Erreur CSRF lors de l'utilisation de rest_framework.authtoken.views.obtain_auth_token

Question

Je suis en train d'appeler obtain.auth_token à partir des URL comme suit

url(r'^api-token/','rest_framework.authtoken.views.obtain_auth_token')

Je reçois en retour

{
détail: "Échec CSRF : jeton CSRF manquant ou incorrect."
}

Je me demande pourquoi cela se produit car j'avais l'impression que django-rest-framework était habituellement exempté du CSRF

Merci

Answer 1

Cette vue utilise un POST. DRF nécessite toujours CSRF pour les POST authentifiés par session.

Les requêtes sensibles comme l'obtention d'un jeton d'authentification devraient utiliser POST pour cette raison.

Answer 2

J'ai eu exactement le même problème. Vérifiez si vous avez bien déconnecté du navigateur.

Answer 3

Je viens de rencontrer ce problème aussi. J'ajoute une réponse au cas où cela ne serait pas clair pour quelqu'un d'autre.

1. Assurez-vous de ne pas effectuer la demande dans un contexte où vous êtes déjà connecté, par exemple depuis le navigateur (déconnectez-vous, essayez en mode incognito, ou effacez vos cookies si vous l'êtes).
2. Assurez-vous d'utiliser correctement le point de terminaison api-token. J'ai d'abord essayé d'utiliser l'authentification de base, en supposant que cette vue générant un token était protégée, mais DRF attend en fait des données de formulaire contenant les champs username et password.

Voici un exemple fonctionnel en utilisant requests:

r = requests.post('http://example.com/api-token/'), data={
    'username': username,
    'password': password,
})
token = r.json()['token']

Answer 4

En conformité avec la documentation http://www.django-rest-framework.org/topics/ajax-csrf-cors/, vous devez mettre en œuvre ajax-csrf tel qu'expliqué dans https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

... si vous utilisez AngularJS, vous pouvez le vérifier Django csrf token + Angularjs