DRF认证-权限-频率

最新推荐文章于 2023-12-10 22:50:42 发布
最新推荐文章于 2023-12-10 22:50:42 发布
阅读量219 收藏
点赞数
分类专栏: DRF 文章标签: django framework python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53439183/article/details/117453389
版权

文章目录

1、认证介绍和源码分析

1.1–认证的实现
1、写一个类,继承BaseAuthentication,重写authenticate,认证的逻辑写在里面、
	认证通过、返回两个值、一个值最终给了Request对象的user、
    认证失败、抛异常--APIException或者AuthentionFailed
1.2–源码分析
1 只有认证通过的用户才能访问指定的url地址,比如:查询课程信息,需要登录之后才能查看,没有登录,就不能查看,这时候需要用到认证组件  self.initial

1、APIView--->dispatch--->self.initial(reuqest.*args.**kwargs):
    self.perform_authentication(request)    #认证
    self.check_permissions(request)     	#权限
    self.check_throttles(request)			#频率
2'认证'self.perform_authentication(request)-->
	def perform_authentication(self,request)  
    	request.user---->def 的 Request类中查找 方法或属性user的get方法
3、Request:  user被包装成数据属性、
    @property
    def user(self):
        if not hasattr(self, '_user'):
            with wrap_attributeerrors():  #上下文管理__enter__ __exit__
                #没用户、认证用户、
                self._authenticate() **核心
            #有用户,直接返回用户
            return self._user
4、self._authenticate()----:
        def _authenticate(self):
        """
        遍历依次尝试每个身份认证请求
        self._authenticators配置的一堆认证类产生的认证类对象组成的list
        """
        for authenticator in self.authenticators:
            '''self.authenticators:						#类出初始化的时候传的
            def __init__(self, request, parsers=None, authenticators=None,
                 negotiator=None, parser_context=None):'''
            try:
            '''认证器(对象)调用认证方法authenticate(认证类对象self,request请求对象)
          	   返回值: 登录的用户与认证信息组成tuple
          	   该方法被try包裹代表该方法会抛异常、抛异常就代表失败'''
                user_auth_tuple = authenticator.authenticate(self)
            except exceptions.APIException:
                self._not_authenticated()
                raise
			#返回值的处理
            if user_auth_tuple is not None:
                self._authenticator = authenticator
            #如果有返回值,就将 登录用户 与 登录认证分别保存 request.user\request.auth
                self.user, self.auth = user_auth_tuple
                return

        self._not_authenticated()
5、drf的Request对象实例化是再什么时候?
	-再APIVIew的dispatch最上面完成的
    request = self.initialize_request(request, *args, **kwargs)
    def __init__(self, request, parsers=None, authenticators=None,
                 negotiator=None, parser_context=None):

6、APIView的get_authenticators:
    def get_authenticators(self):
        # 取出加()执行 列表里是一堆对象、视图类中配置的
        return [auth() for auth in self.authentication_classes] #列表生成式
    --authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
    
-如果我再视图类中写:authentication_classes=[类名,类名1] 会覆盖drf中的配置
-返回[对象,对象1]

2、认证、权限、频率

2.1 --认证类的使用流程
	-写一个类,继承BaseAuthentication
	-在类中写authenticate(self, request):
	-在方法中进行校验,如果校验通过,返回两个值(返回空)
	-使用认证类,在视图类上加
	authentication_classes = [LoginAuth,]
2.1.1–登录Views
class UserView(ViewSetMixin,CreateAPIView):
    queryset = models.User.objects.all()
    serializer_class_classes = []

#1、基于原生的session
@action(method=['POST'],detail=False)
def login(self,request):
    username = request.data.get('username')
    password = request.data.get('passwrod')
    user = models.User.objects.fiflter(username=username,passrod=password).first()
    request.session['username']=user.username
    request.session['id'] = user.id
    request.session.save()
    from django.contrib.sessions.backends.db import SessionStore
    if user:
        return APIResponse(msg='登录成功',token=request.session.session_key)
    else:
        return APIResponse(status=101,msg='用户名或密码错误')

    
#2、基于自己写的UserToken表版本
from rest_framework.decorators import action
@action(methon=['POST'],detail=False)
def login(self,request):
    username = request.data.get('username')
    passrod = request.data.get('password')
    user = models.User.objects.filter(username=username,password=password).first()
    token = uuid.uuid4()
    models.UserToken.objects.update_or_crate(defaults={'token':token},user=user)
    if user:
        return APIResponse(msg='登录成功',token=token)
    else:
        return APIResponse(status=101,msg='用户名或密码错误')
2.1.2-- urls路由
from rest_framework.routers import SimpleRouter
from django.urls import path,include

router = SimpleRouter()
router.register('路由',voews.类名)
urlpatterns = [
    path('admin/',admin.site.urls),
    path('api/',include(router.urls))
]
2.1.3—认证类的编写
#1、基于session的认证类
from django.contrib.sessions.models import Session
from importlib import import_module
form django.conf import settings
class LogiAuth(BaseAuthentication):
    def authenticate(self,request):
        token = request.GET.get('token')
        '通过传入的token(session_key,取到当前key的session对象)'
        engine = import_module(settings.SESSION_ENGINE)
        self.SessionStore = engine.SessionStore
        request.session = self.SessionStore(token)
        
        Session.objects.filter(session_key=token).first()
        if request.session.get('name',None):
            return '',''
        else:
            raise AuthenticationFailed('你没有登录')

#2、基于自己写的UserToken表
class LoginAuth(BaseAuthentication):
    def authrnticate(self,request):
        token=request.GET.get('token')
        user_token = models.UserToken.objects.filter(token=token).first()
        if user_token:
            '登录了、返回两个值、第一个值给新request对象user属性、'
            '通常情况把当前登录用户返回'
            return user_token.user,''
        else:
            raise AuthenticationFailed('没有登录')
2.1.4–使用认证类(全局、局部)
#全局用,settings中配置(所有接口都需要认证)
REST_FRAMEWORK={
    "DEFAULT_AUTHENTICATION_CLASSES":["app01.auth.LoginAuth",]
}
#登录功能需要局部禁用,在视图类中加入
	authentication_classes = []
#只在局部使用,只在视图类中加入
authentication_classes = [loginAuth]
2.2权限类编写和使用
2.2.1–编写权限类
class MyPermission(BasePermission):
    message='没有权限'
    def has_permission(self,request,view):
        if request.user.user_type == 1:
            return True
        else:
            self.message='你是%s用户,没有权限'%request.user.get_user_type_display()
           	return False
2.2.2–权限类的使用
#局部使用(在视图类中加)
permission_classes = [MyPermission,]
#全局使用(在文件中配置)
REST_FRAMEWORK={
    "DEFAULT_PERMISSION_CLASSES":["app01.auth.MyPermission",],
}
2.3频率类的使用
2.3.1–定义一个频率类
form rest_framework.throttling import BaseThrottle,SimpleRateThrottle
class MyThrottle(SimpleRateThrottle):
    scope = 'ip_th'
    def get_cache_key(self,request,view):
        return self.get_ident(request)
2.3.2–在配置文件中配置
REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_RATES': {
        'ip_th': '5/m',  #一分钟访问5次
    },
}
2.3.3–局部使用,全局使用
# 局部用,在视图类中配置
throttle_classes = [MyThrottle,]
# 全局用,在配置文件中配置
REST_FRAMEWORK = {
    "DEFAULT_THROTTLE_CLASSES": ["app01.auth.MyThrottle", ],
    'DEFAULT_THROTTLE_RATES': {
        'ip_th': '5/m',  #一分钟访问5次
    },

}

3、自定义频率类(了解-很少使用)

class MyThrottling(BaseThrottle):
    VISIT_RECORD = {}  # 记录访问者的大字典

    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        # (1)取出访问者ip
        # (2)判断当前ip不在访问字典里,添加进去,并且直接返回True,表示第一次访问,
        	#在字典里,继续往下走
        # (3)循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,
        	#把这种数据pop掉,这样列表中只有60s以内的访问时间,
        # (4)判断,当列表小于3,说明一分钟以内访问不足三次,
        	#把当前时间插入到列表第一个位置,返回True,顺利通过
        # (5)当大于等于3,说明一分钟内访问超过三次,返回False验证失败
        # (1)取出访问者ip
        # print(request.META)
        ip = request.META.get('REMOTE_ADDR')
        import time
        ctime = time.time()
        # (2)判断当前ip不在访问字典里,添加进去,并且直接返回True,表示第一次访问
        if ip not in self.VISIT_RECORD:
            self.VISIT_RECORD[ip] = [ctime, ]
            return True
        self.history = self.VISIT_RECORD.get(ip,[])
        # (3)循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,
        	#把这种数据pop掉,这样列表中只有60s以内的访问时间,
        while self.history and ctime - self.history[-1] > 60:
            self.history.pop()
        # (4)判断,当列表小于3,说明一分钟以内访问不足三次,
       		#把当前时间插入到列表第一个位置,返回True,顺利通过
        # (5)当大于等于3,说明一分钟内访问超过三次,返回False验证失败
        if len(self.history) < 3:
            self.history.insert(0, ctime)
            return True
        else:
            return False

    def wait(self):
        import time
        ctime = time.time()
        # return 60 - (ctime - self.history[-1])
        return 1
源站
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
drf-SimpleJWT-Vue:模板 Django + DRF + SimpleJWT + Vue.js 项目
08-04
DRF SimpleJWT + Vue.js 应用程序的模板库最初创建:2020 年 7 月 3 日TL;DR:SimpleJWT 的 Django 服务器存储库设置。 测试用户: test和 pw test 。示例存储库React: Vue: 安卓: iOS: 介绍此模板存储库专用于...
drf-social-oauth2
05-04
DRF社交OAuth2 该模块为Django REST Framework中的应用程序提供OAuth2社交身份验证支持。 该软件包的目的是帮助为您的REST API设置社交身份验证。 它还有助于设置OAuth2提供程序。 该软件包依赖于和 。 如果您想...
Django REST 框架详解 08 | 认证组件
Baimoc
05-21 962
文章目录一、认证组件1. 分析源码2. 全局配置认证二、自定义认证类1. 代码实现2. 接口测试 一、认证组件 1. 分析源码 通过分析源码了解认证组件的方法调用过程 APIView 的 dispatch 中使用 initial 方法实现初始化并进行三大认证,第一步就是认证组件 rest_framework/views.py class APIView(View): # ... def initial(self, request, *args, **kwargs): # ..
jwt 身份验证
weixin_57253143的博客
09-23 315
JWT注册登入 第一步:: 将首先配置setting ########### 1、在INSTALLED_APPS中加入'rest_framework.authtoken', ################# INSTALLED_APPS = [ ''' 'rest_framework.authtoken', ''' ] ################### 2、配置jwt验证 ###################### REST_FRAMEWORK = { # 身份认证 'DEFAULT
django restful权限认证方式
m0_62520968的博客
04-24 648
1.session认证: # # 全局所有页面都有权限认证 # REST_FRAMEWORK = { # 'DEFAULT_AUTHENTICATION_CLASSES': ( # 'rest_framework.authentication.BasicAuthentication', # 'rest_framework.authentication.SessionAuthentication', # ), .
DRF框架高级功能之认证
qq_27426691的博客
07-19 1215
DRF(django restframework)自带用户的认证,可以分方便的区分是否是登录用户,所有使用DRF的视图都可以使用。 认证功能有了两种配置方式,一种是全局配置,一种是局部配置。 全局配置 顾名思义,全局配置写在django的settings文件中,对项目中的所有继承子APIView的视图都起作用,配置如下: REST_FRAMEWORK = { 'DEFAULT_A...
DRF学习——认证组件(一)
Hemameba的博客
06-25 158
本篇文章主要介绍drf认证组件的快速使用,并从源码角度分析drf认证组件的使用过程。
drf-extra-fields:Django Rest Framework的额外字段
02-05
用法安装套件pip install drf-extra-fields 注意: 该软件包重命名为“ drf-extra-fields”,之前它被命名为“ django-extra-fields”。 为Django Rest Framework 2. *安装版本0.1 为Django Rest Framework 3. *安装...
drf-api-tracking:aschndrf-tracking的分支,以便我们可以维护和发布更新的版本
02-04
drf-api-tracking总览drf-api-tracking提供了Django模型和DRF视图混合,可将Django Rest Framework请求记录到数据库中。 对于每个使用mixin的视图,您将在每个请求/响应周期获得以下属性: 型号栏位名称描述模型字段...
drf-extensions:DRF-extensions是Django REST框架的自定义扩展的集合
04-06
Django REST框架扩展DRF-extensions是的自定义扩展的集合有关项目的完整文档,请参见赞助要求经过Python 3.6、3.7和3.8测试经过Django Rest Framework 3.9、3.10、3.11和3.12测试经过Django 2.2至3.1测试经过django-...
Django REST Framework完整教程-认证权限-JWT的使用
插件开发
10-18 2892
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 写入权限只允许给 article 的作者。
四十八、python学习之Django框架(DRF框架四):认证权限、限流、过滤、排序、分页、异常处理、自动生成接口文档
浅弋、璃鱼的博客
11-23 930
一、认证: 可以在配置文件中配置全局默认的认证方案 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthentication', # 基本认证 'rest_framework.authentication.Sessio...
rest_framework学习之认证(Authentication)&权限(Permissions)
zhubaoJay的博客
06-15 4665
认证权限控制是web开发中较为重要的知识点,我们看下django rest_framework认证权限是如何实现的 概述 我们知道,在django中,提供内置的认证权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证权限。 re...
DRF_权限认证
m0_51181022的博客
12-14 697
如需自定义权限,需继承父类,并实现以下两个任何一个方法或全部:是否可以访问视图,view表示当前视图对象,如果没有设置的话默认的是True,如果设置,False则表示所有的用户都不能访问该视图:是否可以访问数据对象,view表示当前视图,obj为数据对象,控制视图能够访问添加了权限控制类的数据对象。
DRFDjango rest_framework)(2 视图部分和路由)
最新发布
weixin_45771607的博客
12-10 865
本文在1-序列化器的基础上,从最基础的视图函数到视图类,再到ViewSet和自定义和路由怎么写,一步一步如何封装的,原因是什么,以及代码示例,很全,很通俗
DRF 认证权限和限流(只作用于DRF中的视图)
FOR.GET
10-11 508
一、认证 Authentication Authentication 官方配置文档 可以使用DEFAULT_AUTHENTICATION_CLASSES设置全局的默认身份验证方案。比如: # settings.py # REST_FRAMEWORK DRF中所有的配置都写与此中 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthenticat
restful专栏 10.用户认证 01.Basic认证
Web Python
04-10 232
# 01.Basic认证 [toc]{type: "ol", level: [2, 3, 4, 5]} ### 全局认证配置 ```python # 配置认证信息 'DEFAULT_AUTHENTICATION_CLASSES': [ # session认证 'rest_framework.authentication.SessionAuthentication', # basic认证 'rest_framework....
Django学习日记13
NLP工程化
10-16 348
1.GenericAPIView及继承类 [1]GenericAPIView(views.APIView):Base class for all other generic views. [2]CreateAPIView(mixins.CreateModelMixin, GenericAPIView):Concrete view for creating a model instance. [3]...
DRF源码流程分析
weixin_45543571的博客
11-09 147
转载:https://www.cnblogs.com/watson00/p/14206453.html
Django前后端分离实践之DRF--09
09-18
### 回答1: 在前面的文章中,我们已经介绍了如何使用DRF编写RESTful API和如何进行身份验证。在本文中,我们将继续探讨如何使用DRF实现前后端分离。具体来说,我们将使用Vue.js作为前端框架,并使用axios实现与后端API的通信。 1. 安装Vue.js和axios 首先,我们需要安装Vue.js和axios。我们可以使用npm来进行安装: ``` npm install vue npm install axios ``` 2. 创建Vue.js应用程序 我们可以使用Vue CLI来创建Vue.js应用程序。在命令行中输入以下命令: ``` npm install -g vue-cli vue init webpack myapp ``` 其中,myapp是应用程序的名称。在创建应用程序时,我们需要回答一些问题,例如选择使用哪种模板、是否安装vue-router等。我们可以根据自己的需要进行选择。 3. 编写Vue.js组件 接下来,我们需要编写Vue.js组件来与后端API进行通信。在本例中,我们将创建一个名为“TaskList”的组件,用于显示任务列表并提供添加任务的功能。 在src/components目录下创建TaskList.vue文件,并编写以下代码: ```html <template> <div> <h2>Tasks</h2> <ul> <li v-for="task in tasks" :key="task.id"> {{ task.title }} </li> </ul> <input type="text" v-model="title"> <button @click="addTask">Add Task</button> </div> </template> <script> import axios from 'axios'; export default { data() { return { tasks: [], title: '' }; }, created() { this.getTasks(); }, methods: { getTasks() { axios.get('http://localhost:8000/api/tasks/') .then(response => { this.tasks = response.data; }); }, addTask() { axios.post('http://localhost:8000/api/tasks/', { title: this.title }) .then(response => { this.tasks.push(response.data); this.title = ''; }); } } }; </script> ``` 在这个组件中,我们首先导入axios库,然后定义了一个名为“TaskList”的组件。在data函数中,我们定义了两个变量:tasks用于存储任务列表,title用于存储新任务的标题。在created函数中,我们调用getTasks函数来获取任务列表。在methods对象中,我们定义了两个方法:getTasks用于获取任务列表,addTask用于添加新任务。在getTasks函数中,我们使用axios库进行HTTP GET请求,并在响应中将tasks变量更新为获取的数据。在addTask函数中,我们使用axios库进行HTTP POST请求,并在响应中将新任务添加到tasks变量中。 4. 引入组件 最后,我们需要将TaskList组件引入Vue.js应用程序。在App.vue文件中,我们可以编写以下代码: ```html <template> <div id="app"> <TaskList /> </div> </template> <script> import TaskList from './components/TaskList.vue'; export default { name: 'App', components: { TaskList } }; </script> ``` 在这个文件中,我们首先导入TaskList组件,然后在components对象中注册它。最后,在模板中调用它。 5. 运行应用程序 现在,我们可以使用以下命令启动Vue.js应用程序: ``` npm run dev ``` 在浏览器中访问http://localhost:8080,您将看到一个任务列表和一个添加任务的表单。当您添加新任务时,它将被添加到列表中并保存到后端API中。 总结 在本文中,我们介绍了如何使用Vue.js和axios实现与DRF后端API的通信,并创建了一个名为“TaskList”的组件来显示任务列表和添加新任务。这是一个简单的示例,但您可以使用类似的方法来创建更复杂的应用程序。 ### 回答2: Django前后端分离实践之DRF--09主要是关于Django Rest FrameworkDRF)在前后端分离开发中的实践。DRF是基于Django的一款强大的Web API框架,它提供了一系列的功能和工具,使得开发者能够轻松地构建和管理API。 在这个实践中,首先我们需要将前端和后端进行分离。前端可以使用任何JavaScript框架,如Vue.js或React来构建用户界面,并通过HTTP请求与后端进行通信。而后端则是使用DjangoDRF来构建API。 DRF提供了一些类和方法,能够帮助我们更方便地开发API。例如,通过使用DRF的序列化器,我们可以轻松地将数据库模型转化为JSON格式。此外,DRF还提供了视图和路由器等组件,使得开发者能够更快速地构建API视图和URL路由。 在实践过程中,我们还可以使用DRF认证权限系统来保护API的安全性。DRF支持各种认证方式,如基于Token的认证和基于Session的认证。同时,我们可以基于DRF权限系统来限制用户对API的访问权限,确保只有经过授权的用户才能进行操作。 此外,DRF还提供了一些其他的功能,如过滤器、分页和搜索等,使得我们能够更精细地控制API的行为和展示方式。 总之,Django前后端分离实践之DRF--09主要介绍了如何使用DRF来构建前后端分离的应用。通过DRF提供的强大功能和工具,我们可以更便捷地开发高效、安全的API,并提供给前端进行交互和展示。 ### 回答3: DRFDjango Rest Framework是一种用于构建Web API的强大工具,它使得前后端分离开发成为可能。在实践中,Django的后端提供数据的存储和处理功能,而前端使用DRF来访问API并展示数据。 首先,我们需要在Django中安装和配置DRF。可以通过在settings.py中添加'django_rest_framework'到INSTALLED_APPS列表中来安装DRF。然后,在urls.py中配置API的路由。 在Django中,我们可以使用数据库模型来定义数据模型,在使用DRF时,我们需要创建一个序列化器类来定义返回给前端的数据结构。序列化器由字段组成,可以定义字段的类型、验证规则等。我们可以使用DRF提供的ModelSerializer来快速创建序列化器类,它会自动根据模型的字段来生成对应的序列化器字段。 在视图中,我们可以使用基于类的视图来处理API请求。DRF提供了一系列的视图类,如APIView、ViewSet等,可以根据实际需求选择使用。视图类中的方法对应不同的HTTP操作,如GET、POST、PUT、DELETE等。 DRF还提供了身份验证、权限控制、过滤、排序等功能,可以根据项目的需求进行配置。 使用DRF的前后端分离实践中,前端可以通过发送GET、POST、PUT等请求来获取和操作数据。后端则负责处理请求并返回响应。前端可以通过AJAX、fetch等方法来发送请求并获取数据,然后使用HTML、CSS和JavaScript来展示数据。 在前后端分离开发中,前端和后端可以并行开发,各自独立测试,并且可以轻松地修改API而不会影响到前端界面。这种开发模式使得团队协作更加高效,同时也方便进行项目的维护和扩展。 总而言之,Django前后端分离实践之DRF可以极大地提升开发效率和团队协作能力。通过合理配置和使用DRF提供的功能,可以实现强大的API开发,使得前后端分离成为一种高效和可行的开发方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值