restframework权限,认证,限流配置

最新推荐文章于 2024-08-28 16:19:31 发布
最新推荐文章于 2024-08-28 16:19:31 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: python django 文章标签: python django restframework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42514453/article/details/84890510
版权

认证Authentication

DRF框架的默认全局认证方案如下:

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',  # session认证
        'rest_framework.authentication.BasicAuthentication',   # 基本认证
    )
}

也可以在每个视图中通过设置authentication_classess属性来设置视图的认证方案:

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView

class ExampleView(APIView):
    authentication_classes = (SessionAuthentication, BasicAuthentication)
    ...

配合权限,如果认证失败会有两种可能的返回值:

  • 401 Unauthorized 未认证
  • 403 Permission Denied 权限被禁止

权限Permissions

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

  • 在执行视图的dispatch()方法前,会先进行视图访问权限的判断
  • 在通过get_object()获取具体对象时,会进行对象访问权限的判断

提供的权限

DRF框架提供了四个权限控制类:

  • AllowAny 允许所有用户
  • IsAuthenticated 仅通过认证的用户
  • IsAdminUser 仅管理员用户
  • IsAuthenticatedOrReadOnly 认证的用户可以完全操作,否则只能get读取

使用

DRF框架的默认权限控制如下:

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny', # 允许所有人
)

可以在配置文件中设置权限管理类,如:

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated', # 允许认证用户
    )
}

也可以在具体的视图中通过permission_classes属性来指定某个视图所使用的权限控制类,如:

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = [IsAuthenticated]
    ...

举例

from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.generics import ReadOnlyModelViewSet

class BookInfoViewSet(ReadOnlyModelViewSet):
    # 指定当前视图所使用的查询集
    queryset = BookInfo.objects.all()
    # 指定当前视图所使用的序列化器类
    serializer_class = BookInfoSerializer
    # 指定当前视图所使用的认证类
    authentication_classes = [SessionAuthentication]
    # 指定当前视图所使用的权限控制类
    permission_classes = [IsAuthenticated]

自定义权限

如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部

  • .has_permission(self, request, view)

    是否可以访问视图, view表示当前视图对象

  • .has_object_permission(self, request, view, obj)

    是否可以访问数据对象, view表示当前视图, obj为数据对象

例如:

class MyPermission(BasePermission):
    def has_permission(self, request, view):
        """判断对使用此权限类的视图是否有访问权限"""
        # 任何用户对使用此权限类的视图都没有访问权限
        return True

    def has_object_permission(self, request, view, obj):
        """判断对使用此权限类视图某个数据对象是否有访问权限"""
        # 需求: 对id为1,3的数据对象有访问权限
        if obj.id in (1, 3):
            return True
        return False

class BookInfoViewSet(ReadOnlyModelViewSet):
    # 指定当前视图所使用的查询集
    queryset = BookInfo.objects.all()
    # 指定当前视图所使用的序列化器类
    serializer_class = BookInfoSerializer
    # 指定当前视图所使用的认证类
    authentication_classes = [SessionAuthentication]
    # 使用自定义的权限控制类
    permission_classes = [MyPermission]

限流Throttling

可以对接口访问的频次进行限制,以减轻服务器压力。

使用

DRF框架默认没有进行全局限流设置,可以在配置文件中,使用DEFAULT_THROTTLE_CLASSES 和 DEFAULT_THROTTLE_RATES进行全局配置。

可选限流类

1) AnonRateThrottle

限制所有匿名未认证用户,使用IP区分用户。

使用DEFAULT_THROTTLE_RATES['anon'] 来设置频次

2)UserRateThrottle

限制认证用户,使用User id 来区分。

使用DEFAULT_THROTTLE_RATES['user'] 来设置频次

3)ScopedRateThrottle

限制用户对于每个视图的访问频次,使用ip或user id。

限流设置

1)针对匿名用户和认证用户分别进行限流控制

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES': (
        # 针对未登录(匿名)用户的限流控制类
        'rest_framework.throttling.AnonRateThrottle',
        # 针对登录(认证)用户的限流控制类
        'rest_framework.throttling.UserRateThrottle'
    ),
    # 指定限流频次
    'DEFAULT_THROTTLE_RATES': {
        # 认证用户的限流频次
        'user': '5/minute',
        # 匿名用户的限流频次
        'anon': '3/minute',
    },
}

DEFAULT_THROTTLE_RATES 可以使用 secondminutehour 或day来指明周期。

也可以在具体视图中通过throttle_classess属性来配置,如

from rest_framework.throttling import UserRateThrottle
from rest_framework.views import APIView

class ExampleView(APIView):
    throttle_classes = [UserRateThrottle]
    ...

2)针对匿名用户和认证用户进行统一的限流控制

REST_FRAMEWORK = {
    # 针对匿名用户和认证用户进行统一的限流控制
    'DEFAULT_THROTTLE_CLASSES': (
        'rest_framework.throttling.ScopedRateThrottle',
    ),

    # 指定限流频次选择项
    'DEFAULT_THROTTLE_RATES': {
        'upload': '3/minute',
        'contacts': '5/minute'
    },
}

例如:

class ContactListView(APIView):
    throttle_scope = 'contacts'
    ...

class ContactDetailView(APIView):
    throttle_scope = 'contacts'
    ...

class UploadView(APIView):
    throttle_scope = 'uploads'
    ...
ACAMPUS
关注
专栏目录
Django学习笔记 - 19】:认证、自定义认证权限限流
Oh_Python的博客
07-13 414
1、将Django中自带的用户认证模型继承出来 2、在配置文件(settings.py)中指定用于验证的用户模型的位置(‘应用名.模型类名’) 3、实现验证方法 设置路由 进行数据的迁移后,使用Postman发送请求 打开数据库可看到数据已经添加 自定义认证 在models.py文件中写上带用token字段的模型 进行数据迁移后,修改Registerview类中的代码 先把原来添加的数据删除后,再次使用Postman携带表单数据发送请求 写上自定义认证的函数 在user应用
Django REST Framework——6. 认证权限限流、过滤、排序及异常处理
花城的博客
12-21 2020
文章目录一、认证(Authentication)1.1 身份认证的流程1.2 自定义认证类1.3 设置认证方案二、权限(Permissions)2.1 权限检查流程2.2 对象级别的权限2.3 自定义权限补充说明2.4 设置权限三、限流(Throttling)3.1 限流检查流程3.2 内置限流3.2.1 AnonRateThrottle3.2.2 UserRateThrottle3.3 设置限流四、过滤(Filtering)4.1 根据当前用户进行过滤4.2 根据URL进行过滤4.3 使用第三方djang
rest framework权限管理
weixin_34407348的博客
08-03 347
下面是对单个的视图进行的设置的: 请求的时候用postman然后发送信息 我们下面所有的举例都是在用户对Comment这个表的操作 首先先生成一个类似于cookie的字符串 发送给前端浏览器 然后下次它再访问带着这个认证字符串 登陆视图 #登陆视图 class LoginView(APIView): def post(self,re...
django-16-身份验证与权限
最新发布
rain_in_spring的博客
08-28 663
要实现自定义权限,需要继承如果请求被授予访问权限,则该方法应返回True,否则返回False。注意对象级的方法只有在视图级的检查已经通过的情况下才会被调用。如果测试失败,自定义权限应该引发一个异常。若要更改与异常关联的错误消息,请在自定义权限上直接实现message属性。否则,将使用PermissionDenied的default_detail属性。类似地,要更改与异常相关的代码标识符,请直接在自定义权限上实现一个code属性——否则将使用PermissionDenied的default_code属性。
django-rest-framework权限控制
axon-缪的博客
10-16 1364
django-rest-framework权限控制
restframework(6):权限组件
submarineas的博客
11-15 752
restframework(6):权限权限简介权限说明权限要求restframework中的权限权限简单实例文本样式列表链接代码片 权限简介 权限说明 权限是针对某种对象的全局性的设置,而不是针对某种对象的某个特定实例的。例如,我们可以说“玛丽可以改写故事”,但是不能说“玛丽可以改写故事,但只限于她自己的故事”,也不能说“玛丽只能改写符合特定条件(如出版日期、编号)的故事”。后面的两种情况是 D...
rest-framework 自定义用户登录认证
happy_leizi的博客
03-19 2304
之前的文章有写过通过jwt认证的文章,今天这一篇是通过自定义用户认证的; 使用场景:有些API需要用户登录成功之后,才能访问;有些无需登录就能访问 解决方法:创建两张表,一张用户表,一张token表,保存用户登录成功后生产的token; 然后需要认证的视图,前台每次请求需要在请求头中携带token,后端然后对token进行验证 缺点:每个用户登录一次就需要生成一条toke...
Django restframework 框架认证权限限流用法示例
09-18
Django Rest Framework(DRF)是一个为开发高质量API而设计...总结,Django Rest Framework提供了强大的认证权限限流机制,使开发者能够构建安全、可控的API。通过合理配置和自定义,可以满足各种复杂的应用场景。
Django REST Framework教程(10): 限流(throttle)详解与示例
大江狗
01-18 3995
在前面的DRF系列教程中,我们以博客为例介绍了序列化器(Serializer), 并使用APIView和ModelViewSet开发了针对文章资源进行增删查改的完整API端点,并详细对权...
DRF-JWT认证权限限流
XueDaJing030409的博客
06-04 815
主要以 Django+DRF + Vue的开发模式,简单介绍以 jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
Django限流
Lovehanxiaoyan的博客
02-23 1503
限流Throttling 可以对接口访问的频次进行限制,以减轻服务器压力。 使用 可以在配置文件中,使用DEFAULT_THROTTLE_CLASSES 和 DEFAULT_THROTTLE_RATES进行全局配置REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': ( 'rest_framework.throttling.Ano...
django-rest-framework框架总结之认证权限限流、过滤、分页及异常处理
weixin_43865008的博客
01-28 2072
针对 django-rest-framework框架中的认证权限限流、过滤、分页及异常处进行总结理。
162.基于Django-rest_framework的身份验证和权限
m0_63953077的博客
12-04 550
到目前为止,程序的API对任何人都可以编辑或删除,没有任何限制。我们希望有一些更高级的行为,进行身份验证和权限分配
Rest framework 学习(4) 身份验证和权限
Good_Luck_Kevin2018的博客
07-05 603
目前,我们的API对谁可以编辑或删除代码段没有任何限制。我们希望有一些更高级的行为,以确保: 代码段始终与创建者相关联。 只有经过身份验证的用户才能创建摘要。 只有代码段的创建者可以更新或删除它。 未经身份验证的请求应具有完全只读访问权限。 修改模型添加信息 将对我们的Snippet模型类进行一些更改。首先,让我们添加几个字段。其中一个字段将用于表示创建代码段的用户。另一个字段将用于存储...
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2979
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
Django rest framework之路由组件、认证Authentication及权限Permissions
一切随心走的博客
11-07 1203
文章目录1、路由Routers1.1、使用方法1.1.1、创建router对象,并注册视图集1.1.2、添加路由数据1.1.2.1、方式一1.1.2.2、方式二1.2、示例1.3、视图集中附加action的声明1.4、路由router形成URL的方式1.4.1、SimpleRouter1.4.2、DefaultRouter 1、路由Routers 对于视图集ViewSet,我们除了可以自己手动指明请求方式与动作action之间的对应关系外,还可以使用Routers来帮助我们快速实现路由信息 REST fra
rest_framework学习之认证(Authentication)&权限(Permissions)
zhubaoJay的博客
06-15 4863
认证权限控制是web开发中较为重要的知识点,我们看下django rest_framework认证权限是如何实现的 概述 我们知道,在django中,提供内置的认证权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证权限。 re...
Django REST Framework(十七)Authentication
yjjpp2301的专栏
07-31 338
在一些特定场景中,可能需要自定义认证方式。以下是一个自定义认证的示例,位于""" 自定义认证方式 """""" 认证方法 request: 本次客户端发送过来的HTTP请求对象 """if token!raise APIException("认证失败")return (user, token) # 按照固定的返回格式填写(用户模型对象, None)在视图中,可以通过设置"""单独设置认证方式"""
Django REST Framework认证权限(超详细)
她°
05-07 3988
Django认证权限 在没有使用 drf 之前,如何判断用户是否登录,一般是给前端提供一个获取用户信息的接口,如果未登录返回未授权等信息,权限的话一般是在 model 层通过字段来设置,这样只能完成简单的权限限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值