认证是确定你是谁

权限是指你有没有访问这个接口的权限

限制主要是指限制你的访问频率

认证

REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。

接下类我们就自己动手实现一个基于Token的认证方案:

自定义Token认证

定义一个用户表和一个保存用户Token的表:

# 用户表

class UserInfo(models.Model):

    name = models.CharField(max_length=32)

    pwd = models.CharField(max_length=32)

    vip = models.BooleanField(default=False)

    token = models.CharField(max_length=128, null=True, blank=True)

视图:

定义一个登陆视图

class LoginView(APIView):

    def post(self, request):

        name = request.data.get('name')

        pwd = request.data.get('pwd')

        if name and pwd:

            user_obj = models.UserInfo.objects.filter(name=name, pwd=pwd).first()

            if user_obj:

                # 登陆成功

                # 生成token(时间戳 + Mac地址)

                token = uuid.uuid1().hex

                # 1.保存在用户表中

                user_obj.token = token

                user_obj.save()

                # 2.给用户返回

                return Response({'error_no': 0, 'token': token})

            else:

                # 用户名或密码错误

                return Response({'error_no': 1, 'error': '用户名或密码错误'})

        else:

            return Response('无效的参数')

定义一个认证类

from rest_framework.authentication import BaseAuthentication

from auth_demo import models

from rest_framework.exceptions import AuthenticationFailed # 抛错时使用

class MyAuth(BaseAuthentication):

    def authenticate(self, request):

        token = request.query_params.get('token')

        if token:

            # 如果请求的URL中携带了token参数

            user_obj = models.UserInfo.objects.filter(token=token).first()

            if user_obj:

                # token是有效的

                return user_obj, token  # request.user, request.auth

            else:

                raise AuthenticationFailed('无效的token')

        else:

            raise AuthenticationFailed('请求的URL中必须携带token参数')

视图级别的认证:

class TestAuthView(APIView):

    authentication_classes = [MyAuth, ]  # 局部配置认证

    permission_classes = [MyPermission, ]

    def get(self, request):

        print(request.user.name)

        print(request.auth)

        return Response('这个视图里面的数据只有登录后才能看到!')

全局级别认证

# 在settings.py中配置

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]

}

权限

只有VIP用户才能看的内容。

自定义一个权限类

from rest_framework.permissions import BasePermission

class MyPermission(BasePermission):

    message = '只有VIP才能访问'

    def has_permission(self, request, view):

         if not request.auth:  # 用户登录确认

              return False 

        # 如果你是VIP才有权限访问

        # request.user:当前经过认证的用户对象

        if request.user.vip:

            return True

        else:

            # 如果不是VIP就拒绝范围跟

            return False

视图级别认证:

class TestAuthView(APIView):

    authentication_classes = [MyAuth, ]  # 局部配置认证

    permission_classes = [MyPermission, ]  # 权限局部认证

    def get(self, request):

        print(request.user.name)

        print(request.auth)

        return Response('这个视图里面的数据只有登录后才能看到!')

全局级别设置

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

}

限制

自定义一个限制访问的类

import time

"""

自定义一个限制

"""

# 创建一个空的字典

visit = {} 

class BaseThrottle(object):

    def __init__(self):

        self.history = None

    def allow_request(self, request, view):

        ip = request.META.get('REMOTE_ADDR')  # 获取用户的ip地址

        now = time.time()  # 获取当前时间

        if ip not in visit:  # 第一次进来的时候 字典中没有以ip为key的键值对

            visit[ip] = []  # 创建一个以ip为key的键值对

        history = visit[ip]  # 如果不是第一次访问的话 获取一下以ip为key的对应的值

        self.history = history  # 因为wait方法中也会用到history的值,所以把history升级成类属性

        while history and now - history[-1] > 10:  # 循环判断一下 如果当前时间与history里面的最先插入的时间大于10秒

            history.pop()  # 就删除最后的先插入的那个数据

        if len(history) >= 3:  # 如果10秒内history里面的时间戳大于3个,表示查询过于频繁,限制一下,返回false

            return False

        else:  # 如果10秒钟内没有三个时间戳,再来访问的话是可以的,记录一下当前访问的时间戳

            history.insert(0, now)

            return True

    def wait(self):  # 这个方法主要是提示用户等待时间的

        now = time.time()  # 获取当前时间

        return self.history[-1]+10 - now  # 最早访问的时间减去当前时间

使用

局部使用

class TestView(APIView):

    authentication_classes = [Myauth, ]  # 用户身份验证

    permission_classes = [Permissions, ]  # 用户权限验证

    throttle_classes = [BaseThrottle, ]  # 用户访问频率限制

    def get(self, request):

        print(request.user)

        print(request.auth)

        return Response("这是会员才可以看到的画面")

全局使用

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],  #全局认证

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]  # 全局权限

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]  # 全局限制

}

使用内置限制类

 
from rest_framework.throttling import SimpleRateThrottle

class VisitThrottle(SimpleRateThrottle):

    scope = "xxx"

    def get_cache_key(self, request, view):

        return self.get_ident(request)
 

全局配置

 
# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    # "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],

    "DEFAULT_THROTTLE_RATES": {

        "xxx": "5/m",

    }

}

Django REST framework 之 认证 权限 限制的更多相关文章

  1. Django Rest framework 之 认证

    django rest framework 官网 django rest framework 之 认证(一) django rest framework 之 权限(二) django rest fra ...

  2. django rest framework用户认证

    django rest framework用户认证 进入rest framework的Apiview @classmethod def as_view(cls, **initkwargs): &quo ...

  3. Django rest framework 的认证流程(源码分析)

    一.基本流程举例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view() ...

  4. DRF Django REST framework 之 认证组件(五)

    引言 很久很久以前,Web站点只是作为浏览服务器资源(数据)和其他资源的工具,甚少有什么用户交互之类的烦人的事情需要处理,所以,Web站点的开发这根本不关心什么人在什么时候访问了什么资源,不需要记录任 ...

  5. Django REST Framework之认证组件

    什么是认证 认证即需要知道是谁在访问服务器,需要有一个合法身份.认证的方式可以有很多种,例如session+cookie.token等,这里以token为例.如果请求中没有token,我们认为这是未登 ...

  6. Django Rest Framework之认证

    代码基本结构 url.py: from django.conf.urls import url, include from web.views.s1_api import TestView urlpa ...

  7. 基于django rest framework做认证组件

    先导入要用到的类 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions ...

  8. 【django后端分离】Django Rest Framework之认证系统之redis数据库的token认证(token过期时间)

    1:登录视图 redis_cli.py文件: import redis Pool= redis.ConnectionPool(host='localhost',port=6379,decode_res ...

  9. 源码剖析Django REST framework的认证方式及自定义认证

    源码剖析Django REST framework的认证方式 在前面说过,请求到达REST framework的时候,会对request进行二次封装,在封装的过程中会对客户端发送过来的request封 ...

随机推荐

  1. Comet OJ - Contest #14

    Rank38. 还是比较不满意吧,C卡了太久,E没调出来,D也没空去做了. A 签到题. #include<bits/stdc++.h> using namespace std; #def ...

  2. PHP:API 接口规范完整版本

    整体规范建议采用RESTful 方式来实施. 协议 API与用户的通信协议,总是使用HTTPs协议,确保交互数据的传输安全. 域名 应该尽量将API部署在专用域名之下.https://api.exam ...

  3. zookeeper核心知识与投票机制详解

    Zookeeper数据模型与session机制:zookeeper的数据模型有点类似于文件夹的树状结构,每一个节点都叫做znode,每一个节点都可以有子节点和数据,就好像文件夹下面可以有文件和子文件夹 ...

  4. 使用git配置ssh的文章推荐

    https://blog.51cto.com/sgk2011/1925922 https://www.cnblogs.com/superGG1990/p/6844952.html https://bl ...

  5. Java 判断是否为回文字符串

    回文字符串有两种:abcba,abccba. 代码: static boolean func(String str) { int len = str.length(); for (int i = 0; ...

  6. CentOS 7.6 下载和安装

    一. CentOS 7.6 下载 官网下载地址:https://www.centos.org/download/ 选择Minimal ISO 选择适合自己的下载路径即可. 二.CentOS 7.6 安 ...

  7. Qualcomm_Mobile_OpenCL.pdf 翻译-3

    3 在骁龙上使用OpenCL 在今天安卓操作系统和IOT(Internet of Things)市场上,骁龙是性能最强的也是最被广泛使用的芯片.骁龙的手机平台将最好的组件组合在一起放到了单个芯片上,这 ...

  8. 数据可视化之颜色,线型,maker

    https://blog.csdn.net/m0_37362454/article/details/82791527 https://blog.csdn.net/qiu931110/article/d ...

  9. linux批量设置部分文件与文件夹权限

      批量设置web目录下文件.文件夹名为sitemap.xml.sitemap 属性为777 cd /www/web find ./ -name 'sitemap' -exec chmod -R 77 ...

  10. 探索super()的执行顺序和__mro__方法

    class Base(object): def func(self): print('Base.func') class Foo(Base): def func(self): # 方式一:根据mro的 ...