Django Rest Framework之用户频率/访问次数限制

内置接口代码基本结构

　　settings.py:

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES':['api.utils.mythrottle.UserThrottle',]
    'DEFAULT_THROTTLE_RATES': {
        '未认证用户': '10/m',
        '已认证用户': '100/h',
    },
}

　　mythrottle.py:

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import exceptions
from rest_framework.throttling import SimpleRateThrottle

class VisitThrottle(SimpleRateThrottle):
    scope = "未认证用户"

    def get_cache_key(self, request, view):
        return  self.get_ident(request)

class UserThrottle(SimpleRateThrottle):
    scope = "已认证用户"

    def get_cache_key(self, request, view):
        return  request.user  # 认证通过后，认证方法authenticate的返回值之一

class TestThrottle(APIView):
　　# 这样设置后，节流功能就会使用VisitThrottle类，而不会使用UserThrottle类
    throttle_classes = [VisitThrottle,] 

    def get(self, request, *args, **kwargs):
        pass
        '''
        等等一系列的视图功能方法
        '''

　　这里使用的节流类是继承了SimplePateThrottle类，而这个类利用了django内置的缓存来存储访问记录。通过全局节流设置，所有的视图类默认是使用UserThrottle类进行节流，如果不想使用默认的类就自定义给throttle_classes属性变量赋值，如：“throttle_classes = [VisitThrottle,]”。

原理分析

　　自定义节流方法：

　　views.py:

from rest_framework.views import APIView
import time

# 存储各个用户的访问记录
VISIT_RECORD = {
    '192.168.3.112': ['1212121212','1334352525',]
}

class VisitThrottle(object):
    '''60s内只能访问3次'''
    def allow_request(self,request,view):
        # 获取用户IP
        remote_addr = request.META.get('REMOTE_ADDR')
        # 获取当前访问时间
        ctime = time.time()
        # 判断该IP用户之前是否访问过，没有访问过，则加入到VISIT_RECORD全局变量中
        if remote_addr not in VISIT_RECORD:
            VISIT_RECORD[remote_addr] = [ctime,]
            return True
        # 获取该IP用户的访问记录
        history = VISIT_RECORD.get(remote_addr)
        self.history = history
        # 删除失效的访问记录
        while history and history[-1] < ctime - 60:
            history.pop()
        # 判断有效的访问记录是否大于要求的最大次数
        if len(history) < 3:
            history.insert(0,ctime)
            return True
        return False
        # return True: 表示可以继续访问
        # return False  表示访问频率太高，被限制

    def wait(self):
        '''
        还需要等多长时间才能访问
        :return
        '''
        ctime = time.time()
        ruturn 60 - (ctime - self.history[-1])

class TestThrottle(APIView):
    throttle_classes = [VisitThrottle,]

    def get(self, request, *args, **kwargs):
        pass
        '''
        等等一系列的视图功能方法
        '''

• 上面代码中的VisitThrottle类就是自定义节流类，跟认证原理类似，在源码中能找到throttle_classes属性变量，同样将自定义的节流类添加到这个列表中。
• 用户访问记录的数据结构就是VISIT_RECODE全局变量，该变量就是一个字典，key值为用户唯一标识（IP或用户名），value值为列表，列表元素为访问时间戳。
• 节流原理：简单的说，就是从VISIT_RECODE全局变量中获取到某个用户的唯一标识（不存在，则不节流），然后计算获取到的当前访问时间与访问有效时间段（这里为60s）的差值（其实也是一个时间戳），利用这个差值来pop出这个列表中小于该差值的时间戳（说白了就是，删除已经过时的时间戳），最后在，判断一下列表中剩余的时间戳是否超过了限定的次数，没有超过，则允许访问，超过，则拒绝访问。
• 当拒绝时，会调用wait方法，来返回还剩多少时间就可以再次访问。
• 之所以在项目开发中不使用自定义节流类，是因为drf中已经实现了节流方法。内置接口代码基本结构，就是内置节流类的使用方法。

源码分析

• 为什么会使用“scope”属性变量，它有什么用？

　　

　　由内置接口代码基本结构中可以看到，视图类TestThrottle继承了SimpleRateThrottle类，跳转到这个类中，就可以看到scope属性变量。

　　 

　　

　　 由“THROTTLE_RATES[self.scope]”知，scope一定是一个key值，而THROTTLE_RATES不就是在配置文件中所设置的变量吗？所以说scope代表的就是“未认证用户”和“已认证用户”这两个key值，而这两个key值代表的就是不同的节流方案。返回值就这这两个key值所对应的value值，具体是哪一个，那就看视图类TestTrottle中对scope属性变量的值是什么了，如果这个scope值不存在，就会抛出异常。

• 为什么会使用“get_cache_key”方法，该方法的返回值是什么？

　　在分析get_cache_key方法前，先分析一下SimpleRateThrottle类：

　　

　　cache = default_cache 它表示的就是存储用户访问记录的缓存，而这个缓存正是django默认的缓存。

　　get_rate 方法，前面已经说过了，是用来获取节流方式的。　　

　　

　　parse_rate方法，解析节流方式

　　

　　allow_request方法，就是跟在自定义节流方法一样，是实现节流算法的。之所以会用内置节流方法，就是因为在这里，已经实现了节流算法。

　　

　　wait方法，就是跟在自定义节流类中的wait方法一样，返回提示用户还有多长时间就可以再次访问了。

　　

　　通过初始化方法，获取并解析好要使用的节流方式，供allow_request方法使用。

　　

　　通过调用check_throttles方法，来调用allow_request方法，由上面关于allow_request截图来看，要完成它的功能，就必须通过get_cache_key方法获取到当前用户的唯一标识，所以get_cache_key应该返回唯一标识。

　　

　　get_cache_key 方法，这就是在视图类TestThrottle中重写的方法。由上图可知，该方法是必须重写的，不然就会抛出异常。

• 为什么会使用“throttle_classes”属性变量，它有什么用？

　　

　　通过查看dispatch方法中的intial方法可以看到调用的节流方法“check_throttles”。

　　

　　这个for循环返回的一定是一个列表，类似于认证和授权的源码，那么这个列表一定是保存节流类的列表。

　　

　　get_throttles方法返回的是一个列表生成式，而这里的throttle_classes就是在视图类TestThrottle中使用的，该变量就保存节流类对象。　　

• “DEFAULT_THROTTLE_CLASSES”从哪里来，有什么用？

　　

　　通过throttle_classes属性变量，跳转到该图，可以看到配置文件中说的“DEFAULT_THROTTLE_CLASSES”，它是用来通过配置文件settings来对全局节流类进行配置，功能等价于throttle_classes属性变量。

• “DEFAULT_THROTTLE_RATES”从哪里来，有什么用？

　　

　　由SimpleRateThrottle类和上文对scope属性变量的分析可知，THROTTLE_RATES就是为了存储在配置文件中设置的不同的节流方法的。

　　

　　综上所述，可以看出，在利用内置节流接口时，通过配置文件settings的设置和提供该接口所需的用户唯一标识外，不需要我们做再多的操作，这就形成了我们上文写的内置接口代码基本结构的样式。