django rest framework 官网

在学习django rest framework(下面简称drf)之前需要知道

  • 对RESTful API设计有一定了解 restful api设计风格
  • 对django框架有一定认识,本身drf就是基于django做的
  • 对python面向对象编程有了解(drf会对一些原生的django类做封装)

一、前言

在学习drf之前的时候,先简单说一下需要的预备知识。在django中,路由匹配之后,会进行路由分发,这个时候会有两种选择模式的选择。也就是FBVCBV

1、FBV

fbv就是在url中一个路径对应一个函数

urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/', views.index)
]

在视图函数中

def index(request):
return render(request, 'index.html')

2、CBV

cbv就是在url中一个路径对应一个类,drf主要使用CBV

urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/', views.IndexView.as_view()) # 执行类后面的as_view()方法,是父类里面的方法
]

在视图函数中

from django.views import View

class IndexView(View):

    # 以get形式访问会执行get函数,一般情况下获取数据
def get(self, *args, **kwargs):
return HttpResponse('666') # 以post形式访问的话会执行post函数,一般情况下发送数据
def post(self, *args, **kwargs):
return HttpResponse('999')

我们在路由匹配的时候看到url(r'^index/', views.IndexView.as_view()),那这个as_view()是什么,既然我们在视图类中没有定义这个as_view()方法,就应该到父类(也就是IndexView的父类View)中看一下View。以下是django源码,路径是\django\views\generic\base.py

class View:

    http_method_names = ['get', 'post', 'put', 'patch', 'delete', 'head', 'options', 'trace']  # 支持的各种http方法

    def __init__(self, **kwargs):
pass @classonlymethod
def as_view(cls, **initkwargs): # url路由匹配进入as_view方法
def view(request, *args, **kwargs):
return self.dispatch(request, *args, **kwargs) # 返回dispath方法
return view def dispatch(self, request, *args, **kwargs): # dispath方法是drf的关键,dispath方法会通过反射,通过请求的方法,分发到各个视图类的方法中
pass

3、django的请求周期

因此根据CBV和FBVdjango的生命周期可以又两类

  • FBV:请求通过uwsgi网关,中间件,然后进入路由匹配,进入视图函数,连接数据库ORM操作,模板渲染,返回经过中间件,最终交给浏览器response字符串。
  • CBV:请求通过uwsgi网关,中间件,然后进入路由匹配,这里就与FBV有区别了,因为不再是试图函数而是视图类,说的详细一点,先经过父类View的dispath方法,进行请求方法的判断,在分发到视图类的方法,连接数据库ORM操作,模板渲染,返回经过中间件,最终交给浏览器response字符串。

而再drf中主要使用CBV,生命周期就变成了如下

请求通过uwsgi网关,中间件,然后进入路由匹配,这里就有区别了,先经过drfAPIView类中的dispath方法(这里假定视图类没有重写APIView中的dispath方法),在dispath中对request请求进行封装,反射回到视图类,连接数据库ORM操作,模板渲染,返回经过中间件,最终交给浏览器响应字符串。

4、面向对象

说到面向对象就是三个特性,封装,多态,继承。

<1>、子类重写父类方法

我们在继承父类的时候往往会重写父类中的方法,例如

class A:
def get_name(self):
return self.name
def return_name(self):
if hasattr(self, 'name'):
return 'name: ' + getattr(self, 'name', None) class B(A):
name = "b"
def get_name(self):
return self.name b = B()
b.get_name() # 输出B
b.return_name() # 输出name: B,这里由于B类中没有实现return_name方法,实例化B得到b之后,会调用父类A中的return_name方法,hasattr方法会查找类中是否有name属性,这里虽然在类A中没有,会向下查找B类中是否有name属性,然后返回'name: ' + getattr(self, 'name', None) ,也就是name:b

这是简单的子类方法重写父类中的方法,我们再使用drf的认证,权限等组件是会经常对父类中的方法重写,从而细粒度的实现自己的功能。

请注意:事情往往不是绝对的,如果像重写python内置的基本数据类型,如字典,列表中的特殊方法,就会的到意想不到的结果,就是实例化的对象不再调用你重写的方法,而是调用本来的方法。这是因为python的一些基本类型的方法是由c语言编写的,python为了满足速度,抄近道不会再调用你重写的特殊方法。

<2>、mixin模式

class X(object):
def f(self):
print( 'x') class A(X):
def f(self):
print('a') def extral(self):
print('extral a') class B(X):
def f(self):
print('b') def extral(self):
print( 'extral b') class C(A, B, X):
def f(self):
super(C, self).f()
print('c') print(C.mro()) c = C()
c.f()
c.extral()

这样做也可以输出结果

[<class '__main__.C'>, <class '__main__.A'>, <class '__main__.B'>, <class '__main__.X'>, <class 'object'>]  # 继承的顺序是 A-->B-->X-->object 这了的object在python3中是一切类的基类,包括object类本身。
a
c
extral a # 虽然类C中没有实现接口extral(),却调用了父类A中的extral()方法

这样的继承虽然可以实现功能,但是有一个很明显的问题,那就是在面向对象中,一定要指明一个类到底是什么。也就是说,如果我想构造一个类,假如是Somthing,那么我想让这个类实现会飞,会游泳,会跑,三种行为,我可以这样做,同时继承,鸟,鱼,马三个类,像这样

class Bird:
def fly(self):
print('fly') class Fish:
def swim(self):
print('swim') class Horse:
def run(self):
print('run') class Something(Bird, Fish, Horse):
pass s = Something()
s.fly()
s.swim()
s.run()

输出

fly
swim
run

可是实现会跑,会飞,会游泳的三种行为,但是这个类到底是什么,是鱼,是马,还是鸟,也就是说不知道Something到底是个什么类。为了解决这个问题,我们可以引用mixin模式。改写如下

class BirdMixin:
def fly(self):
print('fly') class FishMixin:
def swim(self):
print('swim') class Horse:
def run(self):
print('run') class Something(BirdMixin, FishMixin, Horse):
pass

这样就解决了上面的问题,也许你会发现,这其实没有什么变化,只是在类的命名加上了以Mixin结尾,其实这是一种默认的声明,告诉你,Something类其实是一种马,父类是HorseHorse,继承其他两个类,只是为了调用他们的方法而已,这种叫做mixin模式,在drf的源码种会用到。

例如drf中的generics 路径为rest_framework/generics.py

class CreateAPIView(mixins.CreateModelMixin,
GenericAPIView):
pass class ListAPIView(mixins.ListModelMixin,
GenericAPIView):
pass class RetrieveAPIView(mixins.RetrieveModelMixin,
GenericAPIView):
pass

相当于每多一次继承,子类可调用的方法就更多了。

二、生成项目

1、生成项目

这里可以使用pycharm作为集成开发工具,创建django项目查看Python和第三方库源码很方便,使用pycharm创建一个django项目,然后将django rest framework作为第三方包放入django项目中

2、数据库设计

先来看一下如果不使用drf怎么进行用户认证,通常是用字段验证的方式,来生成相应的数据库,在用户登录时候,对数据库查询,简单的数据库设计如下

from django.db import models

class UserInfo(models.Model):
USER_TYPE = (
(1,'普通用户'),
(2,'VIP'),
(3,'SVIP')
) user_type = models.IntegerField(choices=USER_TYPE, default=1)
username = models.CharField(max_length=32)
password = models.CharField(max_length=64) class UserToken(models.Model):
user = models.OneToOneField(UserInfo,on_delete=models.CASCADE)
token = models.CharField(max_length=64)

简单的用户信息,每个用户关联一个一对一的usertoken做为验证

然后在项目目录下执行生成数据库命令

    python manage.py makemigrations
python manage.py migrate

3、路由系统

from django.contrib import admin
from django.urls import path
from django.conf.urls import url from api.views import AuthView urlpatterns = [
path('admin/', admin.site.urls),
url(r'^api/v1/auth/$', AuthView.as_view())
]

api/v1/auth/中的api分别代表接口和版本号,后面会说到

4、视图函数

  • md5函数根据用户名和用户的访问时间进行加密
  • 当用户第一次访问时,数据库创建用户,并将token字符串,存储到数据库
  • 当用户下次访问的时候,需要带着这个字符串与数据库比对,并返回相应的提示信息

    这里的token暂时没有放回浏览器端,真正项目中可以写入到浏览器cookie
from django.shortcuts import render, HttpResponse
from django.http import JsonResponse
from django.views import View from api import models def md5(user):
import hashlib
import time # 当前时间,相当于生成一个随机的字符串
ctime = str(time.time()) # token加密
m = hashlib.md5(bytes(user, encoding='utf-8'))
m.update(bytes(ctime, encoding='utf-8'))
return m.hexdigest() class AuthView(View): def get(self, request, *args, **kwargs):
ret = {'code': 1000, 'msg': 'success', 'name': '偷偷'}
ret = json.dumps(ret, ensure_ascii=False) return HttpResponse(ret) def post(self, request, *args, **kwargs):
ret = {'code': 1000, 'msg': None}
try:
user = request.POST.get('username')
pwd = request.POST.get('password')
obj = models.UserInfo.objects.filter(username=user).first() if not obj:
# 如果用户第一次登陆则创建用户
obj = models.UserInfo.objects.create(username=user, password=pwd)
ret['code'] = 1001
ret['msg'] = '创建用户成功' # 为用户创建token
token = md5(user)
# 存在就更新,不存在就创建
models.UserToken.objects.update_or_create(user=obj, defaults={'token': token})
ret['token'] = token
except Exception as e:
ret['code'] = 1002
ret['msg'] = '请求异常'
return JsonResponse(ret)

第一次发送请求

返回请求信息

第二次发送请求

返回请求信息

这里没有使用drf的认证组件

三、使用Django rest framewok 认证组件

1、实例

假如用户想获取自己的订单信息,发送请求之后返回订单信息以json格式的数据返回。

from rest_framework.views import APIView
from django.http import JsonResponse
from rest_framework.authentication import BaseAuthentication
from rest_framework import exceptions from api import models # 这里直接表示订单
ORDER_DICT = {
1:{
'name':'apple',
'price':15
},
2:{
'name':'狗子',
'price':100
}
} class FirstAuthenticate(BaseAuthentication):
# 添加自己的认证逻辑,基类BaseAuthentication中有一个必须要重写的接口 def authenticate(self, request):
pass def authenticate_header(self, request):
pass class MyAuthenticate(BaseAuthentication):
# 添加自己的认证逻辑,基类BaseAuthentication中有两个必须要重写的接口 def authenticate(self, request):
token = request._request.GET.get('token') # 获取token参数
token_obj = models.UserToken.objects.filter(token=token).first() # 在数据库UserToken查找是否有相应的对象
if not token_obj: # 如果没有,则报错
raise exceptions.AuthenticationFailed('用户认证失败')
return (token_obj.user, token_obj) # 这里需要返回两个对象,分别是UserInfo对象和UserToken对象 def authenticate_header(self, request): # 返回相应头信息
pass class OrderView(APIView):
# 用户想要获取订单,就要先通过身份认证、
# 这里的authentication_classes 就是用户的认证类
authentication_classes = [FirestAuthenticate, MyAuthenticate] def get(self, request, *args, **kwargs):
ret = {
'code': 1024,
'msg': '订单获取成功',
}
try:
ret['data'] = ORDER_DICT
except Exception as e:
pass
return JsonResponse(ret)

这里继承了rest framek中的APIView,在APIView中将原生的request进行了封装,封装了一些用于认证,权限的类,在请求来的时候,会依次通过FirestAuthenticate MyAuthenticate两个类,并调用authenticate进行认证。

发送请求

返回订单的数据

认证成功

2、源码分析

这里推荐使用pycharm作为集成开发工具,可以ctrl+鼠标左键点击方法,或者类直接进入源码查看

<1>、第1步

在路由匹配之后会先进入到APIView中的as_view方法中,然后进入到djangoView中,

<2>、第2步

由于子类APIView已经实现了dispath方法,接着返回APIView中的disapth方法

<3>、第3步

然后会发现drf对原生request做的操作

<4>、第4步

这里的initialize_request,主要进行封装

<5>、第5步

而initial则会对调用封装类中的方法,实现各种功能

至此可以看到requestdrf中大概的流程。

3、drf认证流程

在上面第4步和第5步可以看到APIView中的两个方法的initialize_request,initial

我们进入到initialize_request,查看authenticators=self.get_authenticators()

这里的authentication_classes,其实是一个所有认证类的集合(指的是一个可以迭代的容器对象,如list,tuple等,而不是特指set()内置类型),

这里的api_settings其实就是django项目的全局配置文件settings.py,这说明我们可以在需要认证的视图函数多的情况下使用全局配置使得每一个进行认证。

<1>、全局与局部配置认证类

可以直接在settings.py中添加全局配置项

REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': ['api.utils.authenticate.FirstAuthenticate', 'api.utils.authenticate.MyAuthenticate'],
}

那么如果我的个别视图类不想认证呢?可以这样写

class OrderView(APIView):
# 这里没有重写authentication_classes属性,则使用全局配置的authentication_classes,即在setting.py中的authentication_classes。
def get(self, request, *args, **kwargs):
pass class CartView(APIView):
authentication_classes = [authenticate.FirstAuthenticate,] # authentication_classes中只包含FirstAuthenticate,则只通过他的认证
def get(self, request, *args, **kwargs):
pass class UserInfoView(APIView):
authentication_classes = [] # authentication_classes为空,则不会进行认证
def get(self, request, *args, **kwargs):
pass

<2>、究竟如何进行认证

上面说了想要定义多个认证规则,其实就是封装多个认证类,那么这些认证类如何进行认证呢?

这里的perform_authentication就是进行主要的功能,在request类中有一个_authenticate

来分析下源码

    def _authenticate(self):
"""
Attempt to authenticate the request using each authentication instance
in turn.
"""
for authenticator in self.authenticators: # 找到 authentication_classes,并循环每一个认证类
try:
user_auth_tuple = authenticator.authenticate(self) # 调用认证类的authenticate方法,也就是上面我们实现的方法,并将返回值赋值给user_auth_tuple
except exceptions.APIException:
self._not_authenticated() # 如果出错调用_not_authenticated,方法,下面会说到
raise if user_auth_tuple is not None: # 如果authenticate方法的返回值不为空
self._authenticator = authenticator
self.user, self.auth = user_auth_tuple # 这也就是为什么认证类的authenticate方法会返回两个对象的原因
return self._not_authenticated() # 如果没有通过认证,则调用_not_authenticated方法 def _not_authenticated(self):
"""
Set authenticator, user & authtoken representing an unauthenticated request. Defaults are None, AnonymousUser & None.
"""
self._authenticator = None if api_settings.UNAUTHENTICATED_USER:
self.user = api_settings.UNAUTHENTICATED_USER()
else:
self.user = None if api_settings.UNAUTHENTICATED_TOKEN:
self.auth = api_settings.UNAUTHENTICATED_TOKEN()
else:
self.auth = None

_authenticate方法中调用authenticator.authenticate(self) 方法,返回给user_auth_tuple,并通过判断user_auth_tuple是否为空,其实就像是我从浏览器发送请求,request中携带我的用户认证信息,在进入视图类之前,通过一次一次调用认证类来查看我携带的认证信息是否正确,如果正确则返回数据库中正确的User对象。如果不通过或者没有认证信息,则在_not_authenticated中按照匿名用户处理。

来看一下authenticator.authenticate(self)中的authenticate(self)具体做了什么

在authenticate中可以添加具体的认证逻辑,当然也可以在视图类中书写,但是drf中提供的组件,可以使得代码耦合度更低,维护性更强,更方便。

<3>、匿名用户认证

上面_not_authenticatedUNAUTHENTICATED_TOKENUNAUTHENTICATED_USER说明,也可以通过在setting.py中定义匿名用户的认证。

只要再setting.py中添加如下

REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': ['api.utils.authenticate.FirstAuthenticate', 'api.utils.authenticate.MyAuthenticate'],
"UNAUTHENTICATED_USER": None, # 匿名,request.user = None
"UNAUTHENTICATED_TOKEN": None,# 匿名,request.auth = None
}

4、认证总结

要理解django rest framework ,就要先理解面向对象。子类继承父类属性和方法,而在基类中往往以定义抽象接口的形式,强制使子类重写抽象接口。不过抽象接口这往往是框架开发者做的,而不是我们要需要做的。实例化的对象可以调用所类的属性和方法,其实方法也可以看作是一种属性。子类新定义或者重写父类的属性,实例化的对象可以调用父类中的方法查询到子类的属性,就是说实例化的对象集所有父类子类于一身。子类中的方法或者属性会覆盖掉父类中的方法和属性,实例化对象调用的时候不会管父类中怎么样,所以在变量和方法命名的时候应该注意,或者也可以使用super等操作。

而在django rest framework中,对原生request做了封装。原本我们可以再视图类中的进行的比如访问限流,用户认证,权限管理等逻辑,封装到一个一个类中的方法中,在用户请求进入视图类之前,会先查找并迭代相关封装的类,然后调用这些类的相关方法,根据返回值判断是否满足认证,权限等功能。如果不通过则不会进入到视图类执行下一步,并返回相应的提示信息。这样分开的好处是当然就是最大程度的解耦,各个相关功能相互不影响,又相互关联,维护性更高。

Django Rest framework 之 认证的更多相关文章

  1. django rest framework用户认证

    django rest framework用户认证 进入rest framework的Apiview @classmethod def as_view(cls, **initkwargs): &quo ...

  2. Django rest framework 的认证流程(源码分析)

    一.基本流程举例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view() ...

  3. Django REST Framework之认证组件

    什么是认证 认证即需要知道是谁在访问服务器,需要有一个合法身份.认证的方式可以有很多种,例如session+cookie.token等,这里以token为例.如果请求中没有token,我们认为这是未登 ...

  4. Django Rest Framework之认证

    代码基本结构 url.py: from django.conf.urls import url, include from web.views.s1_api import TestView urlpa ...

  5. DRF Django REST framework 之 认证组件(五)

    引言 很久很久以前,Web站点只是作为浏览服务器资源(数据)和其他资源的工具,甚少有什么用户交互之类的烦人的事情需要处理,所以,Web站点的开发这根本不关心什么人在什么时候访问了什么资源,不需要记录任 ...

  6. Django REST framework 之 认证 权限 限制

    认证是确定你是谁 权限是指你有没有访问这个接口的权限 限制主要是指限制你的访问频率 认证 REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案. 接下类我们就自己 ...

  7. 基于django rest framework做认证组件

    先导入要用到的类 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions ...

  8. 【django后端分离】Django Rest Framework之认证系统之redis数据库的token认证(token过期时间)

    1:登录视图 redis_cli.py文件: import redis Pool= redis.ConnectionPool(host='localhost',port=6379,decode_res ...

  9. 源码剖析Django REST framework的认证方式及自定义认证

    源码剖析Django REST framework的认证方式 在前面说过,请求到达REST framework的时候,会对request进行二次封装,在封装的过程中会对客户端发送过来的request封 ...

随机推荐

  1. Internetworking

    1 Introduction 所谓的InternetWorking就是将很多网络连接起来,那么在这种连接的网络下我们该如何传送封包呢? 2 IP and Routers 1 IP Datagram H ...

  2. MSRA-TD5000数据集使用详解

    中文检测的数据集,目前最火的应该是清华的CTW,https://ctwdataset.github.io/ 但是它的数据集只存储在微云和google driver,微云空间受限不能完全保存,所以下载的 ...

  3. Zabbix--1

    ZABBIX 与其他监控程序比较.

  4. 干货:教你如何监控 Java 线程池运行状态

    之前写过一篇 Java 线程池的使用介绍文章<线程池全面解析>,全面介绍了什么是线程池.线程池核心类.线程池工作流程.线程池分类.拒绝策略.及如何提交与关闭线程池等. 但在实际开发过程中, ...

  5. 【xsy2304】哈 最短路

    题目大意:有一个$n$个点,$m$条有向边的图,有$q$组询问. 每次询问:从$a$到$b$,经过不超过$c$条边,且依次经过的边边权递增,问最短路为多少,无解输出-1. 数据范围:$n≤150$,$ ...

  6. Asp.Net Core 发布异常 502.5 [The Application process failed to Start]

    出现这个问题大部分时间都是因为发布时,少打包了一些文件.. 只打包了.Net Core的运行时库,没有打包Asp.Net Core 运行时.. 需要在打包指导文件中加入以下节点 <Propert ...

  7. 喜大普奔,SITE4J网站上线啦

    喜大普奔,SITE4J网站上线啦: 你懂的:https://peterchenhdu.club/

  8. Python基础之带你快速掌握列表的常用方法

    append 前面说过列表是一种 内容可改变的 对象. append方法就会改变列表的内容,在后面添加一个元素 比如 a = [1, 2, 3.14, 'hello'] # append 之后,a就变 ...

  9. IE不支持 Promise 解决办法

    引入 <script src = "https://cdn.polyfill.io/v2/polyfill.min.js"></script> 或 < ...

  10. 从零开始学 Web 之 Ajax(六)jQuery中的Ajax

    大家好,这里是「 从零开始学 Web 系列教程 」,并在下列地址同步更新...... github:https://github.com/Daotin/Web 微信公众号:Web前端之巅 博客园:ht ...