一、认证组件
认证简介:
只有认证通过的用户才能访问指定的url地址 比如:查询课程信息需要登录之后才能查看,没有登录,就不能查看,这时候需要用到认证组件
models层:
class User(models.Model):
name=models.CharField(max_length=32)
pwd=models.CharField(max_length=32)
choice=((1,'超级用户'),(2,'普通用户'),(3,'穷逼用户'))
type=models.IntegerField(choices=choice,null=True)
# typ=models.ForeignKey(to='Type')
# class Type(models.Model):
# id=models.AutoField(primary_key=True)
# name=models.CharField()
class UserToken(models.Model):
token = models.CharField(max_length=64)
user=models.OneToOneField(to='User',on_delete=models.CASCADE)
视图层:
# 新建认证类
----------------------------MyAuth.py--------------------------------------
from rest_framework.authentication import BaseAuthentication
from app01 import models
class MyAuthetication(BaseAuthentication):
# 重写这个方法
def authenticate(self,request):
#认证相关的东西
# 如果token信息放到请求头中,如何取?
# request._request.META
# token=request.META.get('token')
# 校验该次请求是否携带正确的token
# 取出token
token=request.GET.get('token')
# 校验该次请求是否携带正确的token
ret=models.UserToken.objects.filter(token=token).first()
if ret:
# 正常通过认证的用户
#ret.user 当前登录用户
return ret.user,token
# return None
else:
# 没有登录或者非法用户
raise AuthenticationFailed('您没有通过认证')
----------------------------------views.py------------------------------------
from rest_framework.views import APIView
from rest_framework.response import Response
from app01.MyAuth import MyAuthetication
class BooksView(APIView):
# 局部认证
authentication_classes=[MyAuthetication]
throttle_classes=[MyThrottling]
def get(self,request):
#request.user就是当前登录用户
print(request.user)
print(request.auth)
return Response('ok')
# 写登录接口
class Login(APIView):
# 全局使用的局部禁用
authentication_classes = []
def post(self,request):
response={'status':100,'msg':None}
name=request.data.get('name')
pwd=request.data.get('pwd')
#去数据库校验该用户是否存在
user=models.User.objects.filter(name=name,pwd=pwd).first()
if user:
# 正常用户登录成功,返回一个唯一的随机字符串
token=uuid.uuid4()
#把生成的随机字符串存到数据库中
# 这样不行,因为每次登录都会新插入一条
# models.UserToken.objects.create(user=user,token=token)
# 先去数据库中查询,如果当前用户存在记录,更新token,如果不存在,新增一条
# 根据user取查询,如果查到数据更新defaults中的数据,如果查不到,新增一条数据
ret=models.UserToken.objects.update_or_create(user=user,defaults={'token':token})
response['msg']='登录成功'
response['token']=token
else:
#用户名或密码错误
response['status'] = 101
response['msg'] = '用户名或密码错误'
return Response(response)
全局使用:
# 在setting中配置
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': ['app01.MyAuth.MyAuthetication', ]
}
二、权限组件
权限简介:
只用超级用户才能访问指定的数据,普通用户不能访问,所以就要有权限组件对其限制
视图层:
#权限类
----------------------------MyAuth.py--------------------------------------
from rest_framework.permissions import BasePermission
class MyPermissions(BasePermission):
message = '不是超级用户,查看不了'
def has_permission(self,request,view):
#代表是超级用户
if request.user.type == 1:
#如何取出type对应的文字,get_字段名_display()
user_str=request.user.get_type_display()
print(user_str)
#超级用户,校验通过,返回true,校验失败,返回false
return True
else:
return False
----------------------------------views.py------------------------------------
from rest_framework.views import APIView
from rest_framework.response import Response
from app01.MyAuth import MyPermissions
class BooksView(APIView):
# 局部认证
permission_classes=[MyPermissions]
# 全局使用的局部禁用
# permission_classes=[]
throttle_classes=[MyThrottling]
def get(self,request):
# request.user就是当前登录用户
print(request.user)
print(request.auth)
return Response('ok')
全局使用:
# 在setting中配置
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': ['app01.MyAuth.MyPermissions', ]
}
三、频率组件
频率简介:
为了控制用户对某个url请求的频率,比如,一分钟以内,只能访问三次
视图层:
# 自己定义的频率控制类
----------------------------MyAuth.py--------------------------------------
from rest_framework.throttling import BaseThrottle
class MyThrottling(BaseThrottle):
VISIT_RECORD = {}
def __init__(self):
self.history=None
def allow_request(self, request, view):
# 1.取出访问者ip
ip = request.META.get('REMOTE_ADDR')
import time
ctime = time.time()
# 2.判断当前ip不在访问字典里,添加进去,并且直接返回True,表示第一次访问
if ip not in self.VISIT_RECORD:
self.VISIT_RECORD[ip] = [ctime, ]
return True
#self.history当前访问者访问的时间列表
self.history = self.VISIT_RECORD.get(ip)
# 3.循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,把这种数据pop掉,这样列表中只有60s以内的访问时间
#[1s,20s,30s]
while self.history and ctime - self.history[-1] > 60:
self.history.pop()
# 4.判断,当列表小于3,说明一分钟以内访问不足三次,把当前时间插入到列表第一个位置,返回True,顺利通过
# 5.当大于等于3,说明一分钟内访问超过三次,返回False验证失败
if len(self.history) < 3:
self.history.insert(0, ctime)
return True
else:
return False
def wait(self):
import time
ctime = time.time()
return 60 - (ctime - self.history[-1])
# ----------------------------------------------------------------------------
# drf给我们提供的频率控制类
from rest_framework.throttling import SimpleRateThrottle
class MyThrottling(SimpleRateThrottle):
scope='luffy'
def get_cache_key(self, request, view):
# 必须重写get_cache_key 返回什么,频率组件会以什么做限制(比如返回ip,它就以ip做限制。如果返回user_id,它会以用户id做限制)
self.get_ident(request)
return request.META.get('REMOTE_ADDR')
----------------------------------views.py------------------------------------
from rest_framework.views import APIView
from rest_framework.response import Response
from app01.MyAuth import MyThrottling
class BooksView(APIView):
# 局部认证
throttle_classes=[MyThrottling]
# 全局使用的局部禁用
throttle_classes=[]
def get(self,request):
#request.user就是当前登录用户
print(request.user)
print(request.auth)
return Response('ok')
在settings中配置:
# 10/m m表示分钟,10表示次数。1分钟之内只能访问10次
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_RATES': {
'luffy': '10/m'
}
}
全局使用:
# 在setting中配置
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': ['app01.MyAuth.MyThrottling', ]
}