【二十一】Django框架(Rest Framework)之认证权限和限制

最新推荐文章于 2023-11-30 11:27:32 发布
最新推荐文章于 2023-11-30 11:27:32 发布
阅读量275 收藏 1
点赞数
文章标签: django 数据库 python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chimengmeng/article/details/131778694
版权

【一】认证、权限和限制

  • 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制。
  • 然后 权限 和 限制 组件决定是否拒绝这个请求。
  • 简单来说就是:
    • 认证确定了你是谁
    • 权限确定你能不能访问某个接口
    • 限制确定你访问某个接口的频率

【二】认证

  • REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。

  • 接下类我们就自己动手实现一个基于Token的认证方案:

自定义Token认证

(1)表

  • 定义一个用户表和一个保存用户Token的表:
class UserInfo(models.Model):
    username = models.CharField(max_length=16)
    password = models.CharField(max_length=32)
    type = models.SmallIntegerField(
        choices=((1, '普通用户'), (2, 'VIP用户')),
        default=1
    )


class Token(models.Model):
    user = models.OneToOneField(to='UserInfo')
    token_code = models.CharField(max_length=128)

(2)定义一个登录视图:

def get_random_token(username):
    """
    根据用户名和时间戳生成随机token
    :param username:
    :return:
    """
    import hashlib, time
    timestamp = str(time.time())
    m = hashlib.md5(bytes(username, encoding="utf8"))
    m.update(bytes(timestamp, encoding="utf8"))
    return m.hexdigest()


class LoginView(APIView):
    """
    校验用户名密码是否正确从而生成token的视图
    """
    def post(self, request):
        res = {"code": 0}
        print(request.data)
        username = request.data.get("username")
        password = request.data.get("password")

        user = models.UserInfo.objects.filter(username=username, password=password).first()
        if user:
            # 如果用户名密码正确
            token = get_random_token(username)
            models.Token.objects.update_or_create(defaults={"token_code": token}, user=user)
            res["token"] = token
        else:
            res["code"] = 1
            res["error"] = "用户名或密码错误"
        return Response(res)

(3)定义一个认证类

from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed


class MyAuth(BaseAuthentication):
    def authenticate(self, request):
        if request.method in ["POST", "PUT", "DELETE"]:
            request_token = request.data.get("token", None)
            if not request_token:
                raise AuthenticationFailed('缺少token')
            token_obj = models.Token.objects.filter(token_code=request_token).first()
            if not token_obj:
                raise AuthenticationFailed('无效的token')
            return token_obj.user.username, None
        else:
            return None, None

(4)视图级别认证

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    authentication_classes = [MyAuth, ]

(5)全局级别认证

# 在settings.py中配置
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]
}

【三】权限

  • 只有VIP用户才能看的内容。

【1】自定义一个权限类

# 自定义权限
class MyPermission(BasePermission):
    message = 'VIP用户才能访问'

    def has_permission(self, request, view):
        """
        自定义权限只有VIP用户才能访问
        """
        # 因为在进行权限判断之前已经做了认证判断,所以这里可以直接拿到request.user
        if request.user and request.user.type == 2:  # 如果是VIP用户
            return True
        else:
            return False

【2】视图级别配置

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    authentication_classes = [MyAuth, ]
    permission_classes = [MyPermission, ]

【3】全局级别设置

# 在settings.py中设置rest framework相关配置项
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
}

【四】限制

  • DRF内置了基本的限制类,首先我们自己动手写一个限制类,熟悉下限制组件的执行过程。

【1】自定义限制类

VISIT_RECORD = {}
# 自定义限制
class MyThrottle(object):

    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        """
        自定义频率限制60秒内只能访问三次
        """
        # 获取用户IP
        ip = request.META.get("REMOTE_ADDR")
        timestamp = time.time()
        if ip not in VISIT_RECORD:
            VISIT_RECORD[ip] = [timestamp, ]
            return True
        history = VISIT_RECORD[ip]
        self.history = history
        history.insert(0, timestamp)
        while history and history[-1] < timestamp - 60:
            history.pop()
        if len(history) > 3:
            return False
        else:
            return True

    def wait(self):
        """
        限制时间还剩多少
        """
        timestamp = time.time()
        return 60 - (timestamp - self.history[-1])

【2】视图使用

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    throttle_classes = [MyThrottle, ]

【3】全局使用

# 在settings.py中设置rest framework相关配置项
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]
}

【五】使用内置限制类

from rest_framework.throttling import SimpleRateThrottle


class VisitThrottle(SimpleRateThrottle):

    scope = "xxx"

    def get_cache_key(self, request, view):
        return self.get_ident(request)
  • 全局配置
# 在settings.py中设置rest framework相关配置项
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    # "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],
    "DEFAULT_THROTTLE_RATES": {
        "xxx": "5/m",
    }
}
Chimengmeng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django权限管理系统设计分析_django权限设计(1),2024年最新腾讯高级工程师面试流程
m0_63174618的博客
04-21 364
利用Django的中间件进行控制,没有登录的用户不能直接访问内部的url,而且只能访问admin,login,index这三个url,将其设置为白名单,用户登录成功后,将用户信息方法哦session里边,进行权限访问时去session里边读取,如果有的话进行url跳转,如果没有的话返回‘’无权访问‘’我们一般是先看到的是列表页面,在这个页面上是否显示添加,是否显示编辑,是否显示删除,都是需要判断的, 有无添加权限,有无删除权限,有无编辑权限,我们可以给每一个url一个代号,将代号取出来放在一个列表里面。
Django 权限认证(根据不同的用户,设置不同的显示和访问权限)
09-18
主要介绍了Django 权限认证(根据不同的用户,设置不同的显示和访问权限),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django REST framework框架手册
12-08
Django REST framework框架学习材料,包括DRF入门、DRF工程搭建、Serializer序列化器、视图、权限认证、过滤、排序、异常处理以及自动生成接口文档等。
Django restframework 框架认证权限、限流用法示例
09-18
主要介绍了Django restframework 框架认证权限、限流用法,结合实例形式详细分析了Djangorestframework 框架认证权限、限流的具体使用方法及相关操作注意事项,需要的朋友可以参考下
rest_framework_django学习笔记四(限流、权限)
最新发布
weixin_51715424的博客
11-30 1019
rest_framework_django限流、权限
Django-rest-framework框架认证权限频率
qq_59853240的博客
09-18 82
Django-rest-framework框架认证权限频率
rest_framework权限源码剖析
aaronthon的博客
06-24 274
  权限问题 1.models.py 2.用户类型: 3.views.py:   假设订单相关业务(只有SVIP用户有权限) 假设用户信息相关业务(只有普通用户、VIP有权限)  4.运行结果: 基本使用 以上的权限代码封装到一个类中,以后各个视图的get请求直接调用即可。不用每个类都写一遍权限。   自定义权限类: 需要找到has_permiss...
rest_framework 权限功能
asd0351992的博客
07-15 171
权限: 问题:不用视图不用权限可以访问 基本使用 写上一个权限类 创建utils 中 permission.py文件 class SvipPermisson(object): message = "必须是SVIP用户,否则无权访问" #页面无权时报错提示 def has_permission(se...
django 权限认证,
weixin_34356555的博客
12-11 131
挂机 转载于:https://www.cnblogs.com/zhangqing979797/p/10105430.html
django权限认证
kapuliyuehan的专栏
09-21 899
1、首先参考django官方文档,将admin模块搭建起来 2、一般我们设置了admin为管理员,但是管理员默认具备所有权限,即使没有显式赋权。 3、如何查找用户对应的权限 >>>from django.contrib.auth.models import User, Permission >>> User.objects.get(username__exact='admin').use
djangorestframework-api-key:for Django REST Framework的API密钥权限
02-06
Django REST框架API密钥 API密钥权限。 介绍 Django REST Framework API Key是一个库,用于允许服务器端客户端安全地使用您的API。 这些客户端通常是第三方后端和服务(即计算机),它们没有用户帐户,但仍需要以...
Python的Django REST框架中的序列化及请求和返回
09-21
主要介绍了Python的Django REST框架中的序列化及请求和返回,使用Django REST来实现RESTful web service非常方便和强大,需要的朋友可以参考下
Django restframework 认证
HXC_HUANG1的博客
11-04 656
通过前面的学习,我们已经了解了authentication的内部原理,接下来我们就可以实现自定义的authentication。]raise exceptions.AuthenticationFailed('用户认证失败')pass自定义一个Authtication类,类中必须要有authenticate方法和authenticate_header方法,其中authenticate_header方法是认证失败时返回的响应头。
rest_framework-权限-总结完结篇
asd0351992的博客
07-29 123
#权限#创建一个权限类 在view添加列表class MyPermission(object): #message 表示权限决绝时返回的数据 message = "必须是SVIP" def has_permission(self, request, view): if request.user.user_type != 3: retu...
restframework添加权限控制
qiuzhiuser的博客
05-31 105
3.在应用views中,导入permissions,并在视图函数下指定permission_classes = (permissions.IsAuthenticated,)2.utils模块中新增模块jwt_handler,并编写jwt_response_payload_handler函数,构建字典返回token。1.在settings中加入。
rest framework权限管理
weixin_34407348的博客
08-03 328
下面是对单个的视图进行的设置的: 请求的时候用postman然后发送信息 我们下面所有的举例都是在用户对Comment这个表的操作 首先先生成一个类似于cookie的字符串 发送给前端浏览器 然后下次它再访问带着这个认证字符串 登陆视图 #登陆视图 class LoginView(APIView): def post(self,re...
Django-restframework 认证
Pythoner的博客
05-23 152
【view层】 from rest_framework.authentication import BaseAuthentication from rest_framework import exceptions # 认证类 class MyAuthentication(object): def authenticate(self, request): # token = request._request.GET.get('token') name = reque
rest framework 权限
weixin_30409849的博客
06-24 84
一、权限示例 需求:不同的用户类型有不同的权限 普通用户:只能查看个人信息相关,序号:1 VIP 用户:只能查看个人信息相关,序号:2 SVIP 用户:查看订单相关信息,序号:3 1、新建 app/utils/permission.py: class SVIPPermission(object): def has_permission(self, request, view): ...
Django登录权限认证
陈子昂的博客
06-10 906
在有些情况下需要登录才可以访问,否则跳转到登录按钮,此文正是解决这个问题。 1.首先在utils文件夹中创建一个mixin_utils.py from django.contrib.auth.decorators import login_required from django.utils.decorators import method_decorator class Logi
Django rest framework后端开发文档
05-21
Django REST framework提供了多种认证权限选项,可以通过`settings.py`中的`DEFAULT_AUTHENTICATION_CLASSES`和`DEFAULT_PERMISSION_CLASSES`设置默认选项。 ### 认证 Django REST framework提供了多种认证选项...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值