Django-Rest-Framework的权限和频率

restful framework

DRF的权限

权限是什么

权限到底是是干什么用的
比如,我们申请博客的时候,一定要向管理员申请,也就是说管理员会有一些特殊的权利,我们作为用户是没有的 这些对某些事情决策的范围和程度,我们叫做权限,权限是我们在项目开发中非常常用的 那么看DRF框架给我们提供的权限组件有哪些方法

权限组件源码

我们之前有DRF的版本和认证,也就知道了权限和频率跟版本认证都是在initial方法里初始化的

其实我们版本,认证,权限,频率控制走的源码流程大致相同

我们的权限类一定要有has_permission方法,否则会抛出异常,这就是框架为我们提供的钩子

我们先看到在rest_framework.permissions这个文件红中,存放了框架为我们提供的所有权限的方法

这里主要说一下BasePermission这个我们写权限继承的一个基础权限类

权限的详细用法

在这里我们一定要清楚一点,我们的python代码是一行一行执行的,那么执行intial方法初始化这些组件的时候

也就是顺序的,我们的版本在前面,然后是认证,然后是权限,最后是频率

我们的权限执行的时候,我们的认证已经执行结束了

前提是在model中的UserInfo表中加了一个字段,用户类型的字段,做好数据库迁移

第一步 写权限类

 
class MyPermission(BasePermission):
message = "VIP用户才能访问" def has_permission(self, request, view):
"""
自定义权限只有vip用户能访问,
注意我们初始化时候的顺序是认证在权限前面的,所以只要认证通过~
我们这里就可以通过request.user,拿到我们用户信息
request.auth就能拿到用户对象
"""
if request.user and request.auth.type == 2:
return True
else:
return False

第二部 局部视图注册

 
class TestAuthView(APIView):
authentication_classes = [MyAuth, ]
permission_classes = [MyPermission, ] def get(self, request, *args, **kwargs):
print(request.user)
print(request.auth)
username = request.user
return Response(username)

第三步 全局注册 settings.py

 
REST_FRAMEWORK = {
# 默认使用的版本控制类
'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',
# 允许的版本
'ALLOWED_VERSIONS': ['v1', 'v2'],
# 版本使用的参数名称
'VERSION_PARAM': 'version',
# 默认使用的版本
'DEFAULT_VERSION': 'v1',
# 配置全局认证
# 'DEFAULT_AUTHENTICATION_CLASSES': ["BRQP.utils.MyAuth", ]
# 配置全局权限
"DEFAULT_PERMISSION_CLASSES": ["BROP.utils.MyPermission"]
}

DEF的频率

频率限制是做什么的

开放平台的API接口调用需要限制其频率,以节约服务器资源和避免恶意的频繁调用

那我们的DRF提供了一些什么样的频率限制的方法

频率组件源码

版本,认证,权限,频率这几个组件的源码是一个流程

可以突破一下自己,这个自己看

频率组件原理

DRF中的频率控制基本原理是基于访问次数和时间的,当然我们可以通过自己定义的方法来实现。

当我们请求进来时,走到我们的频率组件的时候,DRF内部会有一个字典来记录访问者的IP

以这个访问者的IP为key,value为一个列表,存放访问者每次访问的时间

{IP1: [第三次访问的时间, 第二次访问的时间, 第一次访问的时间]}

把每次访问最新时间放入到列表的最前面,记录这样一个数据结构,通过什么方式限流呢:

如果我们设置的时间是10秒内只能访问5次

1,判断访问者的IP是否在这个请求IP的字典里
2,保证这个列表里都是最近10秒内的访问的时间
判断当前请求时间和列表里最早的(也就是最后的)请求时间的查
如果差大于10秒,说明请求以及不是最近10秒内的,删除掉
继续判断倒数第二个值,知道差值小于10秒
3,判断列表的长度(即访问次数),是否大于我们设置的5次
如果大于就限流,否则放行,并把时间放入了列表的最前面

频率组件的详细用法

频率组件的配置方式其实就是跟上面的组件都一样

第一步

 
VISIT_RECORD = {}
class MyThrottle(object): def __init__(self):
self.history = None def allow_request(self, request, view):
"""
自定义频率限制60秒内只能访问三次
"""
# 获取用户IP
ip = request.META.get("REMOTE_ADDR")
timestamp = time.time()
if ip not in VISIT_RECORD:
VISIT_RECORD[ip] = [timestamp, ]
return True
history = VISIT_RECORD[ip]
self.history = history
history.insert(0, timestamp)
while history and history[-1] < timestamp - 60:
history.pop()
if len(history) > 3:
return False
else:
return True def wait(self):
"""
限制时间还剩多少
"""
timestamp = time.time()
return 60 - (timestamp - self.history[-1])

第二步

 
REST_FRAMEWORK = {
# ......
# 频率限制的配置
"DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyThrottle"],
}
}

第三步

 
from rest_framework.throttling import SimpleRateThrottle

class MyVisitThrottle(SimpleRateThrottle):
scope = "WD" def get_cache_key(self, request, view):
return self.get_ident(request)

第四步

 
REST_FRAMEWORK = {
# 频率限制的配置
# "DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyVisitThrottle"],
"DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyThrottle"],
"DEFAULT_THROTTLE_RATES":{
'WD':'5/m', #速率配置每分钟不能超过5次访问,WD是scope定义的值, }
}

可以在postman或者DRF自带的页面进行测试

 

Django-Rest-Framework的权限和频率的更多相关文章

  1. Django Rest framework 之 权限

    django rest framework 之 认证(一) django rest framework 之 权限(二) django rest framework 之 节流(三) django res ...

  2. Django REST framework认证权限和限制和频率

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  3. Django Rest Framework之权限

    基本代码结构 url.py: from django.conf.urls import url, include from app import views urlpatterns = [ url(r ...

  4. Django REST Framework 认证 - 权限 - 限制

    一. 认证 (你是谁?) REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案. 自定义Token认证 第一步 : 建表>>>> 定义一个 ...

  5. Django REST Framework之权限组件

    权限控制是如何实现的? 一般来说,先有认证才有权限,也就是用户登录后才能判断其权限,未登录用户给他一个默认权限. Django接收到一个请求,首先经过权限的检查,如果通过检查,拥有访问的权限,则予以放 ...

  6. Django REST framework认证权限和限制 源码分析

    1.首先 我们进入这个initial()里面看下他内部是怎么实现的. 2.我们进入里面看到他实现了3个方法,一个认证,权限频率 3.我们首先看下认证组件发生了什么 权限: 啥都没返回,self.per ...

  7. Django Rest Framework源码剖析(二)-----权限

    一.简介 在上一篇博客中已经介绍了django rest framework 对于认证的源码流程,以及实现过程,当用户经过认证之后下一步就是涉及到权限的问题.比如订单的业务只能VIP才能查看,所以这时 ...

  8. Django Rest framework 之 节流

    RESTful 规范 django rest framework 之 认证(一) django rest framework 之 权限(二) django rest framework 之 节流(三) ...

  9. django rest framework restful 规范

    内容回顾: . django请求生命周期 -> 执行遵循wsgi协议的模块(socket服务端) -> 中间件(路由匹配) -> 视图函数(业务处理:ORM.模板渲染) -> ...

  10. Django Rest framework 之 序列化

    RESTful 规范 django rest framework 之 认证(一) django rest framework 之 权限(二) django rest framework 之 节流(三) ...

随机推荐

  1. zabbix api支持的数据类型

    bool flag integer float string timestamp array object query countOutput editable excludeSearch filte ...

  2. 分享知识-快乐自己:什么是MVC

    1.什么是mvc: Model View Controller,是模型-视图-控制器的缩写,一种软件设计典范,用一种业务逻辑.数据.界面显示分离的方法组织代码,将业务逻辑聚集到一个组件里,在改进和个性 ...

  3. hdu 4704 sum(费马小定理+快速幂)

    题意: 这题意看了很久.. s(k)表示的是把n分成k个正整数的和,有多少种分法. 例如: n=4时, s(1)=1     4 s(2)=3     1,3      3,1       2,2 s ...

  4. T56

    警方派人监视那个可疑人的住宅.The police put a watch on the suspect's house.他们利用自己的实践经验,设计了一台气冷柴油机.According their ...

  5. exec 和 spawn 的区别

    参考资料: difference-between-spawn-and-exec-of-node-js-child_process process_child 最近在用nodejs 的child_pro ...

  6. NO0:重新拾起C语言

    因工作所需,重新捡起C语言,之前在学校里有接触过,但现在已经忘的一干二净了,现决定重新开始学习,为工作,为生活. 以<标准 C程序设计 第5版>的课程进行基础学习,同时以另外两本书为辅助, ...

  7. Gym - 101673:B Craters (几何,求凸包)

    题意:给定几个圆,求最短的围合,把这几个包围起来,而且到圆的距离都不小于10. 思路:把每个圆的半径+10,边等分5000份,然后求凸包即可. #include<bits/stdc++.h> ...

  8. 恋恋风辰 对于redis底层框架的理解(一)

    近期学习了redis底层框架,好多东西之前都没听说过,算是大开眼界了. 先梳理下redis正常的通讯流程吧 首先服务器启动都有主函数main,这个main函数就在redis.c里 首先是initser ...

  9. 关于CDH

    进入到任何一个Host的页面,点击“components",就可以看到这个主机安装的组件的版本

  10. xgene:WGS,突变与癌,RNA-seq,WES

     人类全基因组测序06 SNP(single nucleotide polymorphism):有了10倍以上的覆盖深度以后,来确认SNP信息,就相当可靠了. 一个普通黄种人的基因组,与hg19这个参 ...