认证是确定你是谁

权限是指你有没有访问这个接口的权限

限制主要是指限制你的访问频率

认证

REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。

接下类我们就自己动手实现一个基于Token的认证方案:

自定义Token认证

定义一个用户表和一个保存用户Token的表:

# 用户表

class UserInfo(models.Model):

    name = models.CharField(max_length=32)

    pwd = models.CharField(max_length=32)

    vip = models.BooleanField(default=False)

    token = models.CharField(max_length=128, null=True, blank=True)

视图:

定义一个登陆视图

class LoginView(APIView):

    def post(self, request):

        name = request.data.get('name')

        pwd = request.data.get('pwd')

        if name and pwd:

            user_obj = models.UserInfo.objects.filter(name=name, pwd=pwd).first()

            if user_obj:

                # 登陆成功

                # 生成token(时间戳 + Mac地址)

                token = uuid.uuid1().hex

                # 1.保存在用户表中

                user_obj.token = token

                user_obj.save()

                # 2.给用户返回

                return Response({'error_no': 0, 'token': token})

            else:

                # 用户名或密码错误

                return Response({'error_no': 1, 'error': '用户名或密码错误'})

        else:

            return Response('无效的参数')

定义一个认证类

from rest_framework.authentication import BaseAuthentication

from auth_demo import models

from rest_framework.exceptions import AuthenticationFailed # 抛错时使用

class MyAuth(BaseAuthentication):

    def authenticate(self, request):

        token = request.query_params.get('token')

        if token:

            # 如果请求的URL中携带了token参数

            user_obj = models.UserInfo.objects.filter(token=token).first()

            if user_obj:

                # token是有效的

                return user_obj, token  # request.user, request.auth

            else:

                raise AuthenticationFailed('无效的token')

        else:

            raise AuthenticationFailed('请求的URL中必须携带token参数')

视图级别的认证:

class TestAuthView(APIView):

    authentication_classes = [MyAuth, ]  # 局部配置认证

    permission_classes = [MyPermission, ]

    def get(self, request):

        print(request.user.name)

        print(request.auth)

        return Response('这个视图里面的数据只有登录后才能看到!')

全局级别认证

# 在settings.py中配置

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]

}

权限

只有VIP用户才能看的内容。

自定义一个权限类

from rest_framework.permissions import BasePermission

class MyPermission(BasePermission):

    message = '只有VIP才能访问'

    def has_permission(self, request, view):

         if not request.auth:  # 用户登录确认

              return False 

        # 如果你是VIP才有权限访问

        # request.user:当前经过认证的用户对象

        if request.user.vip:

            return True

        else:

            # 如果不是VIP就拒绝范围跟

            return False

视图级别认证:

class TestAuthView(APIView):

    authentication_classes = [MyAuth, ]  # 局部配置认证

    permission_classes = [MyPermission, ]  # 权限局部认证

    def get(self, request):

        print(request.user.name)

        print(request.auth)

        return Response('这个视图里面的数据只有登录后才能看到!')

全局级别设置

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

}

限制

自定义一个限制访问的类

import time

"""

自定义一个限制

"""

# 创建一个空的字典

visit = {} 

class BaseThrottle(object):

    def __init__(self):

        self.history = None

    def allow_request(self, request, view):

        ip = request.META.get('REMOTE_ADDR')  # 获取用户的ip地址

        now = time.time()  # 获取当前时间

        if ip not in visit:  # 第一次进来的时候 字典中没有以ip为key的键值对

            visit[ip] = []  # 创建一个以ip为key的键值对

        history = visit[ip]  # 如果不是第一次访问的话 获取一下以ip为key的对应的值

        self.history = history  # 因为wait方法中也会用到history的值,所以把history升级成类属性

        while history and now - history[-1] > 10:  # 循环判断一下 如果当前时间与history里面的最先插入的时间大于10秒

            history.pop()  # 就删除最后的先插入的那个数据

        if len(history) >= 3:  # 如果10秒内history里面的时间戳大于3个,表示查询过于频繁,限制一下,返回false

            return False

        else:  # 如果10秒钟内没有三个时间戳,再来访问的话是可以的,记录一下当前访问的时间戳

            history.insert(0, now)

            return True

    def wait(self):  # 这个方法主要是提示用户等待时间的

        now = time.time()  # 获取当前时间

        return self.history[-1]+10 - now  # 最早访问的时间减去当前时间

使用

局部使用

class TestView(APIView):

    authentication_classes = [Myauth, ]  # 用户身份验证

    permission_classes = [Permissions, ]  # 用户权限验证

    throttle_classes = [BaseThrottle, ]  # 用户访问频率限制

    def get(self, request):

        print(request.user)

        print(request.auth)

        return Response("这是会员才可以看到的画面")

全局使用

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],  #全局认证

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]  # 全局权限

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]  # 全局限制

}

使用内置限制类

 
from rest_framework.throttling import SimpleRateThrottle

class VisitThrottle(SimpleRateThrottle):

    scope = "xxx"

    def get_cache_key(self, request, view):

        return self.get_ident(request)
 

全局配置

 
# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    # "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],

    "DEFAULT_THROTTLE_RATES": {

        "xxx": "5/m",

    }

}

Django REST framework 之 认证 权限 限制的更多相关文章

  1. Django Rest framework 之 认证

    django rest framework 官网 django rest framework 之 认证(一) django rest framework 之 权限(二) django rest fra ...

  2. django rest framework用户认证

    django rest framework用户认证 进入rest framework的Apiview @classmethod def as_view(cls, **initkwargs): &quo ...

  3. Django rest framework 的认证流程(源码分析)

    一.基本流程举例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view() ...

  4. DRF Django REST framework 之 认证组件(五)

    引言 很久很久以前,Web站点只是作为浏览服务器资源(数据)和其他资源的工具,甚少有什么用户交互之类的烦人的事情需要处理,所以,Web站点的开发这根本不关心什么人在什么时候访问了什么资源,不需要记录任 ...

  5. Django REST Framework之认证组件

    什么是认证 认证即需要知道是谁在访问服务器,需要有一个合法身份.认证的方式可以有很多种,例如session+cookie.token等,这里以token为例.如果请求中没有token,我们认为这是未登 ...

  6. Django Rest Framework之认证

    代码基本结构 url.py: from django.conf.urls import url, include from web.views.s1_api import TestView urlpa ...

  7. 基于django rest framework做认证组件

    先导入要用到的类 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions ...

  8. 【django后端分离】Django Rest Framework之认证系统之redis数据库的token认证(token过期时间)

    1:登录视图 redis_cli.py文件: import redis Pool= redis.ConnectionPool(host='localhost',port=6379,decode_res ...

  9. 源码剖析Django REST framework的认证方式及自定义认证

    源码剖析Django REST framework的认证方式 在前面说过,请求到达REST framework的时候,会对request进行二次封装,在封装的过程中会对客户端发送过来的request封 ...

随机推荐

  1. PythonDay14

    第十四章装饰器 装饰器 # 开放封闭原则- 1.对扩展是开放的- 2.对修改是封闭的​# 在不修改源代码和调用方式的情况下,对函数进行扩展# 第一版装饰器def times(func):    def ...

  2. sqlalchemy query函数可用参数有哪些?

    一.模型名 二.模型对象属性 三.聚合函数 下面就分别为大家讲讲query函数这三种参数的用法. 在讲之前,我已经把数据库连接配置.模型,以及添加数据写好了,代码如下: from sqlalchemy ...

  3. 严重报错: Error configuring application listener of class org.springframework.web.context.ContextLoaderLis

    其实可能是你的jar文件没有同步发布到自己项目的lib目录中(如果你是用Maven进行构建的话) 可以试试 下面的办法 项目点击右键 点击 Properties 选择Deployment Assemb ...

  4. python 3.x报错:No module named 'cookielib'或No module named 'urllib2'

    1.    ModuleNotFoundError: No module named 'cookielib' Python3中,import  cookielib改成 import  http.coo ...

  5. IntelliJ IDEA 远程调试 Tomcat 的方法

    在调试代码的过程中,为了更好的定位及解决问题,有时候需要我们使用远程调试的方法.在本文中,就让我们一起来看看,如何利用 IntelliJ IDEA 进行远程 Tomcat 的调试. 首先,配置remo ...

  6. JS实现hasClass addClass removeClass

    // 判断class有无 function hasClass(ele, cls) { if (ele) { cls = cls || '' if (cls.replace(/\s/g, '').len ...

  7. PHP出现502解决方案

    nginx 出现 502 有很多原因,但大部分原因可以归结为资源数量不够用,也就是说后端 php-fpm 处 理有问题,nginx 将正确的客户端请求发给了后端的 php-fpm 进程,但是因为 ph ...

  8. 阅读脚本控制pwm代码

    在现有的项目上通过SoC的EHRPWM3B管脚产生PWM脉冲做为摄像头的framsync信号. datasheet描述: PWMSS:PWM Subsystem Resources eHRPWM: E ...

  9. Git 查看远端仓库地址

    git remote -v

  10. Linux日常之命令uniq

    命令uniq 作用是过滤文件内容重复部分 需要注意的是,该命令只是对相邻的行进行比较,若两个相同的行不相邻,不会被过滤掉 选项 -c,在每行行首显示出该行出现的次数 -d,只显示出重复的行 -u,只显 ...