DRF-认证-权限-限流组件使用和源码精读

最新推荐文章于 2024-07-19 17:06:58 发布
最新推荐文章于 2024-07-19 17:06:58 发布
阅读量210 收藏 1
点赞数 1
分类专栏: DRF 文章标签: python java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54657069/article/details/127394068
版权

三大组件的使用和源码分析

认证组件

认证使用

from rest_framework.authentication import BaseAuthentication

# 编写认证类 继承BaseAuthentication
class MyAuthentication(BaseAuthentication):
    def authenticate(self, request):
        """
        做用户的认证
        1. 读取请求的token
        2. 校验合法性
        3. 返回值
            1. 返回元组 认证成功 返回2个值(request.user request.auth)
            2. 抛出异常 认证失败 -> 抛出错误信息
            3. 返回None 多个类认证 [类1,类2.....] 如果都返回为None 那就是匿名用户 
        """
        # 请求头获取token
        token = request.query_params.get("token")
        # 请求头获取token
        # token = request.META.get("HTTP_AUTHORIZATION")
        if  token:
            user_token=UserInfo.objects.filter(token=token).first()
            # 认证通过
            if user_token:
                return user_token.user,token
            else:
                raise AuthenticationFailed('认证失败')
        else:
            raise AuthenticationFailed('请求地址中需要携带token')

    # 解决 response是403的问题
    def authenticate_header(self, request):
        return "API"
 
# 使用配置 
# 1. 全局配置 在setting.py中配置
REST_FRAMEWORK = {
        "DEFAULT_AUTHENTICATION_CLASSES": [
            "ext.auth.MyAuthentication",
            # "ext.auth.QueryParamsAuthentication",
            # "ext.auth.HeaderAuthentication",
            # "ext.auth.NoAuthentication",
    ]
}
# 2. 局部使用,在视图类上写
class API_view(APIView):
    # 视图类中添加认证的类
    authentication_classes = [MyAuthentication, ]
    ......
# 3. 局部禁用
class API_view(APIView):
    # 视图类中添加认证的类
    authentication_classes = []
    ......

认证源码精读

承接上次 那我们之间看执行流程
APIView --> dispatch(self, request, *args, **kwargs) --> self.initial(request, *args, **kwargs)
-->(认证走这个方法) self.perform_authentication(request) --> (里面就一个 request.user 所以回Request对象中找user)request.user

class Request:
    @property
    def user(self):
        # 第1步. 判断是否有_user
        if not hasattr(self, '_user'):
            with wrap_attributeerrors():
                 # 第2步. 一开始我们没有_user所以我们看 self._authenticate()方法
                self._authenticate()
        return self._user
    # 第2步.
	def _authenticate(self):
        # 2.1 从self.authenticators这里列表中获取对象
        for authenticator in self.authenticators:
            try:
                # 执行对象的authenticator中的方法(这里就相当于执行我们创建的MyAuthentication中的authenticate方法) sellf就是Request对象
                user_auth_tuple = authenticator.authenticate(self)
            except exceptions.APIException:
                self._not_authenticated()
                raise
			# 2.2 判断user_auth_tuple是否为空
            if user_auth_tuple is not None:
                self._authenticator = authenticator
                # user_auth_tuple返回2个值 然后赋值
                self.user, self.auth = user_auth_tuple
                return
        # 最后我们看看这个 self._not_authenticated()方法干了什么
        self._not_authenticated()
        
    def _not_authenticated(self):
        self._authenticator = None
		# 读取配置中的认证对象 有就实例化 没有就赋值为None
        if api_settings.UNAUTHENTICATED_USER:
            self.user = api_settings.UNAUTHENTICATED_USER()
        else:
            self.user = None

        if api_settings.UNAUTHENTICATED_TOKEN:
            self.auth = api_settings.UNAUTHENTICATED_TOKEN()
        else:
            self.auth = None

总结一下认证组件干了什么:

  • 主要就是判断用户类型 通过认证 返回2个值 然后好进行下一步权限校验 失败就抛出异常
  • 认证组件时或的关系 通过一个就能通过

权限组件

权限使用

from rest_framework.permissions import BasePermission

# 写一个类,继承BasePermission,重写has_permission,如果权限通过,就返回True,不通过就返回False
class UserPermission(BasePermission):
    message = {"status": False, 'msg': "无权访问1"}

    def has_permission(self, request, view):
        # 如果该字段用了choice,通过get_字段名_display()就能取出choice后面的中文
        if request.user.role == 3:
            return True
        return False
    
# 使用配置 
# 1. 全局配置 在setting.py中配置
REST_FRAMEWORK = {
        "DEFAULT_AUTHENTICATION_CLASSES": [
            # "ext.auth.BossPermission",
            # "ext.auth.ManagerPermission",
            "ext.per.UserPermission",
    ]
}
# 2. 局部使用,在视图类上写
class API_view(APIView):
    # 视图类中添加认证的类
	permission_classes = [UserPermission,]
    ......
# 3. 局部禁用
class API_view(APIView):
    # 视图类中添加认证的类
    permission_classes = []
    ......

权限源码精读

APIView --> dispatch(self, request, *args, **kwargs) --> self.initial(request, *args, **kwargs)-->self.check_permissions(request)

class APIView(View):
    def check_permissions(self, request):
        # 遍历 get_permissions里的权限对象 
        for permission in self.get_permissions():
            # has_permission 返回 True和False
            if not permission.has_permission(request, self):
                # 没有通过 就用 permission_denied 抛出异常
                self.permission_denied(
                    request,
                    message=getattr(permission, 'message', None),
                    code=getattr(permission, 'code', None)
                )

权限组件的扩展

  • 权限组件是且关系,即A条件 且 B条件 且 C条件,同时满足。
  • 那么我们优化一下实现或关系
在自己的视图类中重写 check_permissions()方法
    def check_permissions(self, request):
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                return
		else:
              self.permission_denied(
                    request,
                    message=getattr(permission, 'message', None),
                    code=getattr(permission, 'code', None)
                )
# 如果嫌每个类中都要重新方法 那就直接创建一个类继承

限流组件

限流组件的使用
from rest_framework.throttling import SimpleRateThrottle
from rest_framework import exceptions
from rest_framework import status
class ThrottledException(exceptions.APIException):
    status_code = status.HTTP_429_TOO_MANY_REQUESTS
    default_code = 'throttled'

# 直接继承SimpleRateThrottle 重写get_cache_key方法就行
class MyThrottle(SimpleRateThrottle):
    # 就是可以理解成一个名称 避免重名概率和方便找到对应的限流类
    scope = "user"
    # 其他:'s', 'sec', 'm', 'min', 'h', 'hour', 'd', 'day' 不建议这种写法 写道全局配置会好一些
    # THROTTLE_RATES = {"user": "10/m"}

    def get_cache_key(self, request, view):
        if request.user:
            ident = request.user.pk  # 用户ID
        else:
            # 获取IP 如果是匿名代理其实获取不到真正的IP
            ident = self.get_ident(request)
        return self.cache_format % {'scope': self.scope, 'ident': ident}

    # 重写throttle_failure 自定义错误提示
    def throttle_failure(self):
        wait = self.wait()
        detail = {
            "code": 1005,
            "data": "访问频率限制",
            'detail': "需等待{}s才能访问".format(int(wait))
        }
        raise ThrottledException(detail)
# 使用配置 
# 1. 全局配置 在setting.py中配置
REST_FRAMEWORK = {
    	# 限流列表
        "DEFAULT_AUTHENTICATION_CLASSES": [
            "ext.throttle.MyThrottle",
            # 'ext.throttle.AnonRateThrottle',   # 匿名用户限流
            # 'ext.throttle.UserRateThrottle',   # 登录用户限流
            # 'ext.throttle.ScopedRateThrottle',  # 针对某一个接口限流(只能在APIView类使用)
    ],
    	# 限制访问频次
        'DEFAULT_THROTTLE_RATES': {
        'xxx': '1/m',
        'user': '10/m'
    }
}
# 2. 局部使用,在视图类上写
class API_view(APIView):
    # 视图类中添加认证的类
	throttle_classes = [MyThrottle, ]
    ......
# 3. 局部禁用
class API_view(APIView):
    # 视图类中添加认证的类
    throttle_classes = []
    ......
限流组件源码精读
APIView --> dispatch(self, request, *args, **kwargs) --> self.initial(request, *args, **kwargs)-->self.check_throttles(request)

class APIView(View):
    def check_throttles(self, request):
        throttle_durations = []
        # 遍历获取限流类的实例化对象
        for throttle in self.get_throttles():
            ###  重点 如何实例化这个对象的 ###
            # 调用实例方法
            if not throttle.allow_request(request, self):
                # 不通过把需要的时间等待的时间添加到列表中
                throttle_durations.append(throttle.wait())
		# 如果有值把所以等待时间放入durations这个列表中
        if throttle_durations:
            durations = [
                duration for duration in throttle_durations
                if duration is not None
            ]
		   # 取最大的等待时间 很好理解 如果有多个限流组件 得等待最长时间通过才行
            duration = max(durations, default=None)
            self.throttled(request, duration)
    def throttled(self, request, wait):
		# 抛出错误提示 Throttled类中其实可以定义等待时间提示
        raise exceptions.Throttled(wait)

# 究竟是怎么实例化的
class BaseThrottle:
    # 继承必须重写 就类似java的抽象类
    def allow_request(self, request, view):
        raise NotImplementedError('.allow_request() must be overridden')
	# 获取IP
    def get_ident(self, request):
        xff = request.META.get('HTTP_X_FORWARDED_FOR')
        remote_addr = request.META.get('REMOTE_ADDR')
        num_proxies = api_settings.NUM_PROXIES

        if num_proxies is not None:
            if num_proxies == 0 or xff is None:
                return remote_addr
            addrs = xff.split(',')
            client_addr = addrs[-min(num_proxies, len(addrs))]
            return client_addr.strip()

        return ''.join(xff.split()) if xff else remote_addr
	# 等待时间
    def wait(self):
        return None
# SimpleRateThrottle继承BaseThrottle扩展了一些
class SimpleRateThrottle(BaseThrottle):
    cache = default_cache
    timer = time.time
    cache_format = 'throttle_%(scope)s_%(ident)s'
    scope = None
    THROTTLE_RATES = api_settings.DEFAULT_THROTTLE_RATES

    def __init__(self):
        # 第一次进来走这个
        if not getattr(self, 'rate', None):
            # 1 get_rate方法
            self.rate = self.get_rate()
        self.num_requests, self.duration = self.parse_rate(self.rate)

    def get_cache_key(self, request, view):
        raise NotImplementedError('.get_cache_key() must be overridden')
	# 1 get_rate方法
    def get_rate(self):
        if not getattr(self, 'scope', None):
            msg = ("You must set either `.scope` or `.rate` for '%s' throttle" %
                   self.__class__.__name__)
            raise ImproperlyConfigured(msg)

        try:
            # 这里相当于拿到 THROTTLE_RATES={"user":"5/m"} scope="user"
            return self.THROTTLE_RATES[self.scope] # 5/m
        except KeyError:
            msg = "No default throttle rate set for '%s' scope" % self.scope
            raise ImproperlyConfigured(msg)

    def parse_rate(self, rate):
        if rate is None:
            return (None, None)
        num, period = rate.split('/')
        # 次数
        num_requests = int(num)
        # 就是个取值 有意思的是[period[0]] 代表 "5/hour" 可以取"h"
        duration = {'s': 1, 'm': 60, 'h': 3600, 'd': 86400}[period[0]]
        # 返回次数 和 时间
        return (num_requests, duration)
	# 2 前面源码知道会实例化之后会调用allow_request
    def allow_request(self, request, view):
        if self.rate is None:
            return True
		# 通过缓存获取请求中带上的用户唯一标识
        self.key = self.get_cache_key(request, view)
        if self.key is None:
            # 获取不到唯一标识,默认放行
            return True
		# 获取对应标识用户的访问历史		
        self.history = self.cache.get(self.key, [])
        self.now = self.timer()
		# 将已经超过配置周期期限的历史去掉
        while self.history and self.history[-1] <= self.now - self.duration:
            self.history.pop()
        # 判断是否大于限制数量    
        if len(self.history) >= self.num_requests:
            return self.throttle_failure()
        return self.throttle_success()

    def throttle_success(self):
        # 放行,同时这里会把当次请求插入历史并更新缓存
        self.history.insert(0, self.now)
        self.cache.set(self.key, self.history, self.duration)
        return True

    def throttle_failure(self):
        return False

    def wait(self):
        if self.history:
            # 需要等待的时间 - ( 当前时间 - 最早访问记录 )  => 还需要等待多久
            remaining_duration = self.duration - (self.now - self.history[-1])
        else:
            remaining_duration = self.duration

        available_requests = self.num_requests - len(self.history) + 1
        if available_requests <= 0:
            return None
		# 返回等待时间 这里我有一个疑惑为啥要除float(available_requests) 不直接返回 remaining_duration 暂时我也不太清楚
        return remaining_duration / float(available_requests)
少年工地与砖
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
drf06 认证Authentication 权限Permissions 限流Throttling
weixin_30470857的博客
06-13 151
为了方便接下来的学习,我们创建一个新的子应用 four python manage.py startapp four 因为接下来的功能中需要使用到登陆功能,所以我们使用django内置admin站点并创建一个管理员. python manage.py createsuperuser 创建管理员以后,访问admin站点,先修改站点的语言配置 settings.py ​ ...
DRF认证组件
weixin_30480651的博客
07-15 86
认证组件源码 上面讲版本的时候我们知道~在dispatch方法里~执行了initial方法~~那里初始化了我们的版本~~ 如果我们细心我们能看到~版本的下面其实就是我们的认证权限,频率组件了~~ 我们先看看我们的认证组件~~ 我们进去我们的认证看下~~ 我们这个权限组件返回的是request.user,那我们这里的request是新的还是旧的呢~~ 我们的initial是在我...
drf 认证组件
go|Python的个人博客
03-11 333
文章目录drf 认证组件认证的写法认证源码分析认证组件使用 drf 认证组件 认证的写法 写一个类,继承BaseAuthentication,重写authenticate,认证的逻辑写在里面,返回两个值,一个值最终给了Request对象的user,认证失败,抛异常: APIException或者AuthenticationFailed 可以全局使用或局部使用 认证源码分析 查看源码步骤: APIVIew---->dispatch方法—>self.initial(reques
drf框架 - 三大认证组件 | 认证组件 | 权限组件 | 频率组件
Waller_的博客
10-21 399
RBAC 基于用户权限访问控制的认证 - Role-Based Access Control Django框架采用的是RBAC认证规则,RBAC认证规则通常会分为 三表规则、五表规则,Django采用的是六表规则 # 三表:用户表、角色表、权限表 # 五表:用户表、角色表、权限表、用户角色关系表、角色权限关系表 # 六表:用户表、角色表、权限表、用户角色关系表、角色权限关系...
DRF跨域后端解决之django-cors-headers的使用
09-19
例如,前端使用Vue.js等现代前端框架构建,而后端则使用DRF开发,此时前后端分别部署在不同的服务器上,这会导致前端无法直接向后端发起请求。 #### 解决方案:django-cors-headers 为了应对这一挑战,我们可以...
drf-spectacular:用于Django REST框架的Sane和灵活的OpenAPI 3模式生成
02-04
它提供了许多开箱即用的功能,如序列化、认证权限管理、分页和过滤,使开发者能够快速构建高质量的API服务。 ### **2. OpenAPI 3规范** OpenAPI 3是Swagger的最新版本,允许开发者以JSON格式描述API的各个方面,...
drf-api-tracking:aschndrf-tracking的分支,以便我们可以维护和发布更新的版本
02-04
drf-api-tracking总览drf-api-tracking提供了Django模型和DRF视图混合,可将Django Rest Framework请求记录到数据库中。 对于每个使用mixin的视图,您将在每个请求/响应周期获得以下属性: 型号栏位名称描述模型字段...
drf-extra-fields:Django Rest Framework的额外字段
02-05
用法安装套件pip install drf-extra-fields 注意: 该软件包重命名为“ drf-extra-fields”,之前它被命名为“ django-extra-fields”。 为Django Rest Framework 2. *安装版本0.1 为Django Rest Framework 3. *安装...
drf-articles:使用Django和Django REST Framework的简单REST API
03-02
drf-articles 使用Django和Django REST Framework的简单REST API。 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发和测试。 先决条件 Python 3.7或更高版本 正在安装 将存储库克隆到...
DRF 认证权限限流(只作用于DRF中的视图)
FOR.GET
10-11 534
一、认证 Authentication Authentication 官方配置文档 可以使用DEFAULT_AUTHENTICATION_CLASSES设置全局的默认身份验证方案。比如: # settings.py # REST_FRAMEWORK DRF中所有的配置都写与此中 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthenticat
DRF认证权限限流、序列化、反序列化
hrj199036的博客
04-09 777
class 序列化类名(serializers.Serializer):字段 = serializers.类型()...#字段要与数据库中的一致由于序列化时,字段与模型中的字段是一样的,所以将其集中class 自定义ModelSerializer类名(ModelSerializer):model = 模型类名fields = [字段类名列表] | "__all__"#所有字段都返回在modelserializer的字段自定制。
DRF笔记(五):认证权限限流、分页和过滤
panzhixiang
04-01 596
写在前面 以下提到的代码的代码仓库:https://github.com/yexia553/drf 分支: others 认证权限 在实际开发中,认证这一部分常常是使用jwt,但jwt是相对独立并且比较复杂的模块,这里就不过多记录,以后有机会专门写一下jwt和drf的配合使用认证部分的配置代码只要修改demo.settings就行了,具体如下: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framew
DRF从入门到精通五(路由组件认证组件权限组件、频率组件认证权限源码分析)
Mchen的博客
12-26 1468
DRF中,我们要进行登录认证的话需要使用DRF内部的认证组件,为什么不用auth组件?,我们除了可以自己手动指明请求方式与动作action之间的对应关系外,还可以使用Routers来帮助我们快速实现路由信息。此时上面代码就可以自动生成路由了,完成了增、删、改、查(一条或多条数据)的接口了,但是不包括在视图集里面自定义的方法。在视图集中,如果想要让Router自动帮助我们为自定义的方法生成路由信息,需要使用。如果要给我们自定义的方法也加上路由,那么则需要使用action装饰器来声明。
DRF视图类、认证组件权限限流、过滤、排序、分页、异常处理、自动生成接口文档、Xadmin
m0_46471716的博客
09-15 372
DRF视图类、认证组件权限限流、过滤、排序、分页、异常处理、自动生成接口文档、Xadmin
一文学会DRF常用功能组件及API文档生成
Simple子夜
07-05 522
本章节将会熟悉DRF更多功能的使用,在我们编写API时能够省却大量不必要的重复代码,以及在整体上提升代码的可读性,降低维护成本。在编写代码时,避免过度重复造轮子,感兴趣可以多研究现有比较好用功能的源码,这将会是后续能够编写出高质量代码的铺垫。......
Django:drf实现简单认证权限管理、限流功能
最新发布
weixin_40453090的博客
07-19 284
目的:在原来的request对象基础中再进行封装一些drf中需要用到的值。比如认证权限管理、限流。由上面的代码可知drf将Django原生request对象封装成Request对象,并且初始化authenticators参数,该参数正是认证功能。那么一个请求到达后台后,Django和drf的执行顺序是如何的呢?
drf--认证权限限流,过来,排序,分页,异常处理,自动生成接口文档,Xadmin
m0_66331988的博客
08-17 98
drf--认证权限限流,过来,排序,分页,异常处理,自动生成接口文档,Xadmin
DRF------限流组件
qq_31179495的博客
03-24 81
二、settings.py中配置缓存到redis。场景:短信验证码,一天只可以发送50次。一、先安装 redis。
drf-haystack
09-12
然后,你可以使用DRF-Haystack提供的视图和序列化器类来定义搜索API端点,并将其集成到你的DRF应用程序中。 总结来说,DRF-Haystack是一个将DRF和Haystack集成起来,使得在Django RESTful API中实现全文搜索变得...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值