1. 认证 :

介绍:

UserInfo表包含name , pwd , user_type三个字段

UserToken表包含token与user(关联UserInfo表)

当用户登录成功将随机字符串写入token, 并且将其返回给前台

当用户访问需要登录的视图需要将token拼到url中 , 如

http://127.0.0.1:8000/books/1?token=fbc4092d-b872-4b23-b2f7-29177ece9208

在自定义认证类里取到url的token, 与数据库的对比

源码分析

APIView---dispatch---initialize_request(包装request)---apiview的get_authenticators---

---将对象列表返回给authenticators----执行apiview的initial方法

---执行apiview的perform_authentication方法-----(request.user)

---Request.user方法----执行request对象的_authenticate方法------

循环request对象的authenticators----执行循环出的每个对象的authenticate方法,

将自己和request这个对象传入----最后返回一个元组(认证通过)

或者抛出异常(认证失败)exceptions.APIException--

--如果认证通过self.user, self.auth = user_auth_tuple执行的结果解压赋值,给request对象添加二个属性。

使用实例:

1. 自定义一个认证类

注意:这个类要放在单独的py文件中,(如果放在view中,全局配置无法使用)

class LoginAuth():

    # 函数名一定要叫authenticate,接收必须两个参数,第二个参数是request对象

    def authenticate(self, request):

        # 从request对象中取出token(也可以从其它地方取)

        token = request.query_params.get('token')

        # 去数据库过滤,查询

        ret = models.UserToken.objects.filter(token=token).first()

        if ret:

            # 能查到,说明认证通过 返回两个值

            # ret.user就是当前登录用户对象,一旦retrun了,后面的认证类都不执行了

            return ret.user,ret

        # 如果查不到,抛异常

        raise exceptions.APIException('您认证失败')

2. 视图类中使用

- 局部使用

    在视图类中加一行:

        authentication_classes = [LoginAuth, ]

- 全局使用

    在setting中配置

        REST_FRAMEWORK={

            'DEFAULT_AUTHENTICATION_CLASSES':['app01.MyAuth.LoginAuth',]

        }

        中括号里的就是能导到认证类的东西

    局部禁用

        在视图类中加一行:

            authentication_classes = []

2. 权限

用法介绍

在自定义权限类里判断用户类型, 如果是3(超级会员)则权限足够, 返回Ture

如果权限不够返回False

代码实例

1. 自定义一个权限类

class UserPermission():

    # message是出错显示的中文

    message='您没有权限查看'

    def has_permission(self, request, view):

        user_type = request.user.user_type

        if user_type == 3:

            return True

        else:

            return False

2. 使用

-局部使用

    -在视图类中加一行:

     permission_classes = [UserPermission, ]

-全局使用

    -在setting中配置

    REST_FRAMEWORK={

        'DEFAULT_PERMISSION_CLASSES':['app01.MyAuth.UserPermission',]

    }

    -局部禁用

    -在视图类中加一行:

        -permission_classes = []

choice

choice的用法:

    -拿出数字对应的中文:get_字段名_dispaly()

====================================

认证组件的源码分析

执行到APIVIEW里面的dispatch方法 , 里面有一句

request = self.initialize_request(request, *args, **kwargs)

这一句会生成一个request对象,

    生成这个对象的参数有

    django的request对象,

    authenticators=self.get_authenticators(),

            这里的结果是authentication_classes列表里面的类实例化出来的一个个对象

然后会执行到self.initial(request, *args, **kwargs)这里

点进去里面有一句self.perform_authentication(request), 这个就是认证的

--------------------------------------------------------------------

|       分界线  上面的self代表视图类的对象  下面是Request的对象        |

--------------------------------------------------------------------

点进去里面调用了request.user, 这是一个包装过的方法, 在rest_framework.request.Request中

再进去lou一眼,里面有self._authenticate()方法,再点进去

里面会循环第六行里面的对象列表, 调用每个对象的authenticate(self)方法, 

注意!!!这里其实传了两个参数,

    第一个是对象调用方法自动将自己传过去了,

    第二个参数是request对象

源码里面会有两个变量来接收他的返回值,所以authenticate里面我们要返回两个值

总结:

综上, 所以我们需要在需要认证的视图类里面加上叫做authentication_classes的列表, 列表里面放入我们自定义的认证类

自定义认证类的时候里面需要加上方法def authenticate(self, request): ,并且返回两个值

在源码中这个方法被try了, 捕获的异常是exceptions.APIException , 所以如果认证失败抛出APIException这个异常

认证的token不存到数据库

每个用户登录都会往数据库里写一条数据,然后每次访问需要登录的地址时都要去数据库检查一下token, 这对数据库的压力比较大

现提供一种方法不往数据库写token验证

用户登陆成功以后用自己的方式加密一下用户的id

我用的是

"吃葡萄不吐葡萄皮 id 不吃葡萄倒吐葡萄皮"用md5加密,后面再拼上"|id"

将这个字符串作为token返回给前台

然后访问其他的需要登录的页面时url里拼上这个就好了

例如,: id为1的用户登录了, 生成一个7f38e7a645fbd1b3c68fbc75ecd62d24|1字符串

id为2的用户登录了, 生成一个a07687f76d66557e59db18bd89910e3a|2字符串

访问其他页面时带上这个字符串,例如访问书本详情时的url为:

http://127.0.0.1:8000/books/1?token=a07687f76d66557e59db18bd89910e3a|2

token翻译成明文就是吃葡萄不吐葡萄皮2不吃葡萄倒吐葡萄皮|2

在认证里面通过 " | " 切分取到id , 再通过上面的加密方式生成token与url里面的进行对比

代码示例:

获取加密字符串的函数

import hashlib

def get_token(id):

    md5=hashlib.md5()

    md5.update('吃葡萄不吐葡萄皮'.encode('utf-8'))

    md5.update(str(id).encode('utf-8'))

    md5.update('不吃葡萄倒吐葡萄皮'.encode('utf-8'))

    return md5.hexdigest()

登录成功以后生成token:

token = methord.get_token(user.id)+'|'+str(user.id)

认证类

class LoginAuth:

    def authenticate(self, request):

        token = request.GET.get('token')#获取url的token

        id = token.split('|')[1]#拿到id

        re_token = methord.get_token(id) + '|' + str(id)#根据我的加密方式进行加密

        if token == re_token:#判断url的token是否正确

            user=models.UserInfo.objects.filter(pk=int(id)).first()

            return user,user

        else:

            raise APIException('还没登录')

rest_framework之认证与权限 token不存数据库认证的更多相关文章

  1. restframework 认证、权限、频率组件

    一.认证 1.表的关系 class User(models.Model): name = models.CharField(max_length=32) pwd = models.CharField( ...

  2. rest_framework 认证与权限

    一  认证 1.1先写个类(认证组件) from app01 import models from rest_framework import exceptions from rest_framewo ...

  3. rest_framework组件之认证,权限,访问频率

    共用的models from django.db import models # Create your models here. class User(models.Model): username ...

  4. drf token刷新配置、认证组件(使用)、权限组件(使用)、频率组件(使用)、异常组件(使用)

    目录 一.特殊路由映射的请求 二.token刷新机制配置(了解) 三.认证组件项目使用:多方式登录 1.urls.py 路由 2.views.py 视图 3.serializers.py 序列化 4. ...

  5. 权限认证 cookie VS token

    权限认证 cookie VS token 我前公司的应用都是 token 授权的,现公司都是维护一个 session 确认登录状态的.那么我在这掰扯掰扯这两种权限认证的方方面面. 工作流程 先说 co ...

  6. Rest_Framework之认证、权限、频率组件源码剖析

    一:使用RestFramwork,定义一个视图 from rest_framework.viewsets import ModelViewSet class BookView(ModelViewSet ...

  7. rest_framework 认证组件 权限组件

    认证组件 权限组件 一.准备内容 # models class User(models.Model): name = models.CharField(max_length=32) pwd = mod ...

  8. Django框架rest_framework中APIView的as_view()源码解析、认证、权限、频率控制

    在上篇我们对Django原生View源码进行了局部解析:https://www.cnblogs.com/dongxixi/p/11130976.html 在前后端分离项目中前面我们也提到了各种认证需要 ...

  9. DRF之版本控制、认证和权限组件

    一.版本控制组件 1.为什么要使用版本控制 首先我们开发项目是有多个版本的当我们项目越来越更新,版本就越来越多,我们不可能新的版本出了,以前旧的版本就不进行维护了像bootstrap有2.3.4版本的 ...

随机推荐

  1. Train Problem II (卡特兰数+大数问题)

    卡特兰数: Catalan数 原理: 令h(1)=1,h(0)=1,catalan数满足递归式: h(n)= h(1)*h(n-1) + h(2)*h(n-2) + ... + h(n-1)h(1) ...

  2. dagger2的Qualifier与Scope

    Qualifier即Named 当module的@Provides提供相同变量的不同属性时:用于区分把哪一个初始化 Module 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 ...

  3. Linux系统发行版本及其区别

    1 Linux系统组成 Linux操作系统=Linux内核+GNU软件及系统软件+必要的应用程序.下表为Linux系统各组成部分的贡献人员: Linux内核 GNU组件(gcc.bash) 其他必要应 ...

  4. Swift和Objective-C中的协议(protocol)有什么异同

    Swift和Objective-C中的protocol的相同点在于:两者可以被用作代理.Objective-C中的protocol类似于Java中的Interface,在实际开发中主要用与适配器模式( ...

  5. .Net Core调用oracle存储过程

    一 前言 实战踩坑系列,调用第三方Oracle存储,各种血泪史,现记录如下. 二 入坑 首先,调用Oracle需要安装客户端驱动才行,但是在程序开发中下载客户端驱动是一个不明智的选择.于是,不管是微软 ...

  6. Vue+Axios+iview+vue-router实战管理系统项目

    项目实现登陆验证,iviewui组件使用,vue-router路由拦截,在删除登陆存储的token后,直接路由进登陆页面,实战数据请求,本地data.json,笔者也是初出茅庐,在项目运行后,会一直c ...

  7. Nginx server name配置子域名二级域名

    绑定子域名到不同目录(子站) 网站的目录结构为 /var/www/html: ├── fx └── blog└── photo html为nginx的默认网站目录. sudo vi /etc/ngin ...

  8. JDBC概述及编程步骤详解

    目录 一.JDBC概述 二.JDBC编程步骤(以MySQL为例) 1.导入jar包 2.加载数据库驱动 3.通过DriverManager获得Connection对象 3.定义SQL语句 4.利用Co ...

  9. 初窥构建之法——记2020BUAA软工个人博客作业

    项目 内容 这个作业属于哪个课程 2020春季计算机学院软件工程(罗杰 任建) 这个作业的要求在哪里 个人博客作业 我在这个课程的目标是 完成一次完整的软件开发经历并以博客的方式记录开发过程的心得掌握 ...

  10. .Net Core 为 x86 和 x64 程序集编写 AnyCPU 包装

    前言 这几天研究了一下 vJoy 这个虚拟游戏手柄驱动,感觉挺好玩的.但是使用时发现一个问题,C# SDK 中的程序集被分为 x86 和 x64 两个版本,如果直接在 AnyCPU 平台编译运行就有隐 ...