boss_dp/server/api/auth.py

# -*- coding: utf-8 -*-
"""
认证 API：登录（无需 token）。
"""
import uuid

from rest_framework import status
from rest_framework.decorators import api_view, authentication_classes, permission_classes
from rest_framework.permissions import AllowAny
from rest_framework.response import Response

from server import config
from server.models import AuthToken
from server.serializers import LoginSerializer


@api_view(["POST"])
@authentication_classes([])  # 登录接口不校验 Cookie token，避免未带 Cookie 时被默认权限判为 403
@permission_classes([AllowAny])
def login(request):
    """
    登录接口（支持 JSON 和 form-data）：
    - 校验用户名/密码
    - 生成 token，写入数据库
    - 通过 Set-Cookie 返回 auth_token，前端后续请求自动携带
    - 下一次登录会生成新 token，旧 token 自动失效
    """
    ser = LoginSerializer(data=request.data)
    ser.is_valid(raise_exception=True)

    username = ser.validated_data["username"]
    password = ser.validated_data["password"]

    if username != config.ADMIN_USERNAME or password != config.ADMIN_PASSWORD:
        return Response({"detail": "用户名或密码错误"}, status=status.HTTP_401_UNAUTHORIZED)

    token = uuid.uuid4().hex
    AuthToken.objects.update_or_create(
        username=username,
        defaults={"token": token},
    )

    resp = Response({"token": token})
    resp.set_cookie(
        key="auth_token",
        value=token,
        httponly=True,
        max_age=365 * 24 * 60 * 60,
        samesite="Lax",
    )
    return resp
-												哈哈

											
										
										
											2026-02-12 18:22:02 +08:00
+								# -*- coding: utf-8 -*-
 								"""
 								认证 API：登录（无需 token）。
 								"""
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
+								import uuid
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								from rest_framework import status
-												haha

											
										
										
											2026-02-25 00:20:16 +08:00
+								from rest_framework.decorators import api_view, authentication_classes, permission_classes
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								from rest_framework.permissions import AllowAny
 								from rest_framework.response import Response
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								from server import config
 								from server.models import AuthToken
 								from server.serializers import LoginSerializer
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								@api_view(["POST"])
-												haha

											
										
										
											2026-02-25 00:20:16 +08:00
+								@authentication_classes([])  # 登录接口不校验 Cookie token，避免未带 Cookie 时被默认权限判为 403
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								@permission_classes([AllowAny])
 								def login(request):
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
+								    """
-												哈哈

											
										
										
											2026-02-12 18:18:58 +08:00
+								    登录接口（支持 JSON 和 form-data）：
 								    - 校验用户名/密码
 								    - 生成 token，写入数据库
 								    - 通过 Set-Cookie 返回 auth_token，前端后续请求自动携带
 								    - 下一次登录会生成新 token，旧 token 自动失效
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
+								    """
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								    ser = LoginSerializer(data=request.data)
 								    ser.is_valid(raise_exception=True)
 								    username = ser.validated_data["username"]
 								    password = ser.validated_data["password"]
-												哈哈

											
										
										
											2026-02-12 18:18:58 +08:00
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								    if username != config.ADMIN_USERNAME or password != config.ADMIN_PASSWORD:
 								        return Response({"detail": "用户名或密码错误"}, status=status.HTTP_401_UNAUTHORIZED)
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
 								    token = uuid.uuid4().hex
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								    AuthToken.objects.update_or_create(
 								        username=username,
 								        defaults={"token": token},
 								    )
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								    resp = Response({"token": token})
 								    resp.set_cookie(
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
+								        key="auth_token",
 								        value=token,
 								        httponly=True,
-												哈哈

											
										
										
											2026-02-12 18:18:58 +08:00
+								        max_age=365 * 24 * 60 * 60,
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								        samesite="Lax",
-												哈哈

											
										
										
											2026-02-12 18:17:15 +08:00
+								    )
-												哈哈

											
										
										
											2026-02-14 16:49:44 +08:00
+								    return resp