2. 程式人生 > >DRF之訪問許可權控制和訪問頻率控制(節流)

DRF之訪問許可權控制和訪問頻率控制(節流)

阿新 發佈:2021-01-06
# 許可權控制 ## 前言 **使用者驗證使用者許可權,根據不同訪問許可權控制對不同內容的訪問。** 建議瞭解檢視、token驗證的內容。 ## 使用流程 1. 自定義訪問許可權類,繼承`BasePermission`,重寫`has_permission()`方法,如果許可權通過,就返回`True`,不通過就返回`False`。`has_permission()`方法接受兩個引數,分別是`request`和`view`,也就是檢視類的例項化本身。 ![image-20210106113656701](https://img2020.cnblogs.com/blog/2056368/202101/2056368-20210106113657150-1816818317.png) 2. 配置。 區域性配置: ```python permission_classes = [MyUserPermission] ``` 全域性配置: ```python REST_FRAMEWORK={ 'DEFAULT_PERMISSION_CLASSES': ['libs.MyAuth.UserPermission',], } ``` ## 示例 ```python class SVIPPermission(BasePermission): # 推薦繼承BasePermission類 # message = 'You do not have permission to perform this action.'#預設值 message = '無此許可權!!!' def has_permission(self, request, view): if request.user.user_type == 3: return False # False為沒許可權 # view.queryset = # 可以使用這種方式控制檢視中要處理的資料(根據不同許可權) return True # True為有許可權 ``` ## 原始碼分析 進入`dispatch`函式,檢視`initial`方法(執行三大驗證)中的`check_permissions`方法: ![image-20201230163053258](https://img2020.cnblogs.com/blog/2056368/202012/2056368-20201230163053884-1093386257.png) `self.check_permissions(request)`將會根據`request`中的使用者內容進行許可權控制。 ![image-20201230163450342](https://img2020.cnblogs.com/blog/2056368/202012/2056368-20201230163450875-1494222285.png) ![image-20201230163538055](https://img2020.cnblogs.com/blog/2056368/202012/2056368-20201230163538522-8789747.png) ![image-20210106113841241](https://img2020.cnblogs.com/blog/2056368/202101/2056368-20210106113841738-889803283.png) 由上可知,`permission_classes`要麼讀取配置檔案中的`DEFAULT_PERMISSION_CLASSES`(全域性),要麼就在檢視類中直接對`permission_classes`賦值(區域性)。 # 節流限制 ## 前言 **控制網站訪問頻率。** ## 使用流程 1. 自定義限制類,繼承`BaseThrottle`。 2. 指定從配置檔案中要讀取的scope(key),形式為`scope="key"` 全域性配置: ```python REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': [ 'rest_framework.throttling.AnonRateThrottle', 'rest_framework.throttling.UserRateThrottle' ], 'DEFAULT_THROTTLE_RATES': { 'anon': '100/day', 'user': '1000/day' } } ``` 區域性配置: ```python throttle_classes = [UserRateThrottle] ``` 就比如`UserRateThrottle`,繼承了`SimpleRateThrottle`,指定了它所限制的`scope`,重寫了`get_cache_key`方法。 ![image-20210106115349546](https://img2020.cnblogs.com/blog/2056368/202101/2056368-20210106115349989-1102939528.png) ## 原始碼分析 在`APIView`的`initial`方法中,三大驗證還剩下最後一個沒有分析,那就是訪問頻率驗證,如下圖: ![image-20210106115306589](https://img2020.cnblogs.com/blog/2056368/202101/2056368-20210106115307148-1750509663.png) 接下來讓我們檢視`check_throttles`,可以看到,驗證訪問頻率的時候,呼叫的方法為頻率驗證類的`allow_request`方法。 ![image-20210106122326700](https://img2020.cnblogs.com/blog/2056368/202101/2056368-20210106122327226-603589863.png) 其中`get_throttles`用的還是老套路: ![image-20210106122353228](https://img2020.cnblogs.com/blog/2056368/202101/2056368-20210106122353718-1605526304.png) ## 示例 自定義一個頻率限制類: ```python from rest_framework.throttling import BaseThrottle import time # 存放訪問記錄(一般放資料庫或者快取中) VISIT_RECORD = {} class VisitThrottle(BaseThrottle): def __init__(self): self.history = None def allow_request(self, request, view): # 1. 獲取使用者ip remote_addr = request.META.get("REMOTE_ADDR") # 2. 新增到訪問記錄中 ctime = time.time() # 當VISIT_RECORD中沒有這個記錄,可以直接訪問,新增一個記錄 if remote_addr not in VISIT_RECORD: VISIT_RECORD[remote_addr] = [ctime, ] return True history = VISIT_RECORD.get(remote_addr) self.history = history # 拿到最後歷史記錄裡面的最後一個時間,如果最後一個時間小於當前時間-60(一分鐘之前的記錄) while history and history[-1] < ctime - 60: history.pop() if len(history) < 3: # 允許 history.insert(0, ctime) return True return False # False表示訪問頻率太高被限制 def wait(self): """ 還需要等多少秒可以訪問 :return: """ ctime = time.time() return 60 - (ctime - self.history[-1]) ``` 注意:官方內建的 `SimpleRateThrottle` 類中對`scope`的處理值得

相關推薦

MySQL訪問許可權系統訪問控制

6.1一般安全問題 6.1.1安全指南       執行MySQL時,請遵循以下準則:      (1)不要給任何人(MySQL root帳戶除外 )訪問 資料庫中的 user表mysql!這是至關重要的。     (2)瞭解MySQL訪問許可權系統的工作原理(參見 第6.

深入玩轉K8S業務彈性伸縮滾動更新操作

nginx 副本 mil 容器 history 博客 limit 新的 ima 在實際應用場景中避免不了因為業務的壓力而增加容器數量以及業務應用版本叠代更新,那麽本篇文章我們來學習下簡單的業務彈性伸縮、滾動更新操作,滾動操作的好處在於零停機更新,也就是說每次更新一小部分副本

【Oracle 叢集】ORACLE DATABASE 11G RAC 知識圖文詳細教程快取融合技術主要後臺程序

      前面已經介紹了 RAC 的後臺程序,為了更深入的瞭解這些後臺程序的工作原理,先了解一下 RAC 中多節點對共享資料檔案訪問的管理是如何進行的。要了解 RAC 工作原理的中心,需要知道 Cache Fusion 這個重要的概念,要發揮 Cache Fusion 的作用,要有一個前提條件,那就

玩轉extjs5Ext.data.ModelExt.data.Store

一、Ext.data.Model        (1)Model代表應用程式管理的一些物件。例如,我們可能會為 我們想在系統中建模的現實世界中的一些物體像使用者、產品和汽車等定義一個Model。這些Model在 模型管理器中註冊,被Store使用, 而這些Store又被許多

DRF訪問許可權控制訪問頻率控制節流

# 許可權控制 ## 前言 **使用者驗證使用者許可權,根據不同訪問許可權控制對不同內容的訪問。** 建議瞭解檢視、token驗證的內容。 ## 使用流程 1. 自定義訪問許可權類,繼承`BasePermission`,重寫`has_permission()`方法,如果許可權通過,就返回`True`

Scala學習包、引用訪問修飾符

本文主要內容: 1、包 2、引用 3、訪問修飾符 1、包 Scala採用了Java完整的包機制,不同點是Scala可以進行包的巢狀,而Java只能從包的層級的根開始。 package launch{ class Booster3 } packag

pythonClass屬性定義訪問

1、python中類定義: 類的宣告和函式的宣告形式是差不多的,開始都是關鍵字+自定義名稱 定義例項變數:可以在定義方法的時候直接定義,也可以使用例項來定義 可以使用dir(ClassName) ClassName.__dict__來檢視有哪些類屬性

hibernate持久化類屬性訪問方法分析

持久化類採用javaBean的訪問風格,為持久化類屬性的訪問提供getXXX() 和 setXXX()方法,即get和set作為持久化類的訪問方法。 例如,User實體類中有個name(使用者名稱)屬性,給User類針對屬性name提供getName()和setName()

Java的訪問許可權修飾符public、預設訪問許可權、protected、private

該筆記主要記錄我對於被Java的四個訪問許可權修飾符所修飾的域和方法在被直接使用(呼叫)、繼承後的直接使用和繼承後的方法覆蓋三方面的認識: 第一,直接使用的情況:   1.被public修飾的域和

[WebServer] Tomcat 配置訪問限制:訪問白名單訪問黑名單

最近公司的阿里雲伺服器上配置的 Tomcat 伺服器執行 java的環境,但是通過觀察 Tomcat 這幾天的日誌發現,有很多莫名其妙的 IP 訪問主機下莫名其妙的地址,如:/80、/testproxy.php、/cache/global/img/gs.gif、CONNECT

Android百度地圖開發學習筆記定位當前位置自定義控制元件返回

在完成HelloMap後,接來完成的重要功能是如何定位當前位置和如何一鍵返回。效果圖如下: 這裡的控制元件就是一個ImageView,自己去百度一個好看的圖片就可以了。 一 定位當前位置和自定義控制元件返回 1.官方技術文件 可以先點選百度地圖定位技術文件,仔細看一下相關

Discus 論壇 在 pc 電腦上 訪問手機版 ( mobile ) 觸屏版touch設定

Discus 論壇在 pc 電腦上 訪問手機版 ( mobile ) 和 觸屏版(touch)設定 1.   更改使用者代理 user agent 一般在瀏覽器上安裝UserAgent Switcher 外掛 即可更改使用者代理 Chrome瀏覽器安裝步驟: (1)   

solr搜索demo集成IKAnalyzer

solr solr搜索 ikanalyzer分詞器 ikanalyzer 1 新建demo-solr關閉運行的solr應用。進入solr目錄:D:\solr-4.10.2\example1、在example目錄下創建demo-solr文件夾;2、將./solr下的solr.xml拷貝

laravel服務容器-----深入理解控制反轉IoC依賴註入DI

outer 十分 綁定 之間 module 還需 true 更多 我們 首先大家想一想什麽是容器,字面意思就是盛放東西的東西,常見的變量,對象屬性都是容器,一個容器能夠裝什麽東西,完全在於你對這個容器的定義。有的容器不僅僅只是存文本,變量,而是對象,屬性,那麽我們通過這種容

集中式SVN分布式Git版本控制系統的簡單比較

ron table targe 特點 相對 tps ble 12px pan 集中式(SVN) 分布式(Git) 是否有中央服務器 有。開發人員需要從中央服務器獲得最新版本的項目然後在本地開發,開發完推送給中央服務器。因此脫離服

PHP控制反轉IOC依賴註入DI

-m ret 客戶端 無需 frame 控制 bsp 而是 div 先上一個例子: <?php class A { public $b; public $c; public function __construct() {

編程法:面試算法心得最長回文子串

高效 pre 記錄 特殊字符 一段 stp ace 分開 枚舉 內容全部來自編程之法:面試和算法心得一書,實現是自己寫的使用的是java 題目描述 給定一個字符串,求它的最長回文子串的長度。 分析與解法 最容易想到的辦法是枚舉所有的子串,分別判斷其是否為回文。這個思路初看起

編程法:面試算法心得尋找為定值的多個數

arch 全部 col static 多個 ++ som ava sta 內容全部來自編程之法:面試和算法心得一書,實現是自己寫的使用的是java 題目描述 輸入兩個整數n和sum,從數列1,2,3.......n 中隨意取幾個數,使其和等於sum,要求將其中所有的可能組合

編程法:面試算法心得最大連續子數組

參考 否則 ++ 例子 返回 log 遍歷 方法 時間 內容全部來自編程之法:面試和算法心得一書,實現是自己寫的使用的是java 題目描述 輸入一個整形數組,數組裏有正數也有負數。數組中連續的一個或多個整數組成一個子數組,每個子數組都有一個和。 求所有子數組的和的最大值,要

編程法:面試算法心得奇偶調序

一中 gpo part exc java 面試 正常 序列 pre 內容全部來自編程之法:面試和算法心得一書,實現是自己寫的使用的是java 題目描述 輸入一個整數數組,調整數組中數字的順序,使得所有奇數位於數組的前半部分,所有偶數位於數組的後半部分。要求時間復雜度為O(n