2. 程式人生 > >Django REST framework基礎:認證、權限、限制

Django REST framework基礎:認證、權限、限制

阿新 發佈:2019-04-15
bsp request history inf 機制 length pre div view

認證、權限和限制

身份驗證是將傳入請求與一組標識憑據(例如請求來自的用戶或其簽名的令牌)相關聯的機制。然後 權限 和 限制 組件決定是否拒絕這個請求。

簡單來說就是:

認證確定了你是誰

權限確定你能不能訪問某個接口

限制確定你訪問某個接口的頻率

認證

REST framework 提供了一些開箱即用的身份驗證方案,並且還允許你實現自定義方案。

技術分享圖片

接下類我們就自己動手實現一個基於Token的認證方案:

自定義Token認證

定義一個用戶表和一個保存用戶Token的表:

技術分享圖片 
class UserInfo(models.Model):
    username 
 
= models.CharField(max_length=16)
    password = models.CharField(max_length=32)
    type = models.SmallIntegerField(
        choices=((1, 普通用戶), (2, VIP用戶)),
        default=1
    )


class Token(models.Model):
    user = models.OneToOneField(to=UserInfo)
    token_code = models.CharField(max_length=128)
技術分享圖片

定義一個登錄視圖:

技術分享圖片 
def get_random_token(username):
    """
    根據用戶名和時間戳生成隨機token
    :param username:
    :return:
    """
    import hashlib, time
    timestamp = str(time.time())
    m = hashlib.md5(bytes(username, encoding="utf8"))
    m.update(bytes(timestamp, encoding="utf8"))
    
 
return m.hexdigest()


class LoginView(APIView):
    """
    校驗用戶名密碼是否正確從而生成token的視圖
    """
    def post(self, request):
        res = {"code": 0}
        print(request.data)
        username = request.data.get("username")
        password = request.data.get("password")

        user = models.UserInfo.objects.filter(username=username, password=password).first()
        if user:
            # 如果用戶名密碼正確
            token = get_random_token(username)
            models.Token.objects.update_or_create(defaults={"token_code": token}, user=user)
            res["token"] = token
        else:
            res["code"] = 1
            res["error"] = "用戶名或密碼錯誤"
        return Response(res)
技術分享圖片

定義一個認證類

技術分享圖片 
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed


class MyAuth(BaseAuthentication):
    def authenticate(self, request):
        if request.method in ["POST", "PUT", "DELETE"]:
            request_token = request.data.get("token", None)
            if not request_token:
                raise AuthenticationFailed(缺少token)
            token_obj = models.Token.objects.filter(token_code=request_token).first()
            if not token_obj:
                raise AuthenticationFailed(無效的token)
            return token_obj.user.username, None
        else:
            return None, None
技術分享圖片

視圖級別認證

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    authentication_classes = [MyAuth, ]

全局級別認證

# 在settings.py中配置
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]
}

權限

只有VIP用戶才能看的內容。

自定義一個權限類

技術分享圖片 
# 自定義權限
class MyPermission(BasePermission):
    message = VIP用戶才能訪問

    def has_permission(self, request, view):
        """
        自定義權限只有VIP用戶才能訪問
        """
        # 因為在進行權限判斷之前已經做了認證判斷,所以這裏可以直接拿到request.user
        if request.user and request.user.type == 2:  # 如果是VIP用戶
            return True
        else:
            return False
技術分享圖片

視圖級別配置

技術分享圖片 
class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    authentication_classes = [MyAuth, ]
    permission_classes = [MyPermission, ]
技術分享圖片

全局級別設置

# 在settings.py中設置rest framework相關配置項
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
}

限制

DRF內置了基本的限制類,首先我們自己動手寫一個限制類,熟悉下限制組件的執行過程。

自定義限制類

技術分享圖片 
VISIT_RECORD = {}
# 自定義限制
class MyThrottle(object):

    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        """
        自定義頻率限制60秒內只能訪問三次
        """
        # 獲取用戶IP
        ip = request.META.get("REMOTE_ADDR")
        timestamp = time.time()
        if ip not in VISIT_RECORD:
            VISIT_RECORD[ip] = [timestamp, ]
            return True
        history = VISIT_RECORD[ip]
        self.history = history
        history.insert(0, timestamp)
        while history and history[-1] < timestamp - 60:
            history.pop()
        if len(history) > 3:
            return False
        else:
            return True

    def wait(self):
        """
        限制時間還剩多少
        """
        timestamp = time.time()
        return 60 - (timestamp - self.history[-1])
技術分享圖片

視圖使用

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    throttle_classes = [MyThrottle, ]

全局使用

技術分享圖片 
# 在settings.py中設置rest framework相關配置項
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]
}
技術分享圖片

使用內置限制類

技術分享圖片 
from rest_framework.throttling import SimpleRateThrottle


class VisitThrottle(SimpleRateThrottle):

    scope = "xxx"

    def get_cache_key(self, request, view):
        return self.get_ident(request)
技術分享圖片

全局配置

技術分享圖片 
# 在settings.py中設置rest framework相關配置項
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    # "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],
    "DEFAULT_THROTTLE_RATES": {
        "xxx": "5/m",
    }
}
技術分享圖片

Django REST framework基礎:認證、權限、限制

相關推薦

Django REST framework基礎認證限制

bsp request history inf 機制 length pre div view 認證、權限和限制 身份驗證是將傳入請求與一組標識憑據(例如請求來自的用戶或其簽名的令牌)相關聯的機制。然後 權限 和 限制 組件決定是否拒絕這個請求。 簡單來說就是:

Django REST framework基礎解析器和渲染器

請求 span 了解 quest 使用 res pre renderer sof 解析器 解析器的作用 解析器的作用就是服務端接收客戶端傳過來的數據,把數據解析成自己可以處理的數據。本質就是對請求體中的數據進行解析。 在了解解析器之前,我們要先知道Accept以及Co

Django REST framework基礎版本控制

serial http work 行為 views pos 允許 request 屬性 DRF的版本控制 為什麽需要版本控制 API 版本控制允許我們在不同的客戶端之間更改行為(同一個接口的不同版本會返回不同的數據)。 DRF提供了許多不同的版本控制方案。 可能會有一

Django Rest Framework源碼剖析(二)-----

www. 基於 framework suffix 生效 ted AI try exce 一、簡介 在上一篇博客中已經介紹了django rest framework 對於認證的源碼流程,以及實現過程,當用戶經過認證之後下一步就是涉及到權限的問題。比如訂單的業務只

Django Restful Framework【第三篇】認證限制訪問頻率

authent per ted inf png ip限制 users -a python 一、認證 認證請求頭 views.py #!/usr/bin/env python # -*- coding:utf-8 -*- from rest_framework.views

REST framework組件-認證限制

style miss sca cat rfi return ria serial quest 認證 定義user表和token表 class UserInfo(models.Model): username = models.CharField(verbose_n

[Django] Django REST Framework(三)APIViewGenericAPIViewMixins總結

概述 APIView是DRF的檢視層中最基本的類,它相當於Django中的View類,其他檢視類都是通過繼承APIView實現的。 GenericAPIView繼承於APIView,在其父類的基礎上為列表檢視和詳情檢視添加了常用的行為。 Mixins提供了

restful(3)認證頻率

col 數據 ges dom base print miss lte efi models.py中: class UserInfo(models.Model): name = models.CharField(max_length=32) psw = mo

django rest framework 用戶認證

相關 () view 普通 返回 ini class 請求 use BaseAuthentication 類: django rest framework 通過 BaseAuthentication 實現認證功能 無論是自定義的認證類還是 rest fram

Django REST framework 之 API認證

密鑰 請求參數 odin 字符 signal 介紹 發布 項目 www. RESTful API 認證   和 Web 應用不同,RESTful APIs 通常是無狀態的, 也就意味著不應使用 sessions 或 cookies, 因此每個請求應附帶某種授權憑證,因為用

Django rest framework 常用外來鍵命令 (加入刪除檢視所有檢視除了自己以外的所有摘除分離物件間外來鍵關係)

依次介紹:加入、刪除、檢視所有、檢視除了自己以外的所有、摘除分離物件間外來鍵關係 model class MyUser(AbstractUser): team=models.ForeignKey('myteam.Team',related_name=

RestFramework自定制之認證限制訪問頻率

[1] eal val def app http asi col basic 認證   所謂認證就是檢測用戶登陸與否,通常與權限對應使用。網站中都是通過用戶登錄後由該用戶相應的角色認證以給予對應的權限。 自定制認證規則的重點是繼承內置的BaseAuthenticatio

DRF 版本認證限制解析器和渲染器

斷言 lin .html remote ati efault rfi site initial 目錄 一.DRF之版本控制 為什麽要有版本控制? DRF提供的版本控制方案 版本的使用 全局配置 局部配置(使用較少) 二.DRF之認證 內置的認證 步驟 三.DRF之權

Linux之用戶組合練習

用戶 組 權限 1、創建用戶gentoo,附加組為bin和root,默認shell為/bin/csh,註釋信息為"Gentoo Distribution"useradd -c "Gentoo Distribution" -s /bin/csh -G bin

3.7 錢包帳戶token智能合約action權重和閥值之間關系

tps http 如果 作用 proc 主體 art ref 區塊鏈 3.7.1 賬戶、錢包和密鑰的關系 如圖所示,右邊是EOS Wallet錢包,裏面只存放私鑰及由該私鑰產生的公鑰(公私鑰對),而且錢包有一個密碼,需要輸入密碼才能解鎖錢包,讀取私鑰。錢包和賬戶沒有直接的關

Django rest framework__str__ returned non-string (type NoneType) 真正原因

問題 field __str__ span 是我 字段 max 一個 self. 出錯原因:   用戶表是Django中核心的表,當這個表類字段中有一個這樣的函數 def __str__(self): return self.name   在Django用戶表設

Django REST framework —— 組件源碼分析

show lis 列表 登錄用戶 必須 分享圖片 exception map 這一 在上一篇文章中我們已經分析了認證組件源碼,我們再來看看權限組件的源碼,權限組件相對容易,因為只需要返回True 和False即可 代碼 1 class ShoppingCarV

Django rest framework(2)----

authent tar ott usr python rest 哪些 port rem 一 添加權限 (1)API/utils文件夾下新建premission.py文件,代碼如下: message是當沒有權限時,提示的信息 #!/usr/bin/env python

django rest framework 使用者認證

BaseAuthentication 類: django rest framework 通過 BaseAuthentication 實現認證功能 無論是自定義的認證類還是 rest framework 自帶的認證類都應該繼承 BaseAuthentication BaseAuthent

Django rest framework 操作(源碼分析二)

prop 源碼 display rtc body app ffi 代碼 tin 知識回顧 這一篇是基於上一篇寫的,上一篇謝了認證的具體流程,看懂了上一篇這一篇才能看懂, 當用戶訪問是 首先執行dispatch函數,當執行當第二部時: #2.處理版本信息