drf——认证、权限、频率源码分析、全局异常处理、自动生成接口文档、RBAC介绍

已于 2022-06-23 17:04:38 修改
阅读量486 收藏 2
点赞数
分类专栏: web框架 django框架 文章标签: django 后端
于 2022-06-22 21:02:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kdq18486588014/article/details/125412472
版权

系列文章目录

drf
第一章 django web开发模式、api接口、api接口测试工具、restful规范、序列化反序列化、drf安装使用

第二章 drf的使用、APIView源码分析、Request源码分析、Serializer的序列化

第三章 Serializer的反序列化、字段与参数、局部与全局钩子、ModelSerializer使用

第四章 drf认证、权限、频率源码分析、全局异常处理、自动生成接口文档、RBAC介绍

文章目录

一、认证源码分析

所有视图都是基于APIView

class APIView(View):
	# 获取认证配置
	authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
	# 
	settings = api_settings

然后APIView的as_view会运行dispatch方法

    def dispatch(self, request, *args, **kwargs):

        self.args = args
        self.kwargs = kwargs
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
        	# 在此处运行了initial来处理认证
            self.initial(request, *args, **kwargs)
        return self.response

initial方法运行perform_authentication

    def initial(self, request, *args, **kwargs):
        self.format_kwarg = self.get_format_suffix(**kwargs)
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme
        #此处运行认证相关方法
        self.perform_authentication(request)
        self.check_permissions(request)
        self.check_throttles(request)

perform_authentication将传入的user进行验证

    def perform_authentication(self, request):
        request.user

request的user将会进行登录认证

    def __init__(self, request, parsers=None, authenticators=None,
                 negotiator=None, parser_context=None):
        assert isinstance(request, HttpRequest), (
            'The `request` argument must be an instance of '
            '`django.http.HttpRequest`, not `{}.{}`.'
            .format(request.__class__.__module__, request.__class__.__name__)
        )

        self._request = request
        self.parsers = parsers or ()
        self.authenticators = authenticators or ()
        self.negotiator = negotiator or self._default_negotiator()
        self.parser_context = parser_context
        self._data = Empty
        self._files = Empty
        self._full_data = Empty
        self._content_type = Empty
        self._stream = Empty

        if self.parser_context is None:
            self.parser_context = {}
        self.parser_context['request'] = self
        self.parser_context['encoding'] = request.encoding or settings.DEFAULT_CHARSET

        force_user = getattr(request, '_force_auth_user', None)
        force_token = getattr(request, '_force_auth_token', None)
        if force_user is not None or force_token is not None:
            forced_auth = ForcedAuthentication(force_user, force_token)
            self.authenticators = (forced_auth,)

二、权限源码分析

所有视图都是基于APIView

class APIView(View):
	# 获取认证配置
	authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
	# 
	settings = api_settings

然后APIView的as_view会运行dispatch方法

    def dispatch(self, request, *args, **kwargs):

        self.args = args
        self.kwargs = kwargs
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
        	# 在此处运行了initial来处理认证
            self.initial(request, *args, **kwargs)
        return self.response

initial方法运行check_permissions

    def initial(self, request, *args, **kwargs):
        self.format_kwarg = self.get_format_suffix(**kwargs)
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme
        self.perform_authentication(request)
        #此处运行认证相关方法
        self.check_permissions(request)
        self.check_throttles(request)

check_permissions将会进行权限的验证

    def check_permissions(self, request):
    	# 不断从权限列表获取权限类然后判断
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request,
                    message=getattr(permission, 'message', None),
                    code=getattr(permission, 'code', None)
                )

三、频率源码分析

所有视图都是基于APIView

class APIView(View):
	# 获取认证配置
	authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
	# 
	settings = api_settings

然后APIView的as_view会运行dispatch方法

    def dispatch(self, request, *args, **kwargs):

        self.args = args
        self.kwargs = kwargs
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
        	# 在此处运行了initial来处理认证
            self.initial(request, *args, **kwargs)
        return self.response

initial方法运行check_throttles

    def initial(self, request, *args, **kwargs):
        self.format_kwarg = self.get_format_suffix(**kwargs)
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme
        self.perform_authentication(request)
        self.check_permissions(request)
        #此处运行频率相关方法
        self.check_throttles(request)

check_throttles将会对需要限制的资源进行访问限制

    def check_throttles(self, request):
        throttle_durations = []
        for throttle in self.get_throttles():
            if not throttle.allow_request(request, self):
                throttle_durations.append(throttle.wait())

        if throttle_durations:
            durations = [
                duration for duration in throttle_durations
                if duration is not None
            ]
            duration = max(durations, default=None)
            self.throttled(request, duration)

四、全局异常处理

drf配置文件中,已经配置了,但是它不只能对drf的异常做出处理,而我们需要的是能对各种异常都进行处理,以便提高代码的健壮性(鲁棒性)

drf的配置文件的默认配置文件

'EXCEPTION_HANDLER': 'rest_framework.views.exception_handler',

当触发drf的异常错误时会调用exception_handler来处理

def exception_handler(exc, context):
    if isinstance(exc, Http404):
        exc = exceptions.NotFound()
    elif isinstance(exc, PermissionDenied):
        exc = exceptions.PermissionDenied()

    if isinstance(exc, exceptions.APIException):
        headers = {}
        if getattr(exc, 'auth_header', None):
            headers['WWW-Authenticate'] = exc.auth_header
        if getattr(exc, 'wait', None):
            headers['Retry-After'] = '%d' % exc.wait

        if isinstance(exc.detail, (list, dict)):
            data = exc.detail
        else:
            data = {'detail': exc.detail}

        set_rollback()
        return Response(data, status=exc.status_code, headers=headers)

    return None

自定义全局异常处理函数

exc 为错误原因
context 为发生错误的函数 参数 求情等组成的字典

exc: list index out of range
context: {‘view’: <app01.views.UserApiView object at 0x0000024F4D011708>, ‘args’: (), ‘kwargs’: {}, ‘request’: <rest_framework.request.Request: GET ‘/user/’>}

from rest_framework.views import exception_handler
from rest_framework.response import Response

def common_exception_handler(exc, context):
    dict_code = {'code':10001}
    response = exception_handler(exc, context)
    if response:
        dict_code['msg'] = str(exc)
    else:
        dict_code['code'] = 10002
        dict_code['msg'] = str(exc)
    return Response(dict_code)

五、自动生成接口文档

第一种:写word、md提交到git上
第二种:使用接口文档平台,如公司自己开发、yapi(百度开源)、第三方接口文档平台

drf中自动生成接口文档

自动生成接口文档是在自动路由的基础上形成的也就是在ViewSetMixin的基础上才能实现

如coreapi,swagger

coreapi使用步骤
1.安装 pip install coreapi
2.加入路由

from rest_framework.documentation import include_docs_urls
        urlpatterns = [
            path('docs/', include_docs_urls(title='站点页面标题'))
        ]

3.配置文件

REST_FRAMEWORK = {
         'DEFAULT_SCHEMA_CLASS': 'rest_framework.schemas.coreapi.AutoSchema',
        }

例如:
urls.py

from django.contrib import admin
from django.urls import path
from rest_framework.routers import SimpleRouter

from app01 import views
from rest_framework.documentation import include_docs_urls

router=SimpleRouter()
router.register('book2',views.BookInfoViewSet,'book2')
urlpatterns = [
    path('docs/', include_docs_urls(title='站点页面标题')),
    path('admin/', admin.site.urls),
    path('user/', views.UserApiView.as_view({'get':'get'})),
]
urlpatterns+=router.urls

views.py

class UserApiView(ViewSetMixin,APIView):
    """
        get:
        返回所有用户信息.
    """
    def get(self, request):
        l = [1,2]
        print(l[1])
        return Response({'coe':'code'})

# 自动生成接口文档的测试
from rest_framework import generics
class BookListView(generics.ListAPIView):
    """
    返回所有图书信息.
    """
class BookListCreateView(generics.ListCreateAPIView):
    """
    get:
    返回所有图书信息.

    post:
    新建图书.
    """
from rest_framework import mixins
from rest_framework.viewsets import GenericViewSet
class BookInfoViewSet(mixins.ListModelMixin, mixins.RetrieveModelMixin, GenericViewSet):
    """
    list:
    返回图书列表数据

    retrieve:
    返回图书详情数据

    latest:
    返回最新的图书数据

    read:
    修改图书的阅读量
    """

效果图:
在这里插入图片描述

六、RBAC介绍

RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。

这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便

django的后台admin就有RBAC存在

山上有个车
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6.DRF IP限次访问&JWT认证&RBAC权限&缓存
清风
04-27 2777
0. 准备环境 * 1. 新建一个项目, 不创建模板层 * 2. 将rest_framework注册到app应用列表中. # settings.py 文件app列表属性中注册rest_framework INSTALLED_APPS = [ ... 'rest_framework' ] * 3. 自定义正常响应类与异常响应类 # 正常响应, 继承Response重写响应方法 from rest_framework.response import Response from rest_fr
drf_admin:项目基于DjangoDjango REST框架(DRF),Channels,Redis,Vue的前分离分离的后台管理系统,项目采用分模块开发方式,权限控制采用RBAC,目前正在开发中...... :tianpangji.github.io
02-14
DRF-ADMIN后台管理系统 项目简介 一个基于DjangoDjango REST框架(DRF),Channels,Redis,Vue的前分离分离的后台管理系统 项目正在开发中...... 项目源码 初步源码 前端原始码 的github 项目文档 留坑 系统功能 系统管理 用户管理:提供用户的相关配置及用户筛选,添加用户后,默认密码为123456 角色管理:对权限进行分配,可依据实际需要设置角色 权限管理:权限自由控制,增删改查等 部门管理:可配置系统组织架构,树形表格展示 任务调度:Cron任务管理 系统监控 在线用户:在线用户监控 IP黑名单:实现系统IP黑名单拉黑功能 CRUD日志:实现CRUD日志记录功能 错误日志:显示后台未知错误及其详情信息 服务监控:实时监控查看后台服务器性能 资产管理 服务器管理:服务器增删改改查 网络设备:待实现 存储设备:待实现 安全设备:待实现
四、drf_admin(权限RBAC)后台管理系统(RBAC权限篇)
Mr_w_ang的博客
03-16 4505
四、drf_admin(权限RBAC)后台管理系统(RBAC权限篇) 本篇主要介绍基于DjangoDRF(Django REST framework)、RBAC,实现基于角色控制的权限管理 drf_admin采用Python、DjangoDRF等技术开发,志在用最短的时间、最简洁的代码,实现开箱即用的后台管理系统。 欢迎访问drf_admin;欢迎star,点个☆小星星☆哦。 项目地址 drf_admin(后端):https://github.com/TianPangJi/drf_admin fe_ad
DRF-JTW
Python_anning的博客
10-12 417
1 JWT认证 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 # Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 # JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获
Django Rest Framework中文文档:Serializer relations
dangfulin的博客
02-07 3279
这是对DRF官方文档:Serializer relations的翻译,根据个人的理解对内容做了些补充、修改和整理。 一,django模型间的关系 在我们对数据进行建模时,最重要的一点就是根据功能需求分析出实体及其关系, 在实现阶段: 一个实体对应一个模型,一个模型就是一张数据表; 实体间的关系由模型中的关系字段进行表示,模型间的关系就是数据表间的关系。 这种设计理念与关系型数据库的设计理念相符。而关系型数据库的强大之就处在于表示与处理各表之间的关联关系。 为此,Django 提供了定义三种最常见的数据库
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
最新发布
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与DRF 3.x构建的。该项目采用Python语言编写,包含49个文件,其中Python源文件占45个,另外还包括.gitignore、SQL脚本、Markdown文档及文本文件各一个。本项目名...
DRF 自动生成接口文档.doc
07-12
在本文档中,我们将介绍如何使用 Django Rest Framework (DRF) 自动生成接口文档。自动化生成接口文档可以减少 手动编写文档的工作量,并且可以确保文档的准确性和最新性。 什么是接口文档? ---------------- ...
translate_drf:对DRF框架源码分析,总结笔记
03-23
以后复习的时候也可以很快进行复习第01章-学习资料第02章python基础第03章drf-认证分析第04章drf-权限分析第05章drf-频率分析第06章drf-API版本分析第07章drf-解析器分析第07章drf-序列化分析第07章drf-分页分析第08...
Django DRF认证组件流程实现原理详解
09-16
主要介绍Django DRF认证组件流程实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
drf_openapi:[已弃用]通过OpenAPI标准自动生成的精美Django Rest Framework API文档
04-14
DRF OpenAPI 弃用通知:不建议使用此项目,而推荐使用或者如果您可以等待 :): ):) 从使用Django Rest Framework创建的API生成与OpenAPI兼容的架构。 使用作为默认界面,而不是Swagger。 对API版本更改日志和特定于...
基于djangoRBAC权限控制模块
07-05
这个是一个权限控制模块,使用python3写的,可以导入(permission)直接使用。写了一个中间件实现权限控制,可以在后台分配权限。具体使用方式看文件里的readme.md。
30--Django-后端开发-drfRBAC分析、simple-ui的使用、JWT签发认证源码分析
摘 月
02-15 574
1.自定义User表实现jwt的token签发views.py。
如何写好接口文档
weixin_33720452的博客
01-28 389
1 HTTP携带信息的方式 url headers body: 包括请求体,响应体 2 分离通用信息 一般来说,headers里的信息都是通用的,可以提前说明,作为默认参数 3 路径中的参数表达式 URL中参数表达式使用mustache的形式,参数包裹在双大括号之中{{paramName}} 例如: /api/user/{{use...
DRF使用文档功能
__tian__的博客
08-17 682
DRF自带的的文档生成功能,非常方便。 配置: from rest_framework.documentation import include_docs_urls urlpatten=[ …… url(r'docs/', include_docs_urls(title="yitao")), …… ] 在settings.py文件中,需加上 REST_FRAM...
Django(51)drf渲染模块源码分析
weixin_43880991的博客
06-08 336
前言 渲染模块的原理和解析模块是一样,drf默认的渲染有2种方式,一种是json格式,另一种是模板方式。 渲染模块源码入口 入口:APIView类中dispatch方法中的:self.response = self.finalize_response(request, response, *args, **kwargs) 渲染模块源码分析 我们首先点击finalize_response进入查看源...
DRF的十大组件之认证权限、节流
Anansoul的博客
08-04 877
1.认证   定义一个用户表和一个保存用户的Token表 # django的settings文件 REST_FRAMEWORK = { # 全局 "DEFAULT_AUTHENTICATION_CLASSES": ["myutils.auth.MyAuthtication",] } 2.权限   只有VIP用户才能看的内容:   自定义权限类: from rest_framew...
DRF 框架总结 - 自动生成接口文档
qyf__123的博客
12-14 1971
自动生成接口文档 REST framework可以自动帮助我们生成接口文档接口文档以网页的方式呈现。 自动接口文档能生成的是继承自APIView及其子类的视图。 1. 安装依赖 REST framewrok生成接口文档需要coreapi库的支持。 pip install coreapi 2. 设置接口文档访问路径 在总路由中添加接口文档路径。 文档路由对应的视图配置为rest_frame...
Django-DRF框架】生成各种API接口文档
python全栈
05-21 794
方式一: 安装 pipenv install coreapi pipenv install Pygments pipenv install Markdown 配置 REST_FRAMEWORK = { ...... #指定用于支持coreapi的Schema 'DEFAULT_SCHEMA_CLASS':'rest_framework.schemas.coreapi.AutoSchema' } 在全局路由条目中,定义路由条目 from rest_framework.documen
DRF 有哪些认证权限控制方式
05-12
DRFDjango Rest Framework)提供了多种认证权限控制方式,包括: 1. 认证方式: - BasicAuthentication:基础认证方式,使用用户名和密码进行认证。 - TokenAuthentication:令牌认证方式,使用用户令牌进行认证。 - SessionAuthentication:会话认证方式,使用 Django session 进行认证。 - JSONWebTokenAuthentication:JSON Web Token 认证方式,使用 JWT 进行认证。 - OAuth2Authentication:OAuth2 认证方式,使用 OAuth2 进行认证。 2. 权限控制方式: - AllowAny:允许所有用户访问。 - IsAuthenticated:只允许已认证的用户访问。 - IsAdminUser:只允许管理员用户访问。 - DjangoModelPermissions:基于 Django 模型的权限控制方式,只允许有特定权限的用户访问。 - DjangoObjectPermissions:基于 Django 模型对象的权限控制方式,只允许有特定权限的用户访问特定的对象。 可以根据项目需求选择合适的认证权限控制方式,或者自定义认证权限控制方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值