day75_10_22频率认证和jwt

一。频率认证原理。

　　1.从dispatch中获取配置，找到setting中的配置。

　　2.从thtoyyling中寻找到各个认证类。

　　3.所有认证类都继承自basethrottle，basethrottle中，继承该类的都有重写allow_request方法。

　　4。base的字类simple中的init，需要对其进行条件配置DEFAULT_THROTTLE_RATES，其中默认值为none，init方法通过get_rate方法获取scope也就是配置的rates（3/min）。

　　5.parse_rate方法将该字段拆分成3 和min解析到另外两个元素中。parse_rate返回的是一个元组。

　　6。子类中的get_cache_key方法就是获取request中的user的登录信息，并获取id，和scope。

　　7.allow_request方法就是判断rate是否有，有则继续，没有则代表没有限制。然后建立缓存和获取缓存：（cache.set和cache.get）。初次访问history为空。设置列表为空列表，每添加一个记录增加一次到列表（按照user为key，剩余事件为value）

# 1）APIView的dispath方法中的 self.initial(request, *args, **kwargs) 点进去
# 2）self.check_throttles(request) 进行频率认证

# 频率组件核心源码分析
def check_throttles(self, request):
    throttle_durations = []
    # 1）遍历配置的频率认证类，初始化得到一个个频率认证类对象（会调用频率认证类的 __init__() 方法）
    # 2）频率认证类对象调用 allow_request 方法，判断是否限次（没有限次可访问，限次不可访问）
    # 3）频率认证类对象在限次后，调用 wait 方法，获取还需等待多长时间可以进行下一次访问
    # 注：频率认证类都是继承 SimpleRateThrottle 类
    for throttle in self.get_throttles():
        if not throttle.allow_request(request, self):
            # 只要频率限制了，allow_request 返回False了，才会调用wait
            throttle_durations.append(throttle.wait())

            if throttle_durations:
                # Filter out `None` values which may happen in case of config / rate
                # changes, see #1438
                durations = [
                    duration for duration in throttle_durations
                    if duration is not None
                ]

                duration = max(durations, default=None)
                self.throttled(request, duration)

分析

二。自定义频率限制。

　　1.设置scope。

　　2.重写get_cache_key，返回一个字符串。给allow_request操作。

　　自定义规则：

# 1) 自定义一个继承 SimpleRateThrottle 类 的频率类
# 2) 设置一个 scope 类属性，属性值为任意见名知意的字符串
# 3) 在settings配置文件中，配置drf的DEFAULT_THROTTLE_RATES，
　　　　格式为 {scope字符串: '次数/时间'}
# 4) 在自定义频率类中重写 get_cache_key 方法
    # 限制的对象返回 与限制信息有关的字符串
    # 不限制的对象返回 None (只能放回None，不能是False或是''等)

　　首先重写该类：

from rest_framework.throttling import SimpleRateThrottle

class SMSRateThrottle(SimpleRateThrottle):
    scope = 'sms'

    # 只对提交手机号的get方法进行限制
    def get_cache_key(self, request, view):
        mobile = request.query_params.get('mobile')
        # 没有手机号，就不做频率限制
        if not mobile:
            return None
        # 返回可以根据手机号动态变化，且不易重复的字符串，
　　　　　　　　作为操作缓存的key
        return 'throttle_%(scope)s_%(ident)s' 
　　　　　　% {'scope': self.scope, 'ident': mobile}

　　配置settings：

# drf配置
REST_FRAMEWORK = {
    # 频率限制条件配置
    'DEFAULT_THROTTLE_RATES': {
        'sms': '1/min'
    },
}

　　在需要频率认证的地方配置：

from .throttles import SMSRateThrottle
class TestSMSAPIView(APIView):
    # 局部配置频率认证
    throttle_classes = [SMSRateThrottle]
    def get(self, request, *args, **kwargs):
        return APIResponse(0, 'get 获取验证码 OK')
    def post(self, request, *args, **kwargs):
        return APIResponse(0, 'post 获取验证码  OK')

三。认证规划图过程。

　　在django不分离的过程总，需要前端带着csrf进行访问页面，获取信息。

　　而drf前后端分离之后分为需要认证的请求和不需要认证的请求，携带token访问三大认证，从而获得数据。

四，token的演变。

　　初始认证方法是单服务器，将前端传来的session信息和数据库中的数据进行对比从而得知其安全性，

　　缺点：频繁的访问数据库，数据库压力大。　

　　其次通过缓存的方式存储token进行存储，然后校验，这样的速度就加快了很多。

　　缺点：不支持多服务器认证。

　　　最终人变成不需要存储的token认证，只需要认证信息即可。

　　其中的区别比较：

2：

五。jwt认证。

　　其优点在于：

"""
1) 服务器不要存储token，token交给每一个客户端自己存储，服务器压力小
2）服务器存储的是 签发和校验token 两段算法，签发认证的效率高
3）算法完成各集群服务器同步成本低，路由项目完成集群部署（适应高并发）
"""

　　其使用格式为：

"""
1) jwt token采用三段式：头部.载荷.签名
2）每一部分都是一个json字典加密形参的字符串
3）头部和载荷采用的是base64可逆加密（前台后台都可以解密）
4）签名采用hash256不可逆加密（后台校验采用碰撞校验）
5）各部分字典的内容：
    头部：基础信息 - 公司信息、项目组信息、可逆加密采用的算法
    载荷：有用但非私密的信息 - 用户可公开信息、过期时间
    签名：头部+载荷+秘钥 不可逆加密后的结果
    注：服务器jwt签名加密秘钥一定不能泄露

签发token：固定的头部信息加密.当前的登陆用户与过期时间加密.头部+载荷+秘钥生成不可逆加密
校验token：头部可校验也可以不校验，载荷校验出用户与过期时间，头部+载荷+秘钥完成碰撞检测校验token是否被篡改
"""

六。jwt使用。

　　官网实在github上发表。

https://github.com/jpadilla/django-rest-framework-jwt

　　而下载在django中需要如下代码：

>: pip3 install djangorestframework-jwt

　　登录-签发token的使用（api/urls.py）

# ObtainJSONWebToken视图类就是通过username和password得到user对象然后签发token
from rest_framework_jwt.views import ObtainJSONWebToken, obtain_jwt_token
urlpatterns = [
    # url(r'^jogin/$', ObtainJSONWebToken.as_view()),
    url(r'^jogin/$', obtain_jwt_token),
]

　　认证-校验类：全局或局部配置drf-jwt的认证类 JSONWebTokenAuthentication

from rest_framework.views import APIView
from utils.response import APIResponse
# 必须登录后才能访问 - 通过了认证权限组件
from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
class UserDetail(APIView):
    authentication_classes = [JSONWebTokenAuthentication]  # jwt-token校验request.user
    permission_classes = [IsAuthenticated]  # 结合权限组件筛选掉游客
    def get(self, request, *args, **kwargs):
        return APIResponse(results={'username': request.user.username})

　　路由与接口测试：

# 路由
url(r'^user/detail/$', views.UserDetail.as_view()),

# 接口：/api/user/detail/
# 认证信息：必须在请求头的 Authorization 中携带 "jwt 后台签发的token" 格式的认证字符串

　　输入时需要输入put方法，输入json方法的字典形式。

　　登录的接口需要将其所有的认证和权限都滞空。

　　登录认证时登录信息需要提供Authorization ： token。（post）

　　jwt的三个视图类。

　　1.obtain_jwt_token

　　通过账号密码，签发token（以来auth组建的rbac用户权限）

　　2.refresh_jwt_token

　　根据一个合法的token返回刷新后的token

　　3.verify_jwt_token

　　校验token，如果通过，原样返回。