drf token刷新配置、认证组件(使用)、权限组件(使用)、频率组件(使用)、异常组件(使用)

目录

• 一、特殊路由映射的请求
• 二、token刷新机制配置（了解）
  • 生成token
• 三、认证组件项目使用：多方式登录
  • 1、urls.py 路由
  • 2、views.py 视图
  • 3、serializers.py 序列化
  • 4、models.py 表
• 四、权限组件项目使用：vip用户权限
  • 数据准备
  • 1、permissions.py 自定义权限
  • 2、views.py 权限视图
  • 3、serializers.py 序列化
  • 4、urls.py 自定义路由
  • 5、setting.py 权限配置
• 五、频率组件
  • 频率限制源码分析
  • 重点
  • 系统频率类
  • 自定义频率类
    • 1、throttles.py 自定义频率，和请求方式限制
    • 2、settings.py 频率配置
    • 3、views.py 频率视图
• 六、异常组件项目使用：记录异常信息到日志文件
  • exception.py 处理后端异常
  • settings.py 异常配置

一、特殊路由映射的请求

实现用户中心信息自查，不带主键的get请求，走单查逻辑

urls.py

# 用路由组件配置，形成的映射关系是 /user/center/ => list  |  user/center/(pk)/ => retrieve
# router.register('user/center', views.UserCenterViewSet, 'center')

urlpatterns = [
    # ...
    # /user/center/ => 单查，不能走路由组件，只能自定义配置映射关系
    url('^user/center/$', views.UserCenterViewSet.as_view({'get': 'user_center'})),
]

views.py

from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
class UserCenterViewSet(GenericViewSet):
    permission_classes = [IsAuthenticated, ]
    queryset = models.User.objects.filter(is_active=True).all()
    serializer_class = serializers.UserCenterSerializer

    def user_center(self, request, *args, **kwargs):
        # request.user就是前台带token，在经过认证组件解析出来的，
        # 再经过权限组件IsAuthenticated的校验，所以request.user一定有值，就是当前登录用户
        serializer = self.get_serializer(request.user)
        return Response(serializer.data)

二、token刷新机制配置（了解）

生成token

def _get_token(self, user):
	from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler
	payload = jwt_payload_handler(user)
	token = jwt_encode_handler(payload)
	return token

drf-jwt直接提供刷新功能

"""
1）运用在像12306这样极少数安全性要求高的网站
2）第一个token由登录签发
3）之后的所有正常逻辑，都需要发送两次请求，第一次是刷新token的请求，第二次是正常逻辑的请求
"""

settings.py

import datetime

JWT_AUTH = {
    # 配置过期时间
    'JWT_EXPIRATION_DELTA': datetime.timedelta(minutes=5),

    # 是否可刷新
    'JWT_ALLOW_REFRESH': True,
    # 刷新过期时间
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7),
}

urls.py

from rest_framework_jwt.views import ObtainJSONWebToken, RefreshJSONWebToken
urlpatterns = [
    url('^login/$', ObtainJSONWebToken.as_view()),  # 登录签发token接口
    url('^refresh/$', RefreshJSONWebToken.as_view()),  # 刷新toekn接口
]

Postman

# 接口：/api/refresh/
# 方法：post
# 数据：{"token": "登录签发的token"}

三、认证组件项目使用：多方式登录

注意：登录是post请求

1、urls.py 路由

# 自定义登录（重点）：post请求 => 查操作(签发token返回给前台) - 自定义路由映射
url('^user/login/$', views.LoginViewSet.as_view({'post': 'login'})),

2、views.py 视图

# 重点：自定义login，完成多方式登录
from rest_framework.viewsets import ViewSet
from rest_framework.response import Response
class LoginViewSet(ViewSet):
    # 登录接口，要取消所有的认证与权限规则，也就是要做局部禁用操作（空配置）
    authentication_classes = []
    permission_classes = []

    # 需要和mixins结合使用，继承GenericViewSet，不需要则继承ViewSet
    # 为什么继承视图集，不去继承工具视图或视图基类，因为视图集可以自定义路由映射：
    #       可以做到get映射get，get映射list，还可以做到自定义（灵活）
    def login(self, request, *args, **kwargs):
        serializer = serializers.LoginSerializer(data=request.data, context={'request': request})  # 自定义序列化
        serializer.is_valid(raise_exception=True)  # 序列化校验
        token = serializer.context.get('token')  # 获取token
        return Response({"token": token})

3、serializers.py 序列化

from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler

# 重点：自定义login，完成多方式登录
class LoginSerializer(serializers.ModelSerializer):
    # 登录请求，走的是post方法，默认post方法完成的是create入库校验，所以唯一约束的字段，会进行数据库唯一校验，导致逻辑相悖
    # 需要覆盖系统字段，自定义校验规则，就可以避免完成多余的不必要校验，如唯一字段校验
    username = serializers.CharField()
    class Meta:
        model = models.User
        # 结合前台登录布局：采用账号密码登录，或手机密码登录，布局一致，所以不管账号还是手机号，都用username字段提交的
        fields = ('username', 'password')

    def validate(self, attrs):
        # 在全局钩子中，才能提供提供的所需数据，整体校验得到user
        # 再就可以调用签发token算法(drf-jwt框架提供的)，将user信息转换为token
        # 将token存放到context属性中，传给外键视图类使用
        user = self._get_user(attrs)
        payload = jwt_payload_handler(user)  # 内部提供的方法，生成tokrn
        token = jwt_encode_handler(payload)  # 内部提供的方法,生成token
        self.context['token'] = token		# 吧token放进context中，方便取
        return attrs

    # 多方式登录
    def _get_user(self, attrs):
        username = attrs.get('username')
        password = attrs.get('password')
        import re
        if re.match(r'^1[3-9][0-9]{9}$', username):
            # 手机登录
            user = models.User.objects.filter(mobile=username, is_active=True).first()
        elif re.match(r'^.+@.+$', username):
            # 邮箱登录
            user = models.User.objects.filter(email=username, is_active=True).first()
        else:
            # 账号登录
            user = models.User.objects.filter(username=username, is_active=True).first()
        if user and user.check_password(password):
            return user

        raise ValidationError({'user': 'user error'})

4、models.py 表

from django.contrib.auth.models import AbstractUser
from django.db import models

class User(AbstractUser):  # settings.py中要配置
    mobile = models.CharField(max_length=11, unique=True, verbose_name='移动电话')
    icon = models.ImageField(upload_to='icon', default='icon/default.png', verbose_name='头像')

    class Meta:
        db_table = 'o_user'
        verbose_name_plural = '用户表'

    def __str__(self):
        return self.username

class Book(models.Model):
    name = models.CharField(max_length=64, verbose_name='书名')

    class Meta:
        db_table = 'o_book'
        verbose_name_plural = '书表'

    def __str__(self):
        return self.name

class Car(models.Model):
    name = models.CharField(max_length=64, verbose_name='车名')

    class Meta:
        db_table = 'o_car'
        verbose_name_plural = '车表'

    def __str__(self):
        return self.name

四、权限组件项目使用：vip用户权限

数据准备

"""
1）User表创建两条数据
2）Group分组表创建一条数据，name叫vip
3）操作User和Group的关系表，让1号用户属于1号vip组
"""

1、permissions.py 自定义权限

from rest_framework.permissions import BasePermission

from django.contrib.auth.models import Group
class IsVipUser(BasePermission):
    def has_permission(self, request, view):
        if request.user and request.user.is_authenticated:  # 必须是合法用户
            try:
                vip_group = Group.objects.get(name='vip')
                if vip_group in request.user.groups.all():  # 用户可能不属于任何分组
                    return True  # 必须是vip分组用户
            except:
                pass

        return False

2、views.py 权限视图

from .permissions import IsVipUser
class CarViewSet(ModelViewSet):
    permission_classes = [IsVipUser] # 自定义校验

    queryset = models.Car.objects.all()
    serializer_class = serializers.CarSerializer

3、serializers.py 序列化

class CarSerializer(serializers.ModelSerializer):
    class Meta:
        model = models.Car
        fields = ('name', )

4、urls.py 自定义路由

router.register('cars', views.CarViewSet, 'car')

5、setting.py 权限配置

from rest_framework import settings

# drf配置（把配置放在最下方）
REST_FRAMEWORK = {
    # 自定义三大认证配置类们
	'DEFAULT_AUTHENTICATION_CLASSES':['rest_framework_jwt.authentication.JSONWebTokenAuthentication'], # 认证
    # 'DEFAULT_PERMISSION_CLASSES': [],			# 权限
    # 'DEFAULT_THROTTLE_CLASSES': [],			# 频率
  }

五、频率组件

频率限制源码分析

重点

"""
1）如何自定义频率类
2）频率校验的规则
3）自定义频率类是最常见的：短信接口一分钟只能发生一条短信
"""

系统频率类

#1）UserRateThrottle: 限制所有用户访问频率
#2）AnonRateThrottle：只限制匿名用户访问频率

自定义频率类

from rest_framework.throttling import SimpleRateThrottle
"""
1）自定义类继承SimpleRateThrottle
2）设置类实现scope，值就是一个字符串，与settings中的DEFAULT_THROTTLE_RATES进行对应
	DEFAULT_THROTTLE_RATES就是设置scope绑定的类的频率规则：1/min 就代表一分钟只能访问一次
3）重写 get_cache_key(self, request, view) 方法，指定限制条件
	不满足限制条件，返回None：代表对这类请求不进行频率限制
	满足限制条件，返回一个字符串(是动态的)：代表对这类请求进行频率限制
		短信频率限制类，返回 "throttling_%(mobile)s" % {"mobile": 实际请求来的电话}
"""

1、throttles.py 自定义频率，和请求方式限制

from rest_framework.throttling import SimpleRateThrottle
# 只限制查接口的频率，不限制增删改的频率
class MethodRateThrottle(SimpleRateThrottle):
    scope = 'method'	# 系统的配置就放在配置文件中
    def get_cache_key(self, request, view):
        # 只有对get请求进行频率限制
        if request.method.lower() not in ('get', 'head', 'option'):
            return None

        # 区别不同的访问用户，之间的限制是不冲突的
        if request.user.is_authenticated:
            ident = request.user.pk
        else:
            # get_ident是BaseThrottle提供的方法，会根据请求头，区别匿名用户，
            # 保证不同客户端的请求都是代表一个独立的匿名用户
            ident = self.get_ident(request)
        return self.cache_format % {'scope': self.scope, 'ident': ident}

2、settings.py 频率配置

REST_FRAMEWORK = {
    #  ...
    # 频率规则配置
    'DEFAULT_THROTTLE_RATES': {
        # 只能设置 s，m，h，d，且只需要第一个字母匹配就ok，m = min = maaa 就代表分钟
        'user': '3/min',  # 配合drf提供的 UserRateThrottle 使用，限制所有用户访问频率
        'anon': '3/min',  # 配合drf提供的 AnonRateThrottle 使用，只限制匿名用户访问频率
        'method': '3/min', # 限制请求方式频率
    },
}

3、views.py 频率视图

from .permissions import IsVipUser
from .throttles import MethodRateThrottle
class CarViewSet(ModelViewSet):
    permission_classes = [IsVipUser]	# 自定义是否是VIP校验
    throttle_classes = [MethodRateThrottle]	# 自定义频率限制

    queryset = models.Car.objects.all()
    serializer_class = serializers.CarSerializer

六、异常组件项目使用：记录异常信息到日志文件

exception.py 处理后端异常

主要：后端异常之后一定要添加日志记录。配合日志一起使用

from rest_framework.views import exception_handler as drf_exception_handler
from rest_framework.response import Response
def exception_handler(exc, context):
    # 只处理客户端异常，不处理服务器异常，
    # 如果是客户端异常，response就是可以直接返回给前台的Response对象
    response = drf_exception_handler(exc, context)

    if response is None:
        # 没有处理的服务器异常，处理一下
        # 其实给前台返回 服务器异常 几个字就行了
        # 那我们处理异常模块的目的是 不管任何错误，都有必要进行日志记录（线上项目只能通过记录的日志查看出现过的错误）
        response = Response({'detail': '%s' % exc})

    # 需要结合日志模块进行日志记录的：项目中讲
    return response

settings.py 异常配置

REST_FRAMEWORK = {
    # ...
    # 异常模块
    # 'EXCEPTION_HANDLER': 'rest_framework.views.exception_handler',  # 原来的，只处理客户端异常
    'EXCEPTION_HANDLER': 'api.exception.exception_handler',
}