Django:drf实现简单认证、权限管理、限流功能

已于 2024-08-04 10:22:38 修改
阅读量362 收藏 9
点赞数 4
文章标签: django
于 2024-07-19 17:06:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40453090/article/details/140544982
版权

Django:drf实现简单认证、权限管理、限流功能

一、drf是如何在Django的框架上进行前后端交互

1. 封装Django原生request

目的:在原来的request对象基础中再进行封装一些drf中需要用到的值。比如认证、权限管理、限流。
1.1图一

1.2图二
由上面的代码可知drf将Django原生request对象封装成Request对象,并且初始化authenticators参数,该参数正是认证功能。

那么一个请求到达后台后,Django和drf的执行顺序是如何的呢?

# urls.py
from django.urls import path
from web.views import UserView

urlpatterns = [
	path('user/', UserView.as_view()),
]

from rest_framework.views import APIView
from rest_framework.response import Response

# web/views.py
class UserView(APIView):
	# 接收get请求时的处理
	def get(self, request):
		return Response("...")

	def post(self, request):
		return Response("post")
  1. 路由匹配后,进入到drf的APIView的as_view接口,接着调用父类的as_view,由下图源码可知,APIView的父类是Django源码的View对象;
    在这里插入图片描述
  2. Django的View中则是使用APIView类实例化对象self,然后调用drf中APIView的dispatch,里面则是封装Django原生request对象
    在这里插入图片描述
    在这里插入图片描述
  3. 接着根据Django的request对象获取请求方式,然后在视图类查找是否有相应的方法,如果没有则报错。然后就执行视图类中的方法。

二、认证

2.1 某个视图定制自己的认证规则


# web/views.py
from rest_framework.views import APIView
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed

class MyAuthentication(BaseAuthentication):
	def authenticate(self, request):
		token = request.query_params.get("token", "")
		if not token:
			raise AuthenticationFailed({"code":1002, "detail":"未登录不可访问"})


class UserView(APIView):
	authentication_classes = [MyAuthentication,]

	# 接收get请求时的处理
	def get(self, request, *args, **kwargs):
		return Response("...")

	def post(self, request, *args, **kwargs):
		return Response("post")

2.2 多个视图公用一个认证规则

由于存在多个视图公用一个认证规则的情况,那么如果按照2.1中的方式每个视图类都添加一个认证类,那么是极不方便,对此drf提供了一个全局配置解决这个问题。

注意:认证组件的类不能放在视图view.py中,会因为导入APIView导致循环引用

# ext/auth.py
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed

class MyAuthentication(BaseAuthentication):
	def authenticate(self, request):
		token = request.query_params.get("token", "")
		if not token:
			raise AuthenticationFailed({"code":1002, "detail":"未登录不可访问"})

# settings.py
# 在源码可以知道默认读取配置类中的认证类
REST_FRAMEWORK = {
    "UNAUTHENTICATED_USER": None,
    "DEFAULT_AUTHENTICATION_CLASSES": ["ext.auth.MyAuthentication"],
}

在这里插入图片描述

2.3 认证是如何实现的

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
首次执行,没有_user对象,那么就会执行_authenticate,这里面就会遍历Request创建时设置的认证类,并且由此可以知道,当一个视图类拥有多个认证类时,只要有一个认证类满足条件返回数值,后续的认证类就不再执行;但如果都不满足,也不会影响视图函数的执行,只不过 self.user self.auth = None。
在这里插入图片描述在这里插入图片描述

2.4 使用场景

结合源码分析,认证模块可以用来处理用户登录需求,在认证类中返回用户对象和token即可在后续调用request.user获取到用户。

拓展:状态码一致问题

例如raise了AuthenticationFailed,他的错误码是401,但实际显示的是403
在这里插入图片描述在这里插入图片描述

原因:

在drf的dispatch中捕捉报错后执行的handle_exception,假如错误是AuthenticationFailed,那就会去认证类中获取authenticate_header函数,如果获取不到就会设置403作为状态码。
在这里插入图片描述

权限

class UserPermission(BasePermission):
    message = {"status": False, 'msg': "无权访问1"}

    def has_permission(self, request, view):
        if request.user.role == 3:
            return True
        return False

class UserView(NbApiView):
    # 经理、总监、用户
    permission_classes = [UserPermission,]

    def get(self, request):
        return Response("UserView")

    def post(self, request):
        return Response("UserView")

权限类共用,那么就在settings中配置即可
在这里插入图片描述

REST_FRAMEWORK = {
    "UNAUTHENTICATED_USER": None,
    "DEFAULT_PERMISSION_CLASSES":[
        "ext.per.UserPermission"
    ]

}

源码分析:

在这里插入图片描述
在这里插入图片描述

由源码可知,如果有多个权限类,那么只要有一个权限类不通过,那么就停止后续权限类的检测。如果希望调整检测规则,则覆写check_permission即可。

限流

限流组件需要存储用户访问次数,那么可以采用redis缓存这些数据就可以达成目的
在这里插入图片描述

class UserThrottle(SimpleRateThrottle):
    scope = "user"  # 用于获取THROTTLE_RATES中的频率
    cache = default_cache  # 使用的redis
	THROTTLE_RATES = {"user": "10/m"}  # 设置频率
	# 获取唯一标识
    def get_cache_key(self, request, view):
        ident = request.user.pk  # 用户ID
        return self.cache_format % {'scope': self.scope, 'ident': ident}

class UserView(APIView):
    # 经理、总监、用户
   	throttle_classes = [UserThrottle, IpThrottle]

    def get(self, request):
        return Response("UserView")

    def post(self, request):
        return Response("UserView")

共用限流类,那么就在settings中配置即可

REST_FRAMEWORK = {
    "DEFAULT_THROTTLE_RATES": {
        "ip": "10/m",
        "user": "5/m"
    }
}

源码分析

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

由源码知,他会遍历所有的限流类,如果访问次数超过限流类的限制次数,那么就会获取等待时间加入列表,然后显示等待时间最长的限制类显示给用户看。

笨鸟先飞的橘猫
关注
【15.0】DRF之权限控制
Chimengmeng的博客
08-01 212
【一】ACL的权限控制 ACL(访问控制列表)是一种用于权限控制的技术,可以限制用户对系统资源的访问和操作。 在针对互联网用户的产品中,ACL被广泛应用于管理用户对特定功能或数据的权限。 ACL(访问控制列表)的权限控制:(针对互联网用户的产品) 用户表 id name password 1 zhangsan 123 权限表 id user_id ...
DRF-JWT认证、权限、限流
XueDaJing030409的博客
06-04 793
主要以 Django+DRF + Vue的开发模式,简单介绍以 jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
DRF认证、权限、限流等八大组件
m0_61810345的博客
02-27 1084
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部是否可以访问视图, view表示当前视图对象,request可以通过user属性获取当前用户是否可以访问模型对象, view表示当前视图, obj为模型数据对象,request可以通过user属性获取当前用户"""VVIP权限自定义权限,可用于全局配置,也可以用于局部配置""""""视图权限返回结果未True则表示允许访问视图类。
Django REST Framework(十九)权限
最新发布
yjjpp2301的专栏
08-27 533
Django 项目的配置文件中,可以全局配置 DRF权限管理类。这种设置适用于整个项目中的所有视图。默认情况下,如果不做任何配置,DRF 会允许所有用户访问视图(AllowAny'rest_framework.permissions.IsAuthenticated', # 仅允许已通过身份认证的用户访问在此配置下,所有视图都会默认要求用户通过身份认证,否则无法访问。有时内置的权限类不能满足所有需求,此时可以通过继承类来创建自定义权限类。:判断用户是否有权访问视图。
drf之权限
m0_71115526的博客
12-27 636
权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 2.1.2 全局使用 2.1.3 局部使用 2.1.4 说明 2.2 内置权限 2.2.1 内置权限类 2.2.2 全局使用 可以在配置文件中全局设置默认的权限管理类,如 如果未指明,则采用如下默认配置 2.2.3 局部使用 也可以在具体的视图中通过permission_classes属性来设置,如
DRF 权限管理和授权管理
hylon5的博客
12-11 1183
DRF 权限管理 AllowAny : 默认的权限,允许任何用户进行操作 IsAuthenticated :只允许 授权的 用户 进行操作 IsAdminUser : 只允许 后台管理员进行操作 IsAuthenticatedOrReadOnly 只允许授权的用户所有进行操作,没有授权人的都可以进行读取 局部设置权限 全局设置权限 DRF 授权管理 DRF 默认采用的是 session 登...
20. drf权限管理
细致-专业-实操
04-12 1474
示例一: 登录了能访问视图 from .serializers import UserSerializer from rest_framework import viewsets from django.contrib.auth import get_user_model from django_filters.rest_framework import DjangoFilterBackend from rest_framework.authentication import SessionAuthenti
Django restframework 框架认证、权限、限流用法示例
09-18
它提供了许多功能,包括认证、权限和限流,使得构建RESTful API变得更加简单和规范。 **认证(Authentication)** 认证是验证用户身份的过程。DRF提供多种认证方式,包括: 1. **BasicAuthentication**:基于HTTP...
直观对比djangoDRF
weixin_61422097的博客
09-22 7251
首先我们来看我从知乎上保存的有关djangoDRF的流程图,思考两者之间的区别与联系! Django就是将数据库的东西通过ORM的映射取出来,通过view文件,按照template文件排出的模板渲染成HTML。当用户请求相应的url时,返回相应的结果。 DRF是将数据库的东西通过ORM的映射取出来,通过view和serializers文件绑定REST接口,当前端请求时,返回序列化好的json。 那么DRFDjango的基础上做了什么呢? DRFDjango的超集,去掉了模板的部分,提.
Django REST Framework——6. 认证、权限、限流、过滤、排序及异常处理
花城的博客
12-21 2016
文章目录一、认证(Authentication)1.1 身份认证的流程1.2 自定义认证类1.3 设置认证方案二、权限(Permissions)2.1 权限检查流程2.2 对象级别的权限2.3 自定义权限补充说明2.4 设置权限三、限流(Throttling)3.1 限流检查流程3.2 内置限流3.2.1 AnonRateThrottle3.2.2 UserRateThrottle3.3 设置限流四、过滤(Filtering)4.1 根据当前用户进行过滤4.2 根据URL进行过滤4.3 使用第三方djang
Django DRF的使用
Y_toffee的博客
06-03 722
DRF 框架,全称为 Django Rest Framework,是 Django 内置模块的扩展,用于创建标准化 RESTful API;它利用 ORM 映射数据库,并自定义序列化数据进行返回,多用于前后端分离项目。:将数据库的东西通过ORM的映射取出来,通过view文件,按照template文件排出的模板渲染成HTML。当用户请求相应的url时,返回相应的结果。
django框架-DRF工程之权限功能
weixin_34026276的博客
07-16 282
1.相对于flask,原生而言djangoDRF做的则更加的合理化,想要给予用户相应的权限,首先需要在settings中进行配置 REST_FRAMEWORK = {   'DEAFAULT_PERMISSION_CLASSES':(       'rest_framework.permissions.IsAuthenticated',   ) } 如果没有指明是那种权限,则使用 ‘...
DRF权限】
weixin_30521649的博客
12-25 212
目录 权限的详细用法 我们都听过权限,那么权限到底是做什么的呢. 我们都有博客,或者去一些论坛,一定知道管理员这个角色, 比如我们申请博客的时候,一定要向管理员申请,也就是说管理员会有一些特殊的权利,是我们没有的. ==这些对某件事情决策的范围和程度,我们叫做权限==,权限是我们在项目开发中经常用到的. 本文将详细...
Django DRF JWT 认证
XWenXiang的博客
06-23 835
首先大致了解一下什么是 TokenToken 是一种客户端认证机制、令牌,是一个经过加密的字符串,安全性强,支持跨域用户第一次登录,服务器通过数据库校验其用户名和密码是否合法,则再生成一个token串,服务端会返回Token给前端,前端可以在每次请求的时候带上Token证明自己的合法地位Token 的生成一般是采用uuid保证唯一性,当用户登录时为其生成唯一的token,存储一般保存在数据库中 Json Web Token 简称 JWT,其本质就是 token 认证机制。JWT 就是一段字符串,由三段信息构
DRF学习笔记(4)——权限控制
liu_dongd的博客
07-29 692
文章目录认证自定义认证类MyAuthentications.pyutil.py全局认证局部认证权限控制全局权限控制自定义权限控制 认证确定了你是谁 权限确定你能不能访问某个接⼝ 限制确定你访问某个接⼝的频率 认证 自定义认证类 MyAuthentications.py 实现⾃定义的认证⽅案,要继承BaseAuthentication类并且重写.authenticate(self, request) ⽅法。如果认证成功,该⽅法应返回(user, auth)的⼆元元组,否则返回None。 不管是全局认证还是局部
Django-rest-framework框架之drf内置认证,权限,频率类,异常处理与自动生成接口文档
DiligentGG的博客
10-11 510
* 内置认证类,权限类,频率类 * django的配置文件(每个配置项的作用) * 过滤类的其他作用 * 全局异常处理 * 接口文档
Django DRF权限组件
知远同学的博客
11-20 445
Djangodrf框架内的权限组件,如果遇到多个权限认证类,是需要所有的权限类都要通过验证,才能访问视图。3、settings.py ,如果需要全局设置,可以如下设置。1、per.py 自定义权限类。
drf框架----权限
weixin_45228198的博客
03-23 641
目录模型类DRF的权限 模型类 from django.contrib.auth.models import AbstractUser from django.db import models # 用户模型类 class User(AbstractUser): mobile = models.CharField("手机号", max_length=11) user_type = models.ForeignKey(UserRole, on_delete=models.CASCADE, verbose
Django DRF认证流程(解析源码)
爱吃辣椒的锅包肉
03-14 301
一、安装restframework pip install djangorestframework pip install markdown # 为browsable API 提供Markdown支持。 pip install django-filter # Filtering支持。 二、定义路由 urlpatterns = [ path('admin/', admin.site.urls), path('dog/', views.DogView.as_view()) ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值