Flask与DjangoRESTful API认证与授权

Flask和Django都是流行的Python Web框架，它们都可以用来构建Web应用程序。在这两个框架中，你可以使用不同的方法来实现认证和授权。

1. Flask 认证与授权：

Flask是一个轻量级的Web框架，它提供了许多扩展来帮助实现认证和授权。以下是一些常用的Flask扩展：

• Flask-Login：用于管理用户会话和认证。
• Flask-Security：一个功能齐全的认证和授权框架，提供了用户注册、登录、密码重置等功能。
• Flask-JWT-Extended：用于实现JSON Web Token（JWT）认证。
• Flask-Principal：用于实现基于角色的访问控制（RBAC）。

以下是一个使用Flask-Login实现简单认证的示例：

from flask import Flask, render_template, redirect, url_for, request
from flask_login import LoginManager, UserMixin, login_user, login_required, logout_user, current_user

app = Flask(__name__)
app.secret_key = 'your_secret_key'
login_manager = LoginManager()
login_manager.init_app(app)

class User(UserMixin):
    def __init__(self, id):
        self.id = id

# 假设我们有一个用户字典，用于模拟从数据库获取用户信息
users = {'user1': {'password': 'password1'}, 'user2': {'password': 'password2'}}

@login_manager.user_loader
def load_user(user_id):
    return User(user_id)

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        if username in users and users[username]['password'] == password:
            user = User(username)
            login_user(user)
            return redirect(url_for('protected'))
    return render_template('login.html')

@app.route('/logout')
@login_required
def logout():
    logout_user()
    return redirect(url_for('login'))

@app.route('/protected')
@login_required
def protected():
    return '这是一个受保护的页面，只有登录用户才能访问。'

if __name__ == '__main__':
    app.run()

2. Django RESTful API 认证与授权：

Django RESTful框架（DRF）是一个强大的Web API框架，它提供了许多内置的认证和授权类。以下是一些常用的DRF认证和授权类：

• Django RESTful框架自带的认证类：SessionAuthentication、BasicAuthentication、TokenAuthentication等。
• Django RESTful框架自带的权限类：IsAuthenticated、IsAdminUser、HasPermission等。

以下是一个使用Django RESTful框架实现简单认证的示例：

from django.contrib.auth.models import User
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.decorators import authentication_classes, permission_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
from rest_framework.response import Response

class ExampleView(APIView):
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    permission_classes = [IsAuthenticated]

    def get(self, request):
        return Response({'message': '这是一个受保护的API，只有登录用户才能访问。'})

在这个示例中，我们使用了Django RESTful框架自带的SessionAuthentication和BasicAuthentication认证类，以及IsAuthenticated权限类。用户需要提供有效的会话或基本认证信息才能访问受保护的API。