认证
- 先自定义认证的类
from rest_framework.authentication import BaseAuthentication
class MyOrderAuthentication(BaseAuthentication): 在这里实现认证的逻辑 def authenticate(self, request): token = request._request.GET.get('token') # 获取到token之后,需要在数据库中查找token obj = UserToken.objects.filter(token=token).first() if not obj: # 没有通过认证 raise AuthenticationFailed('认证失败') # 返回元组( user, auth ) return (obj.user, obj) - 使用局部配置(在view视图中)
class OrderView(APIView): 通过authentication_classes设置认证类 authentication_classes = [MyOrderAuthentication,] 通过authentication_classes设置为空列表,就不再进行认证了 authentication_classes = [] - 如果用全局的话就在settings中配置
首先要先建一个文件夹 将认证的类 放py文件 代码清晰 在settings中配置下路径
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES':['unitls.authentication.MyOrderAuthentication'],
}
- 设置匿名用户
REST_FRAMEWORK = {
'UNAUTHENTICATED_USER': lambda :"匿名用户", 'UNAUTHENTICATED_TOKEN': lambda :'123456', } 认证的流程
APIView中的as_view方法调用了父类的as_view方法-->然方法后调用dispatch方法-->执行dispatch方法-->执行完这个,得到封装之后Request对象--->获取认证类的列表-->然后执行initial方法--> 调用request的user 方法-->然后执行 self._authenticate方法
权限 跟认证类同
- 跟认证一样 自定义权限类
from rest_framework.permissions import BasePermission
class MyOrderPermission(BasePermission): #自定义权限认证的类,必须要实现has_permission方法 message = '你不是超级用户,没有权限访问' def has_permission(self, request, view): #Return `True` if permission is granted, `False` otherwise. #返回True表示有权限访问,返回False表示没有权限访问 if request.user.user_type != 3: return False return True - 局部使用
class OrderView(APIView): # permission_classes设置权限类 permission_classes = [MyOrderPermission,] # 通过authentication_classes设置为空列表,就不再进行权限认证了 permission_classes = [] - 全局的设定
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES':['unitls.permission.MyOrderPermission'],
}
- 权限的认证流程
APIView中的as_view方法调用了父类的as_view方法-->然方法后调用dispatch方法-->执行dispatch方法-->执行完这个,得到封装之后Request对象--->获取认证类的列表-->然后执行initial方法--> 调用request的user 方法-->然后执行 self._permission方法
节流
- 自定义节流类
class VisitThrottle(object): def allow_request(self, request, view): return True # False表示访问频率太高被限制 def wait(self): return None VISIT_RECORD = {}
class VisitThrottle(object): def __init__(self): self.history = None def allow_request(self,request,view): #实现节流的逻辑 #基于ip做节流 # #获取用户访问的IP地址 # ip_address = request._request.META.get('REMOTE_ADDR') ctime = time.time() # if ip_address not in VISIT_RECORD: # #第一次访问的时候将访问的时间存储在字典中(ip地址为Key,访问的时间为value值) # VISIT_RECORD[ip_address] = [ctime,] # # #第二次访问的时候取出访问的历史记录 # history = VISIT_RECORD[ip_address] # 基于用户的节流 username = request.user.username if username not in VISIT_RECORD: VISIT_RECORD[username] = [ctime, ] history = VISIT_RECORD[username] self.history = history while history and history[-1] < ctime - 10: #如果访问的时间记录超过60秒,就把超过60秒的时间记录移除 history.pop() if len(history) < 6: history.insert(0,ctime) return True return False def wait(self): #一旦用户访问次数到达阀值,显示用户需要等待的时间 ctime = time.time() #09:54:30 09:54:28 return 10 - (ctime - self.history[-1]) - 局部使用
class OrderView(APIView): # throttle_classes设置节流类 throttle_classes = [VisitThrottle,] - 全局使用
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_CLASSES':['unitls.throttle.VisitThrottle'],
}
- 使用DRF内置的限频类
from rest_framework.throttling import SimpleRateThrottle
#推荐使用这种
class VisitThrottle(SimpleRateThrottle): #没有登录用户,每分钟访问10次 scope = 'logined' def get_cache_key(self, request, view): return request.user.username - 全局使用
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_RATES':{
'unlogin':'10/m',
'logined':'3/m',
},
'DEFAULT_THROTTLE_CLASSES':['unitls.throttle.VisitThrottle'],
}作者:埃菲尔上的铁塔梦i
链接:https://www.jianshu.com/p/d0a8747d3f12
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。