django-tastypieのSessionAuthentication

django-tastypieのSessionAuthenticationはDjangoのデフォルトのセッション機能を使ってログインしているかどうかをチェックします。
具体的にはcookieにsessionidが設定されていること(ログインしている)と、あとはcsrftokenが必要なようです。

試してみました


resources.py

from tastypie.authentication import SessionAuthentication
from tastypie.resources import ModelResource
from tastypie.authorization import Authorization
from app.models import Book


class BookResource(ModelResource):
    class Meta:
        queryset = Book.objects.all()

        #authentication = BasicAuthentication()
        #authentication = ApiKeyAuthentication()
        #authentication = DigestAuthentication()
        #authentication = OAuthAuthentication()
        authentication = SessionAuthentication()

        authorization = Authorization()


ログイン、ログアウトできるようにします

urls.py

from django.conf.urls import patterns, include, url
from app.resources import BookResource

book_resource = BookResource()

urlpatterns = patterns('',
    url(r'^api/', include(book_resource.urls)),
    url(r'^accounts/login/$', 'django.contrib.auth.views.login', {'template_name': 'app/login.html'}),
    url(r'^accounts/logout/$', 'app.views.logout_view'),
    url(r'^$', 'app.views.index_view'),
)


views.py

from django.contrib.auth.views import logout
from django.http import HttpResponseRedirect
from django.shortcuts import render_to_response
from django.template import RequestContext

def index_view(request):
    ctx = {
        "is_login": request.user.is_authenticated
    }
    return render_to_response('app/index.html', ctx, RequestContext(request))


def logout_view(request):
    logout(request)
    return HttpResponseRedirect('/')


index.html

{% extends "app/base.html" %}

{% block content %}
    {% if not is_login %}
        <a href="/accounts/login?next=/">ログイン</a>
    {% else %}
        <a href="/accounts/logout">ログアウト</a>
    {% endif %}

    <form id="book_form">
        {% csrf_token %}
        <label>
            タイトル
            <input type="text" name="book_title" id="book_title"/>
        </label>
        <input type="button" value="作成" id="create"/>
    </form>

    <ul id="book_list">
    </ul>

    <a href="#" id="reload_link">更新</a>

{% endblock %}

base.htmlは適当


jsはこんな感じで、一覧の取得、データ作成、削除ができるようにしてみました。

$(function(){
        //作成
        $('#create').click(function(){
            var $title_input = $('#book_title');
            var title = $title_input.val();
            var data = JSON.stringify({title: title});

            $.ajax({
                url: '/api/book/',
                type: "POST",
                data: data,
                contentType: "application/json"
            }).done(function(){
                        $title_input.val('');
                        reload_list();
                    }).fail(function(result){
                        alert(result.status + ":" + result.statsuText)
                    });

        });

        //削除
        $(document).on('click','.delete_link', function(e){
            e.preventDefault();
            var url = $(this).attr('href');

            $.ajax({
                url: url,
                type: "DELETE"
            }).done(function(){
                        reload_list();
                    }).fail(function(result){
                        alert(result.status + ":" + result.statsuText)
                    });
        });

        //一覧更新
        function reload_list(){
            $.ajax({
                url: '/api/book/',
                type: "GET"
            }).done(function(result){
                        var $book_list = $('#book_list');
                        var list = "";
                        var objects = result.objects;

                        for(var i=0;i<objects.length;i++){
                            list += "<li>" + objects[i]["title"] + "   <a class='delete_link' href='" + objects[i]["resource_uri"] + "'>削除</a></li>";
                        }
                        $book_list.html('').append($(list));

            }).fail(function(result){
                        alert("更新に失敗" + ":" + result.status + ":" + result.statsuText)
            });
        }

        $('#reload_link').click(reload_list);

        var is_login = '{{ is_login }}';
        if(is_login !== 'False'){
            reload_list();
        }
    });


csrftokenが必要ですので、そのためのjsも必要です。これがないと401になります。
djangoのドキュメントで紹介されているのでそのまま使いました。

    // using jQuery
    function getCookie(name) {
        var cookieValue = null;
        if (document.cookie && document.cookie != '') {
            var cookies = document.cookie.split(';');
            for (var i = 0; i < cookies.length; i++) {
                var cookie = jQuery.trim(cookies[i]);
                // Does this cookie string begin with the name we want?
                if (cookie.substring(0, name.length + 1) == (name + '=')) {
                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                    break;
                }
            }
        }
        return cookieValue;
    }
    var csrftoken = getCookie('csrftoken');
    function csrfSafeMethod(method) {
        // these HTTP methods do not require CSRF protection
        return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    }
    function sameOrigin(url) {
        // test that a given url is a same-origin URL
        // url could be relative or scheme relative or absolute
        var host = document.location.host; // host + port
        var protocol = document.location.protocol;
        var sr_origin = '//' + host;
        var origin = protocol + sr_origin;
        // Allow absolute or scheme relative URLs to same origin
        return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
                (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
            // or any other URL that isn't scheme relative or absolute i.e relative.
                !(/^(\/\/|http:|https:).*/.test(url));
    }
    $.ajaxSetup({
        beforeSend: function(xhr, settings) {
            if (!csrfSafeMethod(settings.type) && sameOrigin(settings.url)) {
                // Send the token to same-origin, relative URLs only.
                // Send the token only if the method warrants CSRF protection
                // Using the CSRFToken value acquired earlier
                xhr.setRequestHeader("X-CSRFToken", csrftoken);
            }
        }
    });

荒削りで見た目も適当だけど、これだけでtastypieのAPIにjsからアクセスしてデータ登録、削除、一覧の表示は確認できるようになりました。
当然、SesstionAuthenticationをかけているのでログインしていない場合は401になります。