rest framework-认证,权限,节流

最新推荐文章于 2023-10-27 15:48:27 发布
原创 最新推荐文章于 2023-10-27 15:48:27 发布 · 306 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍了在 Django REST 框架中实现用户认证、权限管理和请求节流的具体方法。从认证类的创建到权限类的自定义,再到请求频率的控制,全面覆盖了 RESTful API 安全性和性能优化的关键环节。

认证

1、主路由表

from django.contrib import admin
from django.urls import path, include

urlpatterns = [
    path('admin/', admin.site.urls),
    path('certification/',include('certification.urls')),
]

2、APP的mode

from django.db import models


class UserInfo(models.Model):
    user_type = (
        (1,'普通用户'),
        (2,'vip'),
        (3,'svip'),
    )
    user_type = models.IntegerField(choices=user_type)
    u_name = models.CharField(max_length=16,unique=True)
    u_password = models.CharField(max_length=64)

    class Meta:
        db_table = 'student'

    def to_dict(self):
        return {'id':self.id,'u_name':self.u_name,'u_password':self.u_password,'user_type':self.user_type}

class UserToken(models.Model):   #token表
    user = models.OneToOneField(to='UserInfo',on_delete=models.CASCADE)
    token = models.CharField(max_length=64)

3、APP路由表

from django.urls import path
from certification import views

urlpatterns = [
    path('request/', views.CBVget.as_view(), name='request'),
    path('lg/',views.CBVlogin.as_view(),name='lg')
]

4、APP的权限认证表

from rest_framework import exceptions
from rest_framework.views import APIView

from certification.models import UserInfo,UserToken
from rest_framework.authentication import BaseAuthentication

class Authtication(BaseAuthentication):

    def authenticate(self,request):    #做认证逻辑
        token = request.query_params.get('token')
        token_obj = UserToken.objects.filter(token=token).first()
        if not token_obj:
            data = {
                'code':10001,
                'msg':'认证失败'
            }
            raise exceptions.AuthenticationFailed(data)
        return (token_obj.user,token_obj)

    def authenticate_header(self,request):   #认证失败给浏览器返回的响应头
        pass

5、APP的views

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.models import UserInfo,UserToken
import uuid
from certification.utils.auth import Authtication


class CBVget(APIView):

    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}
    def get(self,request,*args,**kwargs):  #根据权限查询人员信息信息
        user_list =UserInfo.objects.all()  #all获取的是all返回的是QuerySet对象,程序并没有真的在数据库中执行SQL语句查询数据
                                            # ,但支持迭代,使用for循环可以获取数据。
        user_list_json = []
        for user in user_list:
            user_list_json.append(user.to_dict())
        data ={
            'code':1000,
            'msg':'success',
            'data':user_list_json
        }
        return JsonResponse(data=data)


class CBVlogin(APIView):

    def post(self,request,*args,**kwargs):  #登录学生信息
           ret = {'code':1000,'msg':None}
           try:
               user = request._request.POST.get('u_name')
               pwd = request._request.POST.get('u_password')
               obj = UserInfo.objects.filter(u_name=user,u_password=pwd).first()  #查找匹配用户
               if not obj:
                   ret['code'] = 1001
                   ret['msg'] = '用户名或密码错误'
               #为用户创建token
               # token = uuid(user)
               token = uuid.uuid4().hex
               #存在就更新,不存在就创建
               UserToken.objects.update_or_create(user=obj,defaults={'token':token})
               ret['token'] = token
           except Exception as e:
               ret['code'] = '1002'
               ret['msg'] = '请求异常'
           return JsonResponse(ret)



认证知识点梳理:
    1、使用
        创建类:继承BaseAuthentication,实现authenticate方法
        返回值:
            none:不管,下一个认证来执行
            raise exceptions.AuthenticationFailed('用户认证失败')
            (元素1,元素2);元素1赋值给request.user,元素2赋值给request.auth
        局部使用:from rest_framework.authentication import BaseAuthentication,BasicAuthentication
            class UserInfo(APIView):
                authentication_classes = [BasicAuthentication]
                def get(self,request,*args,**kwargs):
                    print(request.user)
                    return HttpResponse('用户信息')
                    
        全部使用:
            REST_FRAMEWORK = {
            'DEFAULT_AUTHENTICATION_CLASSES':['cretification.utils.auth.Authtication'],
            'UNAUTHENTICATED_USER':None,   #匿名,request.user = None
            'UNAUTHENTICATED_TOKEN':None,  #匿名 request.auth = None
        }
        
    2、源码流程
        dispatch
            封装request
                获取定义的认证类(全局/局部),通过列表生成式创建对象
            initial
                perform authenticate
                    request.user (内部循环。。。)

权限

路由配置同上
1、权限表

from rest_framework.permissions import BasePermission


class MyPermission(BasePermission):
    message = '只有svip才可以访问'   #自定义返回的提示语
    def has_permission(self,request,view):
        if request.user.user_type != 3:
            return False
        return True

2、APP的view表

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.utils.auth import Authtication
from certification.utils.permission import MyPermission

class CBVget(APIView):

    permission_classes = [MyPermission,]   #引用认证
    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}

    def get(self,request,*args,**kwargs):
        self.dispatch
        ret = {'code':2000,'msg':None,'data':None}
        try:
            return JsonResponse(data=ret)
        except Exception as e:
            pass
        return JsonResponse('查询失败')

使用SVIP用户访问的结果入下:
在这里插入图片描述
使用非SVIP用户访问的结果如下:
在这里插入图片描述
使用BasePermission实现的权限认证,与注册用户时自动根据用户名配置其权限信息

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.models import UserInfo,UserToken
import uuid
from certification.utils.auth import Authtication
from certification.utils.permission import MyPermission

class CBVget(APIView):

    permission_classes = [MyPermission,]   #引用认证
    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}

    def get(self,request,*args,**kwargs):  #根据权限查询人员信息信息
        user_list =UserInfo.objects.all()  #all获取的是all返回的是QuerySet对象,程序并没有真的在数据库中执行SQL语句查询数据
        #                                     # ,但支持迭代,使用for循环可以获取数据。
        user_list_json = []
        user_token = request.query_params.get('token')  #获取用户的token信息
        user_id = UserToken.objects.get(token=user_token).user_id  #根据token获取user_id
        user_type = UserInfo.objects.get(id=user_id).user_type   #根据user_id获取用户类型
        if user_type == 3:
            for user in user_list:
                user_list_json.append(user.to_dict())
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list_json
            }
            return JsonResponse(data=data)
        else:
            user_token = request.query_params.get('token')
            user_id = UserToken.objects.get(token=user_token).user_id
            user_list = UserInfo.objects.get(id=user_id)
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list.to_dict()
            }
            return JsonResponse(data=data)


class CBVlogin(APIView):

    def post(self,request,*args,**kwargs):  #登录学生信息
        # action = request._request.GET.get('action')  #query_params等于_request.GET,进到源码查看
        action = request.query_params.get('action')
        if action == 'login':
            ret = {'code':1000,'msg':None}
            try:
                user = request._request.POST.get('u_name')
                pwd = request._request.POST.get('u_password')
                obj = UserInfo.objects.filter(u_name=user,u_password=pwd).first()  #查找匹配用户
                if not obj:
                    ret['code'] = 1001
                    ret['msg'] = '用户名或密码错误'
                #为用户创建token
                # token = uuid(user)
                token = uuid.uuid4().hex
                #存在就更新,不存在就创建
                UserToken.objects.update_or_create(user=obj,defaults={'token':token})
                ret['token'] = token
            except Exception as e:
                ret['code'] = '1002'
                ret['msg'] = '请求异常'
            return JsonResponse(ret)

        elif action == 'regist':    #注册用户,根据用户名直接设置该用户的角色
            user_type_svip = ['cq','yyx']   #用户配置表可以放到一块,再引用过来
            user_type_vip = ['zjj','lfr']
            user = request._request.POST.get('u_name')
            pwd = request._request.POST.get('u_password')
            users = UserInfo()
            users.u_name = user
            users.u_password = pwd
            print(user,pwd)
            if user in user_type_svip:
                user_type = 3
                users.user_type = user_type
            elif user in user_type_vip:
                user_type = 2
                users.user_type = user_type
            else:
                user_type = 1
                users.user_type = user_type
            users.save()
            ret = {
                'code': 2000,
                'msg': '新增用户成功',
            }
            return JsonResponse(ret)



权限知识点梳理:
    1、使用
        类:必须继承:BasePermission 必须实现:has_permission方法
        
        返回值:
            -True:有权访问
            -False:无权访问
            
        局部使用:
            permission_classes = [MyPermission,] 
            def get(self,request,*args,**kwargs):
                return HttpResponse('用户信息')
                
        全局配置:
        
          REST_FRAMEWORK = {
            'DEFAULT_PERMISSION_CLASSES':['cretification.utils.permission.MyPermission']
        }

节流

路由配置同上
1、APP节流表

import time
from rest_framework.throttling import BaseThrottle,SimpleRateThrottle


VISIT_RECORD = {}   #设置的全局,重启就没了,可以放到数据库或者缓存


class VisitThrottle(BaseThrottle):
    """60秒内访问3次"""

    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        # 获取用户ip
        # ip_addr = self.get_ident(request)  #类自带的获取ip的方法
        ip_addr = request.META.get('REMOTE_ADDR')
        ctime = time.time()
        if ip_addr not in VISIT_RECORD:
            VISIT_RECORD[ip_addr] = [ctime]
            return True
        history = VISIT_RECORD.get(ip_addr)
        self.history = history

        while history and history[-1] < ctime - 60:  # 判断历史表里面的第一次访问时间是否超过一分钟
            history.pop()  # 超多了就删除掉

        if len(history) < 3:
            history.insert(0, ctime)  # 满足条件就可以访问,并把访问时间插入历史列表
            return True

        # return True  #表示可以访问,反之不可以访问

    def wait(self):
        """显示还有多少秒可以访问"""
        ctime = time.time()
        return 60 - (ctime - self.history[-1])  # 得到可以访问的时间


#类自带的实现次数限定,
class VisitThrottle(SimpleRateThrottle):
    """
    设置,根据IP限制每分钟访问3次
    """
    scope = 'cc'  #随意写,源码当做key值调用  需要到配置文件设置
    def get_cache_key(self, request, view):
        # self.parse_rate()   #可以到源码查看,配置文件设置时间和次数的格式
        return self.get_ident(request)

2、APP的view

from django.http import JsonResponse
from rest_framework.views import APIView   #rest_framework需要到setting里面设置
from certification.models import UserInfo,UserToken
import uuid
from certification.utils.auth import Authtication
from certification.utils.permission import MyPermission
from certification.utils.throttle import VisitThrottle

class CBVget(APIView):

    permission_classes = [MyPermission,]   #引用认证
    authentication_classes = [Authtication,]  #也可以使用全局设置,在setting里面配置REST_FRAMEWORK={}
    throttle_classes = [VisitThrottle,]   #节流


    def get(self,request,*args,**kwargs):  #根据权限查询人员信息信息
        user_list =UserInfo.objects.all()  #all获取的是all返回的是QuerySet对象,程序并没有真的在数据库中执行SQL语句查询数据
        #                                     # ,但支持迭代,使用for循环可以获取数据。
        user_list_json = []
        user_token = request.query_params.get('token')  #获取用户的token信息
        user_id = UserToken.objects.get(token=user_token).user_id  #根据token获取user_id
        user_type = UserInfo.objects.get(id=user_id).user_type   #根据user_id获取用户类型
        if user_type == 3:
            for user in user_list:
                user_list_json.append(user.to_dict())
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list_json
            }
            return JsonResponse(data=data)
        else:
            user_token = request.query_params.get('token')
            user_id = UserToken.objects.get(token=user_token).user_id
            user_list = UserInfo.objects.get(id=user_id)
            data ={
                'code':2000,
                'msg':'success',
                'data':user_list.to_dict()
            }
            return JsonResponse(data=data)

class CBVlogin(APIView):

    def post(self,request,*args,**kwargs):  #登录学生信息
        # action = request._request.GET.get('action')  #query_params等于_request.GET,进到源码查看
        action = request.query_params.get('action')
        if action == 'login':
            ret = {'code':1000,'msg':None}
            try:
                user = request._request.POST.get('u_name')
                pwd = request._request.POST.get('u_password')
                obj = UserInfo.objects.filter(u_name=user,u_password=pwd).first()  #查找匹配用户
                if not obj:
                    ret['code'] = 1001
                    ret['msg'] = '用户名或密码错误'
                #为用户创建token
                # token = uuid(user)
                token = uuid.uuid4().hex
                #存在就更新,不存在就创建
                UserToken.objects.update_or_create(user=obj,defaults={'token':token})
                ret['token'] = token
            except Exception as e:
                ret['code'] = '1002'
                ret['msg'] = '请求异常'
            return JsonResponse(ret)

        elif action == 'regist':    #注册用户,根据用户名直接设置该用户的角色
            user_type_svip = ['cq','yyx']   #用户配置表可以放到一块,再引用过来
            user_type_vip = ['zjj','lfr']
            user = request._request.POST.get('u_name')
            pwd = request._request.POST.get('u_password')
            users = UserInfo()
            users.u_name = user
            users.u_password = pwd
            print(user,pwd)
            if user in user_type_svip:
                user_type = 3
                users.user_type = user_type
            elif user in user_type_vip:
                user_type = 2
                users.user_type = user_type
            else:
                user_type = 1
                users.user_type = user_type
            users.save()
            ret = {
                'code': 2000,
                'msg': '新增用户成功',
            }
            return JsonResponse(ret)

超时的效果图
在这里插入图片描述

知识点梳理:
    1、基本使用
    类:继承BaseThrottle ,实现:allow_request  wait
    类: 继承SimpleRateThrottle   实现:get_cache_key   scope = 'cc' ==>配置文件中的key
    
    2、局部
         throttle_classes = [VisitThrottle,]   #节流
         
    3、全局
    REST_FRAMEWORK = {
    'DEFAULT_THROTTL_RATES':{
      'cc':"3/m"                        #代码每一分钟访问3次,具体可以进到源码parse_rate查看设置方式
    },
}
Python接口自动化 提示身份未登录问题解决 (一)
weixin_44155710的博客
10-29 2087
Python接口自动化 提示身份未登录问题解决
【vue】推荐 --- vue 城市选择器的使用 element-china-area-data
四通一达小星星的博客
07-09 4653
vue 城市选择器的使用 element-china-area-data 参考手册:参考手册。 1. 安装 切到项目目录下使用命令进行依赖的安装: npm install element-china-area-data -S 在页面中导入需要使用的组件: import { provinceAndCityData, regionData, provinceAndCityDataPlus, regionDataPlus, CodeToText, TextToCode } from 'element
VanCascader默认值( 地址code转换)
qq_61947503的博客
10-27 1026
我在使用VanCascader的时候,发现页面刷新进入时组件没有默认值,提示的是placeholder“请输入地址”,但是我希望进去时显示我传入的值,如:“湖北省武汉市洪山区”,(code:110101),一般传入的是code值,故希望两者转化。代码说明:使用findOptionWithParents()获取你传入的modelValue值(如:”110101“),获取你所需要得到的option选项(’东城区‘),根据option获取父级(’北京市‘),父级的父级(’北京市‘),再根据join()拼接。
Element的部分组件回显
曳猫的博客
07-18 585
省市区的三级联动,后端只保存最后区的编号,也就是【110000,110100,110101】里的110101,回显的时候也是只需要110101就可以完成。 下拉框,回显也不需要整个对象,只需要value的值对的上即可。
正确地进行错误处理
了迹奇有没
09-16 995
http状态码是状态码,而不是错误码,是可以完全利用起来的。有的开发者认为,只要是预期内的错误,比如参数错误,都是可以用200返回的,然后在内部用isfailed来进行判断。目前国内的大小厂、第三方,都是统一返回200的,或许是出于一些业务考虑,可行,但并不一定最优。使用code在约定上会规范一些,更好统计。经过一些实践和积累,对错误处理进行阶段性的总结。结构体中,正确为统一一套结构体(业务返回)。预定义错误统一返回http状态码为400。其他(主要是500)为预期之外的异常。
django-rest-framework中的用户认证权限节流
wcw_____的博客
05-20 320
认证权限 用户注册 设计数据模型,设计字段标识用户权限 实际就是数据的添加 POST users 接收数据进行存储 增加了内置超级用户的功能 在创建(即用户注册)的时候去判断是否在超级用户表中 用户登录 POST users 添加区分方式,用来区分注册和登录 在query_params中添加action参数 通过action参数进行分支处理 脱离cookie session失效 设计令牌策略 用户在登录时生成令牌,后端存储在cache中,以json格式返回给前端 用户认证 继承自系统的基类Ba
django的rest framework框架——认证权限节流控制
weixin_30631587的博客
01-09 197
一、登录认证示例 模拟用户登录,获取token,当用户访问订单或用户中心时,判断用户携带正确的token,则允许查看订单和用户信息,否则抛出异常: from django.conf.urls import url from django.contrib import admin from api import views urlpatterns = [ u...
Django-drf架构 认证权限节流的详解
Fe_cow的博客
06-12 2984
Django-drf架构 认证权限节流的详解 一、Token认证: Token是服务端产生,如果前端使用用户名或密码向服务器请求认证,服务端认证成功,那么在服务端会返回Token给前端。前端可以在每次请求的时候带上Token证明自己的合法请求。如果Token在服务端持久化(比如存储Mysql或Redis中),那么它就是一个永久的身份令牌。 使用Token可以解决哪些问题? 1.Token完全由...
关于REST Framework认证分析
weixin_43972292的博客
03-21 403
首先一个请求会经过类视图的diapatch()方法,就以此方法为突破口,分析restFramework认证系统。 先将类视图代码贴一下: class Authentication(Object): def authenticate(self, request): # 内部进行验证,并返回一个元组 return (xx, xxx) # request.user, request....
Django Rest Framework(一 认证权限节流使用示例)
weixin_30372371的博客
01-24 184
路径:api\utils\auth.py from test_restful import models from django.http import JsonResponse from rest_framework.request import Request from rest_framework import exceptions from rest_frame...
drf认证节流权限、版本
adrian_boy的博客
11-16 289
Django rest framework 认证: 作用:验证用户是否登录 在视图类中写上authentication_classes = [ ],这是一个列表 需要实现 authenticate() 方法 应用 自定义验证 import jwt from rest_framework import exceptions from rest_framework.authentica...
django rest framework之部分组件
anchaoxi6967的博客
02-27 119
认证   在这里,笔者将登录与认证归一起,具体代码如下   视图函数 def md5(user):#用账户当参数 '''生成随机码''' import time import hashlib c_time = str(time.time()) m = hashlib.md5(bytes(user,encoding='utf-...
学习周报(rest_framework)
qq_40178082的博客
02-10 238
本周内容: 1. 认证 2. 权限 3. 节流(访问频率控制) 4. 版本 下周计划: 1. 版本 * 2. 解析器 * 3. 序列化 **** - 请求数据进行校验 - QuerySet进行序列化 4. 分页 ** 5. 路由 ** 6. 视图 ** 7. 渲染...
rest_framework之DRF十大组件
weixin_44139463的博客
08-04 451
认证 作用,检测用户是否登录 #自定义认证类(继承自object) class MyBaseAuthentication(Object): def authenticate(self, request): #完成认证逻辑 token = request._request.GET.get('token') user_token = LoginU...
Django中rest_framework的十大组件作用及使用方法
rt5476238的博客
08-04 1069
Django后端开发 后端为前端提供URL(API接口) 返回json数据 反射 对象有几种方法用来操作自己的属性或方法:getattr(object, name), hasattr(object, name), setattr(object, name, value), delattr(object, name) 1、有时我们要访问某个变量或是方法时并不知道到底有没有这个变量或方法,所以就要做...
初识django-rest_framework
chenGL
02-26 203
在开发django项目时,你可以使用rest_framework进行快速敏捷的开发。 django_rest_framework总结一下一般有如下几大功能 a、认证:有类,类中的方法authenticate/authenticate_header,它的返回值有None,元组,异常。如果返回值为None那就不管,它是匿名用户。 b、权限:有类,类中的方法:has_permission ...
Django Rest Framework 教程及API向导
03-30 285
Django Rest Framework 教程及API向导。 一、请求(Request)REST_FRAMEWORK 中的 Request 扩展了标准的HttpRequest,为 REST_FRAMEWORK增加了灵活的request解析和request认证。1、请求.data: 获取请求的主体,相当于request.POST和request.FILES.query_params:...
python 全栈开发,Day97(Token 认证的来龙去脉,DRF认证,DRF权限,DRF节流)
shykevin的博客
08-03 283
python 全栈开发,Day97(Token 认证的来龙去脉,DRF认证,DRF权限,DRF节流) 昨日内容回顾 1. 五个葫芦娃和三行代码 APIView(views.View) 1. 封装了Django的request - request.query_params --> 取URL中的参数 ...
Django rest framework系列学习
菲宇运维
09-17 590
Django rest framework(1)----认证 Django rest framework(2)----权限 Django rest framework(3)----节流 Django rest framework(4)----版本 Django rest framework(5)----解析器 Django rest framework(6)----序列化 Django...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值