rest framework-认证,权限,节流

最新推荐文章于 2021-12-13 21:51:46 发布
最新推荐文章于 2021-12-13 21:51:46 发布
阅读量177 收藏
点赞数
分类专栏: Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc_park/article/details/104911687
版权

认证

1、主路由表

from django.contrib import admin
from django.urls import path, include

urlpatterns = [
    path('admin/', admin.site.urls),
    path('certification/',include('certification.urls')),
]

2、APP的mode

from django.db import models


class UserInfo(models.Model):
    user_type = (
        (1,'普通用户'),
        (2,'vip'),
        (3,'svip'),
    )
    user_type = models.IntegerField(choices=user_type)
    u_name = models.CharField(max_length=16,unique=True)
    u_password = models.CharField(max_length=64)

    class Meta:
        db_table = 'student'

    def to_dict(self):
        return {'id':self.id,'u_name':self.u_name,'u_password':self.u_password,'user_type':self.user_type}

class UserToken(models.Model):   #token表
    user = models.OneToOneField(to='UserInfo',on_delete=models.CASCADE)
    token = models.CharField(max_length=64)

3、APP路由表

from django.urls import path
from certification import views

urlpatterns = [
    path('request/', views.CBVget.as_view(), name='request'),
    path('lg/',views.CBVlogin.as_view(),name='lg')
]

4、APP的权限认证表

from rest_framework import exceptions
from rest_framework.views import APIView

from certification.models import UserInfo,UserToken
from rest_framework.authentication import BaseAuthentication

class Authtication(BaseAuthentication):

    def authenticate(self,request):    #做认证逻辑
        token = request.query_params.get('token')
        token_obj = UserToken.objects.filter(token=token).first()
        if not token_obj:
            data = {
                'code':10001,
                'msg':'认证失败'
            }
            raise exceptions.AuthenticationFailed(data)
        return (token_obj.user,token_obj)

    def authenticate_header(self,request):   #认证失败给浏览器返回的响应头
        pass

5、APP的views

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.models import UserInfo,UserToken
import uuid
from certification.utils.auth import Authtication


class CBVget(APIView):

    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}
    def get(self,request,*args,**kwargs):  #根据权限查询人员信息信息
        user_list =UserInfo.objects.all()  #all获取的是all返回的是QuerySet对象,程序并没有真的在数据库中执行SQL语句查询数据
                                            # ,但支持迭代,使用for循环可以获取数据。
        user_list_json = []
        for user in user_list:
            user_list_json.append(user.to_dict())
        data ={
            'code':1000,
            'msg':'success',
            'data':user_list_json
        }
        return JsonResponse(data=data)


class CBVlogin(APIView):

    def post(self,request,*args,**kwargs):  #登录学生信息
           ret = {'code':1000,'msg':None}
           try:
               user = request._request.POST.get('u_name')
               pwd = request._request.POST.get('u_password')
               obj = UserInfo.objects.filter(u_name=user,u_password=pwd).first()  #查找匹配用户
               if not obj:
                   ret['code'] = 1001
                   ret['msg'] = '用户名或密码错误'
               #为用户创建token
               # token = uuid(user)
               token = uuid.uuid4().hex
               #存在就更新,不存在就创建
               UserToken.objects.update_or_create(user=obj,defaults={'token':token})
               ret['token'] = token
           except Exception as e:
               ret['code'] = '1002'
               ret['msg'] = '请求异常'
           return JsonResponse(ret)



认证知识点梳理:
    1、使用
        创建类:继承BaseAuthentication,实现authenticate方法
        返回值:
            none:不管,下一个认证来执行
            raise exceptions.AuthenticationFailed('用户认证失败')
            (元素1,元素2);元素1赋值给request.user,元素2赋值给request.auth
        局部使用:from rest_framework.authentication import BaseAuthentication,BasicAuthentication
            class UserInfo(APIView):
                authentication_classes = [BasicAuthentication]
                def get(self,request,*args,**kwargs):
                    print(request.user)
                    return HttpResponse('用户信息')
                    
        全部使用:
            REST_FRAMEWORK = {
            'DEFAULT_AUTHENTICATION_CLASSES':['cretification.utils.auth.Authtication'],
            'UNAUTHENTICATED_USER':None,   #匿名,request.user = None
            'UNAUTHENTICATED_TOKEN':None,  #匿名 request.auth = None
        }
        
    2、源码流程
        dispatch
            封装request
                获取定义的认证类(全局/局部),通过列表生成式创建对象
            initial
                perform authenticate
                    request.user (内部循环。。。)

权限

路由配置同上
1、权限表

from rest_framework.permissions import BasePermission


class MyPermission(BasePermission):
    message = '只有svip才可以访问'   #自定义返回的提示语
    def has_permission(self,request,view):
        if request.user.user_type != 3:
            return False
        return True

2、APP的view表

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.utils.auth import Authtication
from certification.utils.permission import MyPermission

class CBVget(APIView):

    permission_classes = [MyPermission,]   #引用认证
    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}

    def get(self,request,*args,**kwargs):
        self.dispatch
        ret = {'code':2000,'msg':None,'data':None}
        try:
            return JsonResponse(data=ret)
        except Exception as e:
            pass
        return JsonResponse('查询失败')

使用SVIP用户访问的结果入下:
在这里插入图片描述
使用非SVIP用户访问的结果如下:
在这里插入图片描述
使用BasePermission实现的权限认证,与注册用户时自动根据用户名配置其权限信息

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.models import UserInfo,UserToken
import uuid
from certification.utils.auth import Authtication
from certification.utils.permission import MyPermission

class CBVget(APIView):

    permission_classes = [MyPermission,]   #引用认证
    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}

    def get(self,request,*args,**kwargs):  #根据权限查询人员信息信息
        user_list =UserInfo.objects.all()  #all获取的是all返回的是QuerySet对象,程序并没有真的在数据库中执行SQL语句查询数据
        #                                     # ,但支持迭代,使用for循环可以获取数据。
        user_list_json = []
        user_token = request.query_params.get('token')  #获取用户的token信息
        user_id = UserToken.objects.get(token=user_token).user_id  #根据token获取user_id
        user_type = UserInfo.objects.get(id=user_id).user_type   #根据user_id获取用户类型
        if user_type == 3:
            for user in user_list:
                user_list_json.append(user.to_dict())
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list_json
            }
            return JsonResponse(data=data)
        else:
            user_token = request.query_params.get('token')
            user_id = UserToken.objects.get(token=user_token).user_id
            user_list = UserInfo.objects.get(id=user_id)
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list.to_dict()
            }
            return JsonResponse(data=data)


class CBVlogin(APIView):

    def post(self,request,*args,**kwargs):  #登录学生信息
        # action = request._request.GET.get('action')  #query_params等于_request.GET,进到源码查看
        action = request.query_params.get('action')
        if action == 'login':
            ret = {'code':1000,'msg':None}
            try:
                user = request._request.POST.get('u_name')
                pwd = request._request.POST.get('u_password')
                obj = UserInfo.objects.filter(u_name=user,u_password=pwd).first()  #查找匹配用户
                if not obj:
                    ret['code'] = 1001
                    ret['msg'] = '用户名或密码错误'
                #为用户创建token
                # token = uuid(user)
                token = uuid.uuid4().hex
                #存在就更新,不存在就创建
                UserToken.objects.update_or_create(user=obj,defaults={'token':token})
                ret['token'] = token
            except Exception as e:
                ret['code'] = '1002'
                ret['msg'] = '请求异常'
            return JsonResponse(ret)

        elif action == 'regist':    #注册用户,根据用户名直接设置该用户的角色
            user_type_svip = ['cq','yyx']   #用户配置表可以放到一块,再引用过来
            user_type_vip = ['zjj','lfr']
            user = request._request.POST.get('u_name')
            pwd = request._request.POST.get('u_password')
            users = UserInfo()
            users.u_name = user
            users.u_password = pwd
            print(user,pwd)
            if user in user_type_svip:
                user_type = 3
                users.user_type = user_type
            elif user in user_type_vip:
                user_type = 2
                users.user_type = user_type
            else:
                user_type = 1
                users.user_type = user_type
            users.save()
            ret = {
                'code': 2000,
                'msg': '新增用户成功',
            }
            return JsonResponse(ret)



权限知识点梳理:
    1、使用
        类:必须继承:BasePermission 必须实现:has_permission方法
        
        返回值:
            -True:有权访问
            -False:无权访问
            
        局部使用:
            permission_classes = [MyPermission,] 
            def get(self,request,*args,**kwargs):
                return HttpResponse('用户信息')
                
        全局配置:
        
          REST_FRAMEWORK = {
            'DEFAULT_PERMISSION_CLASSES':['cretification.utils.permission.MyPermission']
        }

节流

路由配置同上
1、APP节流表

import time
from rest_framework.throttling import BaseThrottle,SimpleRateThrottle


VISIT_RECORD = {}   #设置的全局,重启就没了,可以放到数据库或者缓存


class VisitThrottle(BaseThrottle):
    """60秒内访问3次"""

    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        # 获取用户ip
        # ip_addr = self.get_ident(request)  #类自带的获取ip的方法
        ip_addr = request.META.get('REMOTE_ADDR')
        ctime = time.time()
        if ip_addr not in VISIT_RECORD:
            VISIT_RECORD[ip_addr] = [ctime]
            return True
        history = VISIT_RECORD.get(ip_addr)
        self.history = history

        while history and history[-1] < ctime - 60:  # 判断历史表里面的第一次访问时间是否超过一分钟
            history.pop()  # 超多了就删除掉

        if len(history) < 3:
            history.insert(0, ctime)  # 满足条件就可以访问,并把访问时间插入历史列表
            return True

        # return True  #表示可以访问,反之不可以访问

    def wait(self):
        """显示还有多少秒可以访问"""
        ctime = time.time()
        return 60 - (ctime - self.history[-1])  # 得到可以访问的时间


#类自带的实现次数限定,
class VisitThrottle(SimpleRateThrottle):
    """
    设置,根据IP限制每分钟访问3次
    """
    scope = 'cc'  #随意写,源码当做key值调用  需要到配置文件设置
    def get_cache_key(self, request, view):
        # self.parse_rate()   #可以到源码查看,配置文件设置时间和次数的格式
        return self.get_ident(request)

2、APP的view

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.models import UserInfo,UserToken
import uuid
from certification.utils.auth import Authtication
from certification.utils.permission import MyPermission
from certification.utils.throttle import VisitThrottle

class CBVget(APIView):

    permission_classes = [MyPermission,]   #引用认证
    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}
    throttle_classes = [VisitThrottle,]   #节流


    def get(self,request,*args,**kwargs):  #根据权限查询人员信息信息
        user_list =UserInfo.objects.all()  #all获取的是all返回的是QuerySet对象,程序并没有真的在数据库中执行SQL语句查询数据
        #                                     # ,但支持迭代,使用for循环可以获取数据。
        user_list_json = []
        user_token = request.query_params.get('token')  #获取用户的token信息
        user_id = UserToken.objects.get(token=user_token).user_id  #根据token获取user_id
        user_type = UserInfo.objects.get(id=user_id).user_type   #根据user_id获取用户类型
        if user_type == 3:
            for user in user_list:
                user_list_json.append(user.to_dict())
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list_json
            }
            return JsonResponse(data=data)
        else:
            user_token = request.query_params.get('token')
            user_id = UserToken.objects.get(token=user_token).user_id
            user_list = UserInfo.objects.get(id=user_id)
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list.to_dict()
            }
            return JsonResponse(data=data)

class CBVlogin(APIView):

    def post(self,request,*args,**kwargs):  #登录学生信息
        # action = request._request.GET.get('action')  #query_params等于_request.GET,进到源码查看
        action = request.query_params.get('action')
        if action == 'login':
            ret = {'code':1000,'msg':None}
            try:
                user = request._request.POST.get('u_name')
                pwd = request._request.POST.get('u_password')
                obj = UserInfo.objects.filter(u_name=user,u_password=pwd).first()  #查找匹配用户
                if not obj:
                    ret['code'] = 1001
                    ret['msg'] = '用户名或密码错误'
                #为用户创建token
                # token = uuid(user)
                token = uuid.uuid4().hex
                #存在就更新,不存在就创建
                UserToken.objects.update_or_create(user=obj,defaults={'token':token})
                ret['token'] = token
            except Exception as e:
                ret['code'] = '1002'
                ret['msg'] = '请求异常'
            return JsonResponse(ret)

        elif action == 'regist':    #注册用户,根据用户名直接设置该用户的角色
            user_type_svip = ['cq','yyx']   #用户配置表可以放到一块,再引用过来
            user_type_vip = ['zjj','lfr']
            user = request._request.POST.get('u_name')
            pwd = request._request.POST.get('u_password')
            users = UserInfo()
            users.u_name = user
            users.u_password = pwd
            print(user,pwd)
            if user in user_type_svip:
                user_type = 3
                users.user_type = user_type
            elif user in user_type_vip:
                user_type = 2
                users.user_type = user_type
            else:
                user_type = 1
                users.user_type = user_type
            users.save()
            ret = {
                'code': 2000,
                'msg': '新增用户成功',
            }
            return JsonResponse(ret)

超时的效果图
在这里插入图片描述

知识点梳理:
    1、基本使用
    类:继承BaseThrottle ,实现:allow_request  wait
    类: 继承SimpleRateThrottle   实现:get_cache_key   scope = 'cc' ==>配置文件中的key
    
    2、局部
         throttle_classes = [VisitThrottle,]   #节流
         
    3、全局
    REST_FRAMEWORK = {
    'DEFAULT_THROTTL_RATES':{
      'cc':"3/m"                        #代码每一分钟访问3次,具体可以进到源码parse_rate查看设置方式
    },
}
一个昵称。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-rest-framework中的用户认证权限节流
wcw_____的博客
05-20 243
认证权限 用户注册 设计数据模型,设计字段标识用户权限 实际就是数据的添加 POST users 接收数据进行存储 增加了内置超级用户的功能 在创建(即用户注册)的时候去判断是否在超级用户表中 用户登录 POST users 添加区分方式,用来区分注册和登录 在query_params中添加action参数 通过action参数进行分支处理 脱离cookie session失效 设计令牌策略 用户在登录时生成令牌,后端存储在cache中,以json格式返回给前端 用户认证 继承自系统的基类Ba
Django REST framework - View 视图
你呢的博客
03-23 326
APIView APIView是rest framework中最常用也是最基本的一个视图。APIView继承自Django的View视图,并对Django的原生request进行了一些封装,主要封装了验证、权限节流三部分。 先看一下APIView中验证、权限节流的流程是怎样的 验证 rest framework提供了一个验证的基类与4个验证类 class BaseAuthenticati...
drf认证节流权限、版本
adrian_boy的博客
11-16 205
Django rest framework 认证: 作用:验证用户是否登录 在视图类中写上authentication_classes = [ ],这是一个列表 需要实现 authenticate() 方法 应用 自定义验证 import jwt from rest_framework import exceptions from rest_framework.authentica...
rest_framework认证源码剖析
aaronthon的博客
06-23 282
如果我们写API有人能访问,有人不能访问,则需要些认证。 如何知道该用户是否已登入? 如果用户登入成功,则给用户一个随机字符串,去访问另一个页面。   以前写session的时候,都是把session写cookie里面。   那现在我们可以把随机字符串通过返回值的方式给用户。   后端通过查看用户的url判断用户有没有token值且这个字符串是否正确也要判断。有则已登入,可以访问...
SpringBoot——统一异常处理(一)
滕柳
05-09 3115
这篇文章也是连接着上一篇文章《SpringBoot——AOP处理请求日志》,我们来继续完善和优化我们的SpringBoot,这次来说一说统一异常处理【异常处理】 异常处理是编程语言或计算机硬件里的一种机制,用于处理软件或信息系统中出现的异常状况(即超出程序正常执行流程的某些特殊条件)这个功能帮助代码增强了可读性,方便了维护者的阅读和理解。 异常处理使用 try、catch 和 finally 关键...
统一异常处理
777的博客
01-12 2327
为什么需要做统一异常处理:因为如果不做统一处理,返回与前端的数据会非常乱,前端不好处理;并且不做统一处理,controller层就要写很多的重复代码。统一格式:{ "code":10001, "msg":"异常信息", "data":null } { "code":10000, "msg":"SUCCESS", "data":{
Django object.get_or_create()
不写代码的博客
09-05 1万+
使用get_or_create() 使用方式user, b = User.objects.get_or_create(u_id=1, name="张三", defaults={'address':'上海'}) print(user) 等同于users = User.objects.get(u_id=1, name="张三") if user: print(user) else: ...
django-rest-framework(五)(节流)
wphoenix的博客
04-29 188
节流 需求:控制用户的访问的频率(10秒中内访问三次) 思想:设立一个全局变量字典,对于匿名用户,将用户的IP作为字典的键;对于登陆用户,将用户的用户名作为字典的键。设置字典的值为一个列表,列表中存储了用户访问的时间,可以通过对列表中的时间进行操作来控制访问频率 ...
django中的重量级框架 django-rest-framework
wcw_____的博客
05-20 289
django-rest-framework 使用命令安装: pip install djangorestframework 配置restframework 在settings中的INSTALLED_APPS里添加'rest_framework', 添加restframework的配置 REST_FRAMEWORK = { # Use Django's standard `django.contrib.auth` permissions, # or allow read-only access for un
django restframework 中 APIView中 验证 权限 以及节流使用 以及一点点原理说明
dandanfengyun的博客
01-05 2485
本博客作为个人笔记使用 主要是 记录 APIView 类的 用户认证 权限校验 以及 节流的使用与一些 原理说明 水平十分有限 创建 用户 使用的是django自带的User。 序列化器 如下 from django.contrib.auth.models import User from rest_framework import serializers class MyUserSeria...
django get_or_create()如果有就取这个数据,如果没有就创建数据
热门推荐
qq_27361945的博客
07-21 1万+
以前不知道这个函数,结果自己编过一个类似的函数,实现这个功能: # 查子表中是否有要插入的项,比如基站类型中是否已经有宏站这一项,如果有就返回这一项的对象,没有就添加宏站数据并返回对象 # 返回值时找到的一条数据对象,或者创建的一条数据对象 def find_or_create_field_content_in_some_class(classmodel, criteria): q...
笔记: Django Rest Framework 权限类Permission自定义 使用流程概述
05-13 1494
目的: 为不同的试图 用不同的权限访问 只要写上一个类,权限类,然后在views中引入就可以了,套路和上面的权的是一样的模式 如下所以: 写的权限类: has_permission()返回True表示权限认证成功,返回False表示权限不通过,这个函数同时有三个参数,最后一个是view, 这个是在源码中规定的 注意里面的message #下面是权限的代码, 没有继承restframework类中的任何一个类 class MyPermission(object): message = '这里可以定制返
REST_FRAMEWORK权限permission
weixin_40310390的博客
08-03 690
REST_FRAMEWORK重要组件--->permission2.权限(permission) 2.权限(permission) (1).如果说认证是浏览器带token或者其他字段与后台字段建立起来的一座桥梁,那么权限就是穿越桥梁所遇到的     一个门槛。当你的权限很高时,你所能跨越的门槛就很高,即系统向你提供的信息就很多。相反,则只能看...
django 数据库 get_or_create函数返回值是tuple
djshichaoren的专栏
09-06 9570
get_or_create函数比较好用。 如果查询到就返回,如果没查询到就向数据库加入新的对象。 e.g. size = Size.objects.get_or_create(sizeName=size_text) 注意:返回的是tuple,:(对象, 是否是创建的) e.g. (size, created)
DjangoRestFramework使用总结
记录一些有用的东西
12-13 3928
本文主要描述DjangoRestFramework的相关内容,内容比较全,可以当使用手册使用。
2024影视泛系统,CMS苹果V10二开影视泛程序,苹果影视泛目录.txt
09-02
后台地址:http://域名/shensss.php/admin/index/login.html 账号和密码:admin 数据库:lao 密码pFSGtemHShMTszhB 数据库文件:根目录/application/database.php 伪静态: if (!-e $request_filename) { rewrite ^/index.php(.*)$ /index.php?s=$1 last; rewrite ^/api.php(.*)$ /api.php?s=$1 last; rewrite ^/shensss.php(.*)$ /shensss.php?s=$1 last; rewrite ^(.*)$ /index.php?s=$1 last; break; } rewrite ^/vod-(.*)$ /index.php?m=vod-$1 break; rewrite ^/art-(.*)$ /index.php?m=art-$1 break; rewrite ^/gbook-(.*)$ /index.php?m=gbook-$1 bre
JSP001网络购物系统毕业课程设计源码
最新发布
09-02
编号:34 实现技术: Java + Sqlserver 包括网站前端用户和后台管理员。用户注册登录后可以根据商品类别和关键字查询商品,可以加入商品到购物车,下单购买,查询订单,修改个人信息,给管理员留言,查询销售排行榜和友情链接等;管理员登录后台后可以添加商品和管理商品,查询管理用户订单信息,查询管理员用户信息,添加友情链接,公告信息管理等。
大寺镇应急指挥系统PPT(58页).pptx
09-02
大寺镇应急指挥系统PPT(58页)
大数据管理与监控:Cloudera Manager:Sqoop数据导入导出技术.docx
09-02
大数据管理与监控:Cloudera Manager:Sqoop数据导入导出技术.docx
Django-Rest-Framework权限管理源码解析与实践总结
通过以上介绍,我们可以看出Django-Rest-Framework权限管理系统是灵活且强大的,它允许开发者根据项目需求定制合适的认证和许可策略,确保API的安全性和可控性。了解并熟练掌握这些概念,对于开发安全的RESTful ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值