DRF组件总结

认证&权限

认证和权限是一起配合使用的。
可以再配置文件中settings配置全局默认的认证&权限


REST_FRAMEWORK = {
    # python中认证的配置
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.BasicAuthentication',   # 基本认证
        'rest_framework.authentication.SessionAuthentication',  # session认证
    )
    # python中权限的配置,如果没有指明,系统默认的权限是允许所有人访问的
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.AllowAny',
    )
}

也可以在每个视图中通过设置authentication_classess属性来设置

# 从DRF框架中导入包authentication
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView

class ExampleView(APIView):
    # 在子应用中定义authentication_classes,可以写一个也可以写多个
    # authentication_classes = (SessionAuthentication, BasicAuthentication)
    # 配合权限来使用我们写一个。
    authentication_classes = [SessionAuthentication]
  

认证失败会有两种可能的返回值:

401 Unauthorized 未认证
403 Permission Denied 权限被禁止

也可以在具体的视图中通过permission_classes属性来设置,如

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView

class ExampleView(APIView):
    # 设置允许登录用户来进行访问。
    permission_classes = (IsAuthenticated,)
    ...
提供的权限

1.AllowAny 允许所有用户
2.IsAuthenticated 仅通过认证的用户
3.IsAdminUser 仅管理员用户
4.IsAuthenticatedOrReadOnly 认证的用户可以完全操作,否则只能get读取

我们也可以自己定义权限

如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部

.has_permission(self, request, view)

是否可以访问视图, view表示当前视图对象,如果没有设置的话默认的是True,如果设置
False则表示所有的用户都不能访问该视图

.has_object_permission(self, request, view, obj)

是否可以访问数据对象, view表示当前视图, obj为数据对象,控制视图能够访问添加了权限控制类的数据对象

class MyPermission(BasePermission):
    def has_permission(self, request, view)
        """让所有用户都有权限"""
        return True
    def has_object_permission(self, request, view, obj):
        """用户是否有权限访问添加了权限控制类的数据对象"""
        # 需求:用户能够访问id为1,3的对象,其他的不能够访问
        if obj.id in (1, 3):
            return True
        else:
            return False

class BookInfoViewSet(ModelViewSet):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    # 表示登录有权限
    permission_classes = [IsAuthenticated]
    # 表示所有用户都有权限,只能够访问id 为1,3的数据
    permission_classes = [MyPermission]
   

节流

源码流程

和认证的流程一样,进入initial(request)
其中check_throttles(request)是节流的函数
allow_request()就是节流函数(要复写)(get_throttles循环所有节流类)
VisitThrottle自定义权限类
allow_request()返回值:

True, 允许访问
False, 访问太频繁
wait()返回值:
返回一个整数,表示下次还有多久可以访问

使用自定义类

class VisitThrottle(BaseThrottle):
    def __init__(self):
        self.history = []

    def allow_request(self, request, view):
        remote_addr = request.META.get('REMOTE_ADDR')
        ctime = time.time()
        if remote_addr not in VISIT_RECORD:
            print("没有此IP")
            VISIT_RECORD[remote_addr] = [ctime, ]
            return True

        history = VISIT_RECORD.get(remote_addr)

        print(history)

        while history and history[-1] < ctime-8:
            history.pop()

        self.history = history
        if len(history) < 3:
            history.insert(0, ctime)
            return True

    def wait(self):

        ctime = time.time()
        return 8-(ctime-self.history[-1])

在定义的类中复写allow_request方法,返回True或者False表示可以访问或者访问频率太高
引入

1.全局

# settings.py
'DEFAULT_THROTTLE_CLASSES': ['apps.api.utils.throttle.UserThrottle'],

2.局部

class AuthView(APIView):
    """
    用于用户登录认证
    """
    throttle_classes = [VisitThrottle,]

自定义类继承内置类

# throttle.py
from rest_framework.throttling import  SimpleRateThrottle
class VisitThrottle(SimpleRateThrottle):
    scope = "Vistor"

    def get_cache_key(self, request, view):
        return self.get_ident(request)

class UserThrottle(SimpleRateThrottle):
    scope = "User"

    def get_cache_key(self, request, view):
        return self.user.username

scope从settings.py中寻找DEFAULT_THROTTLE_RATES字典的Key,就是访问频率限制,scope可以区分不同的函数的不同限制;get_cache_key(self, request, view)返回一个唯一标示用以区分不同的用户,对于匿名用户返回IP保存到缓存中限制访问,对于注册的用户取用户名(唯一)来区分就可以。

# settings.py
    'DEFAULT_THROTTLE_RATES': {
      'Vistor': '3/m',
      'User': '10/m'
    },

版本

源码流程

1.和认证的流程一样,进入initial(request)
在认证,权限,节流前先执行了这两句函数,获取到version,scheme,并分别赋值给request对象的version, versioning_scheme属性

# 获取版本(version)和scheme
        version, scheme = self.determine_version(request, *args, **kwargs) 
        request.version, request.versioning_scheme = version, scheme

进入determine_version()函数

  scheme = self.versioning_class()
        return (scheme.determine_version(request, *args, **kwargs), scheme)

在这里获取到scheme就是api_settings.DEFAULT_VERSIONING_CLASS,系统默认版本控制类,那scheme.determine_version(request, *args, kwargs) 就是该类下的一个方法
查看rest_framework库的一个自带类中的determine_version方法

class QueryParameterVersioning(BaseVersioning):
    """
    GET /something/?version=0.1 HTTP/1.1
    Host: example.com
    Accept: application/json
    """
    invalid_version_message = _('Invalid version in query parameter.')

    def determine_version(self, request, *args, **kwargs):
        version = request.query_params.get(self.version_param, self.default_version)
        if not self.is_allowed_version(version):
            raise exceptions.NotFound(self.invalid_version_message)
        return version

返回的是版本号。于是version, scheme分别是版本号和一个版本控制类,并分别赋值给request对象的version, versioning_scheme属性。

使用

1.定义一个版本类,重写determine_version方法,返回版本号

    def determine_version(self, request, *args, **kwargs):

        version = request.query_params.get('version')
        return version

2.局部使用
相关业务

class UsersView(APIView):
    versioning_class = ParamVersion

    def get(self, request, *args, **kwargs):
        # 获取版本
        self.dispatch
        print(request.version)
        # 获取版本处理对象
        # print(request.versioning_scheme)
        # u1 = request.versioning_scheme.reverse('api:uuu', request=request)
        # print("u1:", u1)
        # u2 = reverse('api:uuu', kwargs={'version': 1})
        # print("u2:", u2)
        return HttpResponse('用户列表')

3.全局使用

  'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning', # 默认版本类
    'DEFAULT_VERSION': 'v1',  # 默认版本
    'ALLOWED_VERSIONS': ['v1', 'v2'],  # 允许的版本
    'VERSION_PARAM': 'version'  ,# URL中获取值的key
}

内置类的使用

1.放到url后作为get参数

http://127.0.0.1:8000/api/users/?version=v1
from rest_framework.versioning import QueryParameterVersioning
class UsersView(APIView):
    versioning_class = QueryParameterVersioning

    def get(self, request, *args, **kwargs):
        # 获取版本
        self.dispatch
        print(request.version)
        # 获取版本处理对象
        # print(request.versioning_scheme)
        # u1 = request.versioning_scheme.reverse('api:uuu', request=request)
        # print("u1:", u1)
        # u2 = reverse('api:uuu', kwargs={'version': 1})
        # print("u2:", u2)
        return HttpResponse('用户列表')

2.用正则匹配

 re_path(r'^(?P<version>[v1|v2]+)/users/', views.UsersView.as_view(), name="uuu"),
from rest_framework.versioning import URLPathVersioning
class UsersView(APIView):
    versioning_class = URLPathVersioning

    def get(self, request, *args, **kwargs):
        # 获取版本
        self.dispatch
        print(request.version)
        # 获取版本处理对象
        # print(request.versioning_scheme)
        # u1 = request.versioning_scheme.reverse('api:uuu', request=request)
        # print("u1:", u1)
        # u2 = reverse('api:uuu', kwargs={'version': 1})
        # print("u2:", u2)
        return HttpResponse('用户列表')

request.versioning_scheme.reverse方法可以获取路由,是drf中的方法
django.urls.reverse 是django中的反向获取路由方法

u1: http://127.0.0.1:8000/api/v1/users/
u2: /api/1/users/

解析器

1.本质
· 请求头
· 状态吗
· 请求方法
2.源码流程
· dispatch : request封装
· request.data

使用

1.局部

from rest_framework.parsers import JSONParser, FormParser
class ParserView(APIView):
    parser_classes = [JSONParser]
    """
    JSONParser: 表示只能解析 application/json 请求头
    FormParser: 表示只能解析 application/x-www-form-urlencoded 请求头
    """
    def post(self, request, *args, **kwargs):
        """
        允许用户发送JSON格式的数据
            a. content-type: application/json
            b. {"name": 'alex', "age": 18}
        :param request:
        :param args:
        :param kwargs:
        :return:
        """
        """
        1. 获取用户请求
        2. 获取用户请求体
        3. 根据用户请求头和 parser_classes = [JSONParser, FormParser] 中支持的请求头进行比较
        4. JSONParser对象中去请求体
        5. request.data
        """
        print(request.data)
        return HttpResponse('JSON测试')

2.全局

# 全局使用
REST_FRAMEWORK = {
"DEFAULT_PARSER_CLASSES":  ["rest_framework.JSONParser", "rest_framework.FormParser"]
}
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容