当前位置：首页 > news >正文

Pyramid 中混合认证策略

news 2026/3/31 1:04:30

在这里插入图片描述

1. 问题背景

在一个使用 Pyramid 框架开发的应用程序中，需要同时处理 HTML 内容的显示和 JSON API 的请求。对于 HTML 内容，使用了 AuthTktAuthenticationPolicy 进行身份验证和 ACLAuthorizationPolicy 进行授权。当用户成功登录后，会在浏览器中设置 auth_tkt cookie，并且系统能够正常运行。

现在，需要为 JSON API 请求实现类似的身份验证和授权机制。不同的是，对于 JSON API 请求，用户不一定需要登录，因此需要在每次请求中包含一个 api_key 参数。根据该参数，如果找到一个有效的用户，则返回 JSON 数据；否则，显示一个 403 页面。

一种方法是在每个视图中进行如下操作：

api_key = request.GET.get('api_key',None)
user = FrontEndUsers.User_by_api_key(api_key)
if user: #Process view
else:return HTTPForbidden

但是，在每个视图中重复执行相同的身份验证逻辑似乎过于冗余，而且与身份验证策略的功能相同。因此，考虑是否可以为 JSON 路由指定一个单独的身份验证策略，或者是否有其他方法来实现这一目标。

2. 解决方案

方案一：使用 pyramid_multiauth 包

Pyramid_multiauth 包提供了一种简单的方法来在 Pyramid 中使用多个身份验证策略。首先，需要安装 pyramid_multiauth 包：

pip install pyramid_multiauth

然后，在应用程序的配置文件中添加以下配置：

[authentication]
policies = multiauth.MultiAuthenticationPolicy
policies.multiauth.policies = ["tkt_authn_policy", "basic_authn_policy"]

在上面的配置中，tkt_authn_policy 和 basic_authn_policy 是要使用的两个身份验证策略的名称。

最后，在视图中使用 pyramid_multiauth 提供的认证装饰器来保护视图：

@view_config(route_name='api_view', renderer='json',require_csrf=False)
@multiauth.multi_authenticated(require=['basic_authn_policy','tkt_authn_policy'])
def api_view(request):# 视图代码

方案二：编写自定义身份验证策略

也可以编写一个自定义的身份验证策略，该策略可以根据请求属性将请求分发到不同的身份验证策略。

首先，需要创建一个自定义身份验证策略类，该类继承自 pyramid.authentication.AuthTktAuthenticationPolicy。

from pyramid.authentication import AuthTktAuthenticationPolicyclass MultiAuthPolicy(AuthTktAuthenticationPolicy):def authenticated_userid(self, request):if 'api_key' in request.GET:# 使用 api_key 进行身份验证return self.authenticated_userid_with_api_key(request)else:# 使用传统的 AuthTktAuthenticationPolicy 进行身份验证return super().authenticated_userid(request)def authenticated_userid_with_api_key(self, request):# 根据 api_key 获取用户 ID# 根据用户 ID 获取用户对象# 返回用户对象

然后，在应用程序的配置文件中添加以下配置：

[authentication]
policies = multiauth

最后，在视图中使用自定义身份验证策略：

@view_config(route_name='api_view', renderer='json', require_csrf=False)
@multiauth.authenticated(check_credentials=False)
def api_view(request):# 视图代码

通过上述两种方法，可以实现为 JSON 路由指定单独的身份验证策略，从而简化身份验证逻辑，提高代码的可维护性。

Pyramid 中混合认证策略

1. 问题背景

2. 解决方案

相关文章：

Pyramid 中混合认证策略

深度学习经典检测方法概述

＜sa8650＞sa8650 qcxserver-之-摄像头传感器VB56G4A驱动开发＜1＞

推荐8款超实用的ComfyUI绘画插件，帮助我们的AI绘画质量和效率提升几个档次！

MATLAB-振动问题：两自由度耦合系统自由振动

人工智能-NLP简单知识汇总01

Spring Boot中的异步编程技巧

深度解密Spark性能优化之道

在U盘/移动硬盘上安装热插拔式Ubuntu系统，并将Docker目录挂载到NTFS硬盘

商城小程序论文（设计）开题报告

15. Java的 CAS 操作原理

修改element-ui日期下拉框datetimePicker的背景色样式

Linux—— 逻辑运算符，压缩和解压缩

音视频入门基础：H.264专题（6）——FFmpeg源码：从H.264码流中提取NALU Header、EBSP、RBSP和SODB

STM32实现按键单击、双击、长按、连按功能，使用状态机，无延时，不阻塞

C#之Delta并联机械手的视觉同步分拣

01：Linux的基本命令

GNSS 载波、测距码和导航电文的关系简介

deepE 定位系统卡顿问题实战(一) ----------- 锁造成的阻塞问题

YOLOv5改进 | 主干网络 | ODConv + ConvNeXt 增强目标特征提取能力

Ubuntu 23.04 避坑指南：pip install virtualenv 报错 extern-managed-environment 的3种解决方案

Cytron PS2 Shield嵌入式驱动与极坐标映射原理

5个环保主题HTML网页设计实战：从零到一构建绿色网站

别再只盯着大模型了！手把手教你用Python+卫星数据做农业产量预测（附代码）

手把手教你用CH32V208开发板实现蓝牙BLE5.3通信（附完整工程源码）

Swin2SR权限控制系统搭建：从小白到部署的完整实战教程

前端部署：从开发到生产的最后一公里

PHP开发者必看：通过xss-labs靶场level1-10，彻底搞懂htmlspecialchars()的坑与正确用法

jquery-match-height完全教程：5分钟学会创建完美等高元素

【大英赛】全国大学生英语竞赛C类历年真题、样卷、听力音频及答案解析电子版PDF（2012-2026年）