Django和中間件，它使用request.user始終是匿名

Question

我試圖讓中間件這會改變某些領域基於子域的用戶，等等

唯一的問題是request.user總是作爲AnonymousUser在中間件內，但是在視圖內是正確的用戶。我已經在設置中使用了默認的身份驗證和會話中間件django。

也有同樣的問題在這裏：Django, request.user is always Anonymous User 但因爲我沒有使用不同的認證方法並不過分回答總的問題，之前我調用我自己的中間件Django的認證正在運行。

在使用DRF的情況下，有沒有辦法在中間件中獲取request.user？我會在這裏展示一些示例代碼：

class SampleMiddleware(object): 

    def process_view(self, request, view_func, view_args, view_kwargs): 
    #This will be AnonymousUser. I need it to be the actual user making the request. 
    print (request.user)  

    def process_response(self, request, response): 
    return response 

與process_request：

class SampleMiddleware(object): 

    def process_request(self, request): 
    #This will be AnonymousUser. I need it to be the actual user making the request. 
    print (request.user)  

    def process_response(self, request, response): 
    return response 

謝謝！

喬丹

Answer 1

嗨，我從請求，並裝載到request.user關聯到該模型的用戶越來越DRF令牌解決了這個問題。

我有默認的django認證和會話中間件，但似乎DRF在中間件解析用戶後使用它的令牌認證（所有請求都是CORS請求，這可能是原因）。這是我更新的中間件類：

from re import sub 
from rest_framework.authtoken.models import Token 
from core.models import OrganizationRole, Organization, User 

class OrganizationMiddleware(object): 

    def process_view(self, request, view_func, view_args, view_kwargs): 
    header_token = request.META.get('HTTP_AUTHORIZATION', None) 
    if header_token is not None: 
     try: 
     token = sub('Token ', '', request.META.get('HTTP_AUTHORIZATION', None)) 
     token_obj = Token.objects.get(key = token) 
     request.user = token_obj.user 
     except Token.DoesNotExist: 
     pass 
    #This is now the correct user 
    print (request.user) 

這也可以在process_view或process_request上使用。

希望這可以幫助未來的人。

Answer 2

今天遇到這個問題，同時遇到同樣的問題。

TL; DR;

跳過下面的代碼示例

---

說明

事情是DRF有自己的東西流，就在Django的請求life-cycle的中間。

因此，如果正常中間件流程爲：

1. request_middleware
2. view_middleware（調用視圖之前）
3. template_middleware（前渲染）
4. response_middleware（在開始對請求工作之前） （在最終響應之前）

DRF代碼覆蓋默認的django視圖co de，並執行their own code。

在上面的鏈接中，您可以看到他們用自己的方法包裝了原始請求，其中一種方法是DRF身份驗證。

回到你的問題，這是在中間件中使用request.user的原因爲時過早，因爲它只在 view_middleware **執行後得到它的值。

我的解決方案是讓我的中間件設置爲LazyObject。 這有幫助，因爲我的代碼（實際的DRF ApiVIew）在實際用戶已被DRF's authentication設置時執行。 此解決方案與proposed here一起討論。

如果DRF有更好的方式來擴展它們的功能，可能會更好，但事實是，這似乎比提供的解決方案（性能和可讀性都更好）更好。

---

代碼示例

from django.utils.functional import SimpleLazyObject 

def get_actual_value(request): 
    if request.user is None: 
     return None 

    return request.user #here should have value, so any code using request.user will work 


class MyCustomMiddleware(object): 
    def process_request(self, request): 
     request.custom_prop = SimpleLazyObject(lambda: get_actual_value(request)) 

Answer 3

基於丹尼爾Dubovski的非常優雅的解決方案上面，下面是Django的1.11中間件的一個例子：

from django.utils.functional import SimpleLazyObject 
from organization.models import OrganizationMember 
from django.core.exceptions import ObjectDoesNotExist 


def get_active_member(request): 
    try: 
     active_member = OrganizationMember.objects.get(user=request.user) 
    except (ObjectDoesNotExist, TypeError): 
     active_member = None 
    return active_member 


class OrganizationMiddleware(object): 
    def __init__(self, get_response): 
     self.get_response = get_response 


    def __call__(self, request): 
     # Code to be executed for each request before 
     # the view (and later middleware) are called. 

     request.active_member = SimpleLazyObject(lambda: get_active_member(request)) 

     response = self.get_response(request) 

     # Code to be executed for each request/response after 
     # the view is called. 
     return response