Основні концепції аутентифікації в Django REST Framework

Уявіть, що ви створили онлайн-сервіс для зберігання фотографій, доступний через REST API. Без системи аутентифікації будь-хто в інтернеті зможе переглядати особисті фотографії користувачів, видаляти чужі альбоми або завантажувати контент від імені інших людей. Таке собі застосунок виходить, правда?

А якщо додати аутентифікацію, то все змінюється. Вона перевіряє, чи дійсно користувач є тим, за кого себе видає, і чи має він право на запитувану дію.

Без правильної системи аутентифікації ваш REST API подібний до дому з відчиненими дверима в неблагополучному районі — це запрошення для сторонніх увійти і робити що завгодно з вашими даними та функціями.

Різниця між аутентифікацією та авторизацією

Аутентифікацію та авторизацію часто плутають. Вони пов'язані, але це різні етапи:

1. Аутентифікація (Authentication): "Хто ти?". Перевіряє особу користувача.
2. Авторизація (Authorization): "Що ти можеш робити?". Обмежує доступ на основі прав користувача.

Наприклад, у вашій системі користувач може бути адміністратором або звичайним клієнтом. Під час аутентифікації система перевіряє, чи дійсно користувач — це той, за кого себе видає. Авторизація відповідає на запитання: "Чи може цей користувач видалити базу даних?" (спойлер: краще не варто).

Методи аутентифікації у веб-додатках

DRF підтримує кілька методів аутентифікації, і у кожного свої плюси та мінуси. Ось основні з них:

1. Basic Authentication

Це найпростіше, але не найнадійніше рішення. Логін і пароль передаються в заголовках HTTP-запиту. Наприклад:

Authorization: Basic base64(username:password)

Мінуси: логін і пароль передаються часто, що робить їх вразливими. Basic Authentication не рекомендується для використання в реальних системах (хіба що в пісочниці для тестів).

2. Session Authentication

Django використовує сесії для зберігання інформації про користувача. Це чудово працює для звичайних веб-додатків, де сесія зберігається в cookie браузера. Однак у REST API це не завжди зручно, оскільки API часто обслуговують клієнтів, які не підтримують cookies.

3. Token Authentication

Токени — це спеціальні ключі, які видаються користувачу після успішної аутентифікації. Ці ключі додаються до кожного запиту як:

Authorization: Token <your_token_here>

Токен — це "ключ" від дверей вашого API. Видайте токен користувачу, і він зможе стукати у ваш API доти, поки токен дійсний.

4. JWT (JSON Web Tokens)

JWT став популярним завдяки своїй безпеці та масштабованості. Це зашифрований токен, що містить інформацію про користувача. Детально ми розберемо їх трохи пізніше, але знайте: JWT зручні для сучасних додатків, особливо якщо у вас є мобільні та веб-клієнти.

Як працює аутентифікація в DRF?

DRF надає базовий інтерфейс для роботи з аутентифікацією через класи аутентифікації. Основні класи знаходяться в модулі rest_framework.authentication. Отже, як процес влаштований під капотом:

1. На сервер приходить HTTP-запит.
2. DRF перевіряє, чи є заголовок Authorization.
3. Якщо він є, DRF передає дані класу аутентифікації.
4. Клас аутентифікації бере заголовок, обробляє його і перевіряє автентичність користувача. Якщо все добре, користувача аутентифікують.

Приклад вбудованого класу аутентифікації — TokenAuthentication:

from rest_framework.authentication import TokenAuthentication

Види класів аутентифікації в DRF

DRF підтримує кілька вбудованих класів для аутентифікації. Ось три найбільш часто використовуваних:

• BasicAuthentication: базова HTTP-аутентифікація.
• SessionAuthentication: використовує сесії Django.
• TokenAuthentication: токен як спосіб аутентифікації.

У settings.py ви можете вказати порядок перевірки аутентифікації:

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.TokenAuthentication',
    ]
}

DRF перевірятиме користувача спочатку через BasicAuthentication, а потім через TokenAuthentication.

Переваги аутентифікації за допомогою DRF

Аутентифікація через DRF вирішує ключові задачі безпеки API:

1. Контроль доступу. API буде видавати дані тільки аутентифікованим користувачам.
2. Гнучкість. Ви можете комбінувати кілька методів.
3. Розширюваність. Якщо у вашому проєкті потрібно щось специфічне (наприклад, аутентифікація через відбиток пальця), ви можете створити свій власний клас аутентифікації.

Приклад: перевірка аутентифікації

Давайте створимо трохи коду, щоб все стало на свої місця. Уявімо, що ви хочете захистити ендпоінт, щоб доступ до нього мали тільки авторизовані користувачі. Ось як ви можете це зробити:

1. Налаштування аутентифікації: У settings.py вкажіть метод аутентифікації. Наприклад, токени:

   REST_FRAMEWORK = {
       'DEFAULT_AUTHENTICATION_CLASSES': [
           'rest_framework.authentication.TokenAuthentication',
       ],
       'DEFAULT_PERMISSION_CLASSES': [
           'rest_framework.permissions.IsAuthenticated',
       ],
   }
   

2. Захист представлення:

   from rest_framework.views import APIView
   from rest_framework.response import Response
   from rest_framework.permissions import IsAuthenticated
   
   class ProtectedView(APIView):
       permission_classes = [IsAuthenticated]
   
       def get(self, request):
           return Response({"message": "Ви авторизовані!"})

Тепер, якщо неавторизований користувач відправить запит на цей ендпоінт, він отримає помилку 401 Unauthorized.

Типові помилки

Одна з найпоширеніших помилок аутентифікації — невказаний токен або неправильний формат заголовків. Наприклад, якщо ви забули додати заголовок Authorization, DRF "ввічливо" не пустить вас до API.

Також багато новачків забувають, що токени працюють із заголовками HTTP-запитів. Якщо ви спробуєте передати токен у тілі запиту (POST), DRF проігнорує його. Краще дотримуватись стандартів.

Ще одна помилка: забути налаштувати метод аутентифікації у settings.py. Якщо ви не вкажете DEFAULT_AUTHENTICATION_CLASSES, DRF не буде обробляти токени чи інші методи.

Навіщо це все потрібно?

Розробка REST API — це не тільки видача даних, але й їх захист. У реальних проєктах аутентифікація необхідна для:

1. Обмеження доступу до даних.
2. Побудови багаторівневих систем ролей (наприклад, адміністратор, редактор і користувач).
3. Інтеграції з іншими сервісами (OAuth, сторонні додатки).

Без правильно налаштованої аутентифікації ваш API перетвориться на загальнодоступний магазин конфіденційних даних. Ви точно цього не хочете — жоден клієнт не замовить у вас такий "шедевр".

Щоб досягти успіху в наступній лекції, переконайтеся, що ви розумієте концепції токенів і загальний процес аутентифікації. Далі ми будемо налаштовувати токени та JWT — основи безпеки сучасних API.