGE_SIZE': 100,
    'DEFAULT_FILTER_BACKENDS': (
        'rest_framework.filters.DjangoFilterBackend',
    ),
}

EDIT:

J'ai eu ce travail basé sur la réponse ci-dessous. Il s'avère que rest_framework prévoit à la fois la csrftoken cookie et un X-CSRFToken en-Tête de la même valeur, j'ai installé mon frontal code pour envoyer cet en-tête pour toutes les requêtes ajax et tout a bien fonctionné.

InformationsquelleAutor ckot | 2015-09-18

24

Django REPOS Cadre renvoie le code d'état 403 en vertu d'un couple de circonstances pertinentes:
- Lorsque vous n'avez pas le niveau d'autorisation requis (par exemple, faire une demande d'API comme un utilisateur non authentifié lorsque DEFAULT_PERMISSION_CLASSES est ('rest_framework.permissions.IsAuthenticated',).
- Lorsque vous faites un dangereux type de demande (POST, PUT, corriger ou SUPPRIMER - une demande qui devrait avoir des effets secondaires), vous êtes à l'aide de rest_framework.authentication.SessionAuthentication et vous n'avez pas compris votre CSRFToken dans le requeset.
- Lorsque vous faites un dangereux type de demande et le CSRFToken vous l'avez compris n'est plus valide.
Je vais faire un peu de démo demandes à l'encontre d'un test de l'API pour donner un exemple de chacun pour vous aider à diagnostiquer le problème que vous rencontrez et de montrer comment le résoudre. Je vais utiliser le requests bibliothèque.

Le test de l'API

- Je configurer un très simple DRF API avec un modèle unique, Life, qui contient un seul champ (answer, avec une valeur par défaut de 42). Tout ici est assez simple; je configurer un ModelSerializer - LifeSerializer, un ModelViewSet - LifeViewSet, et un DefaultRouter sur le /life URL route. J'ai configuré DRF d'exiger de l'utilisateur authentifié l'utilisation de l'API et de l'utilisation SessionAuthentication.

Frapper l'API
```
import json
import requests

response = requests.get('http://localhost:8000/life/1/')
# prints (403, '{"detail":"Authentication credentials were not provided."}')
print response.status_code, response.content

my_session_id = 'mph3eugf0gh5hyzc8glvrt79r2sd6xu6'
cookies = {}
cookies['sessionid'] = my_session_id
response = requests.get('http://localhost:8000/life/1/',
                        cookies=cookies)
# prints (200, '{"id":1,"answer":42}')
print response.status_code, response.content

data = json.dumps({'answer': 24})
headers = {'content-type': 'application/json'}
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (403, '{"detail":"CSRF Failed: CSRF cookie not set."}')
print response.status_code, response.content

# Let's grab a valid csrftoken
html_response = requests.get('http://localhost:8000/life/1/',
                             headers={'accept': 'text/html'},
                             cookies=cookies)
cookies['csrftoken'] = html_response.cookies['csrftoken']
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (403, '{"detail":"CSRF Failed: CSRF token missing or incorrect."}')
print response.status_code, response.content

headers['X-CSRFToken'] = cookies['csrftoken']
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (200, '{"id":1,"answer":24}')
print response.status_code, response.content
```
- hmm... mon Braise application est en effet en passant le csrf cookie dans la demande. J'ai un reverse proxy de configuration apache pour mon api rest. Peut-être que j'ai besoin de quelque sorte modifier mon reverse proxy de sorte qu'il copie les csrf valeur du cookie dans le HTTP_X_CSRFTOKEN en-tête?
- je suppose que je devrais plutôt configurer braise se passe toujours la csrftoken valeur du cookie dans l'en-tête. qui devrait être plus facile.
- J'ai mis à jour ma réponse. Oublié que l'en-tête X-CSRFToken et le cookie csrftoken a dû être établi.
- merci. génial c'est logique. Je vais l'essayer un peu, j'ai besoin de la recherche de la configuration de la braise peu d'abord. J'imagine que c'est juste un $.ajaxSetup() ou l'équivalent
- yep. qui a travaillé, Merci! vous ne pouvez pas imaginer combien de temps vous m'avez sauvé. Maintenant, je peux utiliser IsAuthenticated privs. Une fois que j'ai mise à jour mon login/enregistrement de la page afin qu'il puisse différencier entre l'administrateur et les utilisateurs normaux, je vais pouvoir passer à IsAdmin!
InformationsquelleAutor chucksmash
1

Par souci d'exhaustivité, il y a encore une circonstance qui DRF retourne le code 403: si vous oubliez d'ajouter as_view() à la vue dans votre déclaration urls.py fichier. M'est juste arrivé, et j'ai passé des heures jusqu'à ce que j'ai trouvé où le problème a été, peut-être que ce plus pouvez enregistrer un peu de temps pour quelqu'un.
- as_view est pour django classe des vues basées sur les, il a à ma connaissance rien à faire avec l'api-url de django-repos-cadre. DRF aussi ne le mentionne pas dans leur routage de la documentation (puis d'autres, y compris pour les non-DRF vues) django-rest-framework.org/api-guide/routers . Pourriez-vous élaborer sur ce que vous voulez dire?
InformationsquelleAutor fzznk

Pour n'importe qui qui pourrait trouver le même problème.
Si vous utilisez viewsets sans routeurs comme:

user_list = UserViewSet.as_view({'get': 'list'})
user_detail = UserViewSet.as_view({'get': 'retrieve'})

Django Reste-cadre sera de retour 403, sauf si vous définissez permission_classes un niveau de classe:

class UserViewSet(viewsets.ModelViewSet):
    """
    A viewset for viewing and editing user instances.
    """
    permission_classes= YourPermisionClass

Espère que cela aide!

InformationsquelleAutor Duilio

Vous devez vous connecter pour publier un commentaire.