• SessionAuthentication使用了Django默认的会话后端
• 适合AJAX客户端等运行在同样会话上下文环境中的模式
• 是DRF默认的认证方式之一

#认证成功 SessionAuthentication 提供下面的属性

request.user ：设置为一个Django的 User 类的实例

request.auth ：设置为None

# 认证不成功将返回 HTTP 403 Forbidden 响应，没有额外的头部信息

'''

如果使用类似AJAX风格的API，并采用SessionAuthentication认证

当使用不安全的HTTP方法，比如 PUT , PATCH , POST 或者 DELETE，必须提供合法的CSRF令牌

DRF框架中的CSRF验证与标准Django的CSRF验证的工作方式略有不同

因为需要同时支持同一视图的会话和非会话身份验证

只有经过身份验证的请求才需要CSRF令牌，匿名请求可以在没有CSRF令牌的情况下发送

不适用于登录视图，登录视图应始终应用CSRF验证

'''

'''

使用Django的auth框架的认证功能

必须在AUTHENTICATION_BACKENDS 配置中使用django.contrib.auth.backends.RemoteUserBackend (或者继承它)

如果认证成功， RemoteUserAuthentication 提供下面的属性：

    request.user ：设置为一个Django的 User 类的实例

    request.auth ：设置为None

此认证一般使用不多

'''

# 导入用户模型

from django.contrib.auth.models import User

# 导入认证模块

from rest_framework import authentication

# 异常模块

from rest_framework import exceptions

# 继承BaseAuthentication，实现BaseAuthentication两个待实现的方法

class UserAuthentication(authentication.BaseAuthentication):

    # 认证模块，返回None 或者user

    def authenticate(self, request):

        '''

        从头部获取用户信息

        头部自定义字段为MyUsername

        Django会自动拼上HTTP_全大写英文

        '''

        username = request.MEATA.get('HTTP_MYUSERNAME')

        # 没有用户信息返回None

        if not username:

            return None

        try:

            # 去User查找对应用户信息

            user = User.objects.get(username=username)

        except User.DoesNotExist:

            # 如果找不到对应用户 抛出异常

            raise exceptions.AuthenticationFailed('没有对应用户')

        # 找对对应用户 返回

        return (user, None)  # (request.user,request.auth)