python token 访问控制限制_DRF之访问权限控制和访问频率控制(节流)

最新推荐文章于 2024-02-27 02:12:45 发布
最新推荐文章于 2024-02-27 02:12:45 发布
阅读量211 收藏
点赞数
文章标签: python token 访问控制限制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30390951/article/details/113639753
版权

e1903a560fa5fc9e1a2b4f507b9c8581.png

权限控制

前言

用户验证用户权限,根据不同访问权限控制对不同内容的访问。

建议了解视图、token验证的内容。

使用流程

自定义访问权限类,继承BasePermission,重写has_permission()方法,如果权限通过,就返回True,不通过就返回False。has_permission()方法接受两个参数,分别是request和view,也就是视图类的实例化本身。

4f4e0b3a8367e22a81e85c704e12bdd8.png

配置。

局部配置:

permission_classes = [MyUserPermission]

全局配置:

REST_FRAMEWORK={

"DEFAULT_PERMISSION_CLASSES": ["libs.MyAuth.UserPermission",],

}

示例

class SVIPPermission(BasePermission): # 推荐继承BasePermission类

# message = "You do not have permission to perform this action."#默认值

message = "无此权限!!!"

def has_permission(self, request, view):

if request.user.user_type == 3:

return False # False为没权限

# view.queryset = # 可以使用这种方式控制视图中要处理的数据(根据不同权限)

return True # True为有权限

源码分析

进入dispatch函数,查看initial方法(执行三大验证)中的check_permissions方法:

45cdea9845b9fa59ff99cc0e83510da2.png

self.check_permissions(request)将会根据request中的用户内容进行权限控制。

569eedcbc1412c0888719e0509153121.png

51e5ddcedb7ee4c73f9944ab8a4c394f.png

a2f6725182739d015f68b4df427e1e5f.png

由上可知,permission_classes要么读取配置文件中的DEFAULT_PERMISSION_CLASSES(全局),要么就在视图类中直接对permission_classes赋值(局部)。

节流限制

前言

控制网站访问频率。

使用流程

自定义限制类,继承BaseThrottle。

指定从配置文件中要读取的scope(key),形式为scope="key"

全局配置:

REST_FRAMEWORK = {

"DEFAULT_THROTTLE_CLASSES": [

"rest_framework.throttling.AnonRateThrottle",

"rest_framework.throttling.UserRateThrottle"

],

"DEFAULT_THROTTLE_RATES": {

"anon": "100/day",

"user": "1000/day"

}

}

局部配置:

throttle_classes = [UserRateThrottle]

就比如UserRateThrottle,继承了SimpleRateThrottle,指定了它所限制的scope,重写了get_cache_key方法。

b159779e65d878f747dfec93797e96e4.png

源码分析

在APIView的initial方法中,三大验证还剩下最后一个没有分析,那就是访问频率验证,如下图:

31e4f00c212426f90b4ab489c53cba61.png

接下来让我们查看check_throttles,可以看到,验证访问频率的时候,调用的方法为频率验证类的allow_request方法。

f7f2d272a948e231ece06275e4ea2418.png

其中get_throttles用的还是老套路:

ed1cb162abec8c3dcdb077d6e705cf9b.png

示例

自定义一个频率限制类:

from rest_framework.throttling import BaseThrottle

import time

# 存放访问记录(一般放数据库或者缓存中)

VISIT_RECORD = {}

class VisitThrottle(BaseThrottle):

def __init__(self):

self.history = None

def allow_request(self, request, view):

# 1. 获取用户ip

remote_addr = request.META.get("REMOTE_ADDR")

# 2. 添加到访问记录中

ctime = time.time()

# 当VISIT_RECORD中没有这个记录,可以直接访问,添加一个记录

if remote_addr not in VISIT_RECORD:

VISIT_RECORD[remote_addr] = [ctime, ]

return True

history = VISIT_RECORD.get(remote_addr)

self.history = history

# 拿到最后历史记录里面的最后一个时间,如果最后一个时间小于当前时间-60(一分钟之前的记录)

while history and history[-1] < ctime - 60:

history.pop()

if len(history) < 3:# 允许

history.insert(0, ctime)

return True

return False # False表示访问频率太高被限制

def wait(self):

"""

还需要等多少秒可以访问

:return:

"""

ctime = time.time()

return 60 - (ctime - self.history[-1])

注意:官方内置的 SimpleRateThrottle 类中对scope的处理值得一看。

俺是BOSS我怕谁
关注
python解除每日访问次数限制_Django 限制用户访问频率的中间件的实现
weixin_42510446的博客
12-23 381
一、定义限制访问频率的中间件common/middleware.pyimport timefrom django.utils.deprecation import MiddlewareMixinMAX_REQUEST_PER_SECOND=2 #每秒访问次数class RequestBlockingMiddleware(MiddlewareMixin):def process_request(se...
Python DRF 面试前知识点总结
某人的博客
05-27 1248
数据结构和算法 常见的数据结构: 数组,队列,栈,链表,堆,树,哈希表 队列先进先出;Queue单项队列(from queue import Queue),deque 双向队列(from collections import deque) 栈:后进先出;基本方法:push,pop,gettop,is_empty,size 链表:经常使用两个指针来解决问题 堆:常用来找到最大值或者最小值(构建大顶堆或者小顶堆);堆排序 树:二叉树:度的最大值为2, 完全二叉树:最下一层有右子树就必须有左子树,叶子节点只能出
DRF频率源码分析
weixin_30549657的博客
07-05 111
一、频率源码分析 1、进入APIView的dispatch方法,里面的inital方法: 2、inital方法进行 3、获取自定义访问频率的内容 二、SimpleRateThrottle源码 转载于:https://www.cnblogs.com/king-home/p/11136166.html...
Python Django 配置使用django-ratelimit限制网站接口访问频率
m0_60105488的博客
05-14 580
Django Ratelimit 提供了一个装饰器来限制视图。限制可以基于 IP 地址或请求中的字段。本文主要介绍Python Django中,配置使用django-ratelimit限制网站接口访问频率的方法,以及相关的示例代码。 原文地址:Python Django 配置使用django-ratelimit限制网站接口访问频率 ...
python解除每日访问次数限制_Python 中写一个装饰器实现限制频率访问
weixin_32825467的博客
12-23 289
1.思路:首先要在装饰器中确定访问的方法名,第一次可以访问成功,之后要在规定的时间(变量)之后才可以访问.初始应该有一个变量为0;访问成功之后把当前的时间赋值给这个变零.这样再次访问时把当前的时间与变量比较差值即可.2.代码:import timedef desc_time(s):def wapper(func):name = func.__name__ #给变量name赋值 确定访问的函数fu...
pythonweb接口优化_python-web后台限制接口调用频率
weixin_39670464的博客
12-09 328
需求开发web产品时,页面上有些功能需要限制用户操作的频率,避免工具等恶意攻击。网页前端能够限制用户的操作,后台同样需要限制操作(防范绕过前端限制)例如,开发开测平台——真机租用服务时,限制用户截图的操作频率,效果图: 实现后台众多接口都有限制频率的需求,因此使用python的装饰器,方便扩展现有功能,修改成本低用户操作功能频率一般大于0.3s,因此装饰器中默认间隔时间是0.3秒装饰器:"""se...
24.限制访问频率
Yanghongru的博客
04-22 403
限制访问频率功能写在中间件的process_request方法中 思路: 1.获取访问ip和访问时间,并判断是否访问过 2.将同一ip的访问记录记在list中,并删除距当前访问时间超过x秒的记录 3.判断该ip访问次数,大于x则拒绝,否则正常流程并此次访问时间 简单的代码如下: import time from django.utils.deprecation import Middleware...
DRF框架的使用入门(三)ModelSerializer和各类View详解
paul0926的博客
06-06 1322
DRF框架的使用入门(三)详解ModelSerializer三种基本序列化字段方式指定嵌套序列化指定字段序列化(即覆盖)附加关键字参数request和responserequest请求.data.query_paramsresponse类View视图使用APIView(一级视图)点击查看类内容:写一个get和post请求实例:GenericAPIView(二级视图)和mixinsGenericAP...
Django REST framework学习笔记
NiuXL的编程技术网络日志
06-20 686
文章目录1. API接口开发1.1 获取数据的接口1.2 添加数据的接口1.3 更新数据的接口1.4 删除数据的接口2. API字段的定制2.1 别名字段2.2 字段格式化2.3 字段创建2.4 字段加工3. DRF认证3.1 自定义认证3.2 认证流程3.3 全局配置认证3.4 匿名用户配置3.5 内置基本认证4. DRF权限4.1 权限的基本使用4.2 权限源码流程4.3 全局权限配置4.4 内置权限类5. 访问频率控制/节流5.1 访问频率控制基本实现5.2 访问频率控制源码流程5.3 访问频率全局.
Django框架
PAcaption的博客
08-17 1822
Django框架 Django是Python Web应用框架, 基于Python的WSGI(Web Service Gateway Interface)Web服务网关接口, Django从3.0开始运行 ASGI (异步服务网关接口)。 Django三大版本: Django 1.x、Django 2.x, Django 3.x(性能最优, 比较FastAPI/Tornado)。 一、 Django入门 1.1 基本概念 1.2 创建环境与app项目 安装依赖包 pip install djang
Django面试题汇总
m0_61721020的博客
10-12 2291
Django面试题汇总 目录 1.django请求的生命周期? 2.列举django中间件的5个方法?以及django中间件的应用场景? 3.谈谈你对restfull 规范的认识? 4.django rest framework框架中都有那些组件? 5.django rest framework框架中的视图都可以继承哪些类? 6.简述 django rest framework框架的认证流程。 7.django rest framework如何实现的用户访问频率控制? 8.Celery
DRF学习——权限组件(一)
Hemameba的博客
06-27 572
本篇文章主要介绍权限组件的快速使用,并从源码角度分析drf权限组件的调用过程。
restframework(6):权限组件
submarineas的博客
11-15 744
restframework(6):权限权限简介权限说明权限要求restframework中的权限权限简单实例文本样式列表链接代码片 权限简介 权限说明 权限是针对某种对象的全局性的设置,而不是针对某种对象的某个特定实例的。例如,我们可以说“玛丽可以改写故事”,但是不能说“玛丽可以改写故事,但只限于她自己的故事”,也不能说“玛丽只能改写符合特定条件(如出版日期、编号)的故事”。后面的两种情况是 D...
rest_framework学习之认证(Authentication)&权限(Permissions)
zhubaoJay的博客
06-15 4829
认证和权限控制是web开发中较为重要的知识点,我们看下django rest_framework的认证和权限是如何实现的 概述 我们知道,在django中,提供内置的认证与权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证与权限。 re...
Django restframework permission 权限
水野与小太郎的博客
12-05 1180
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性中的身份验证信息来确定是否允许入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架中的权限和认证一样:为权限类列表。 在运行视图主体之前,将检查列表中的每个权限。如...
DRF的认证、权限、限流等八大组件
最新发布
m0_61810345的博客
02-27 1084
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部是否可以访问视图, view表示当前视图对象,request可以通过user属性获取当前用户是否可以访问模型对象, view表示当前视图, obj为模型数据对象,request可以通过user属性获取当前用户"""VVIP权限自定义权限,可用于全局配置,也可以用于局部配置""""""视图权限返回结果未True则表示允许访问视图类。
DRF笔记三——权限
qq_38953577的博客
03-03 190
基本使用 class MyPermission(object): def has_permission(self, request, view): if request.user.user_type != 3: return False return True class OrderView(APIView): ...
python爬虫解决频繁访问_爬虫遇到IP访问频率限制的解决方案
热门推荐
weixin_39517241的博客
12-05 1万+
背景:大多数情况下,我们遇到的是访问频率限制。如果你访问太快了,网站就会认为你不是一个人。这种情况下需要设定好频率的阈值,否则有可能误伤。如果大家考过托福,或者在12306上面买过火车票,你应该会有这样的体会,有时候即便你是真的用手在操作页面,但是因为你鼠标点得太快了,它都会提示你: “操作频率太快...”。遇到这种网页,最直接的办法是限制访问时间。例如每隔5秒钟访问一次页面。但是如果遇到聪明一点...
限制用户访问频率——Django
不凡De老五
01-18 3231
访问频率限制 中间件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值