权限六表
入口
APIView => dispatch => 认证
1、APIView的dispatch
2、dispatch方法内 self.initial(request, *args, **kwargs) 进入三大认证
# 认证组件: 校验用户-游客、合法用户、非法用户
# 游客: 进入下一步校验(权限校验)
# 合法用户:通过,将用户存储在request.user中,在进入下一步校验 (权限校验)
# 非法用户: 校验失败,抛出异常返回403权限异常结果
self.perform_authentication(request)
# 权限组件: 校验用户权限- 必须登录、所有用户、登录读写游客只读、自定义用户角色
# 权限通过:可以进入下一步(频率认证)
# 权限失败:抛出异常,返回403权限异常
self.check_permissions(request)
# 频率组件:限制视图接口被访问频率次数-限制的条件(用户的ip、用户的唯一键)、频率周期时间、频率次数
# 没有达到限次:正常访问接口
# 达到限次:限制时间内不能访问,限制时间达到后可以访问
self.check_throttles(requets)
self.perform_authentication
request.user => Request user 方法 => _authenticated
self.authenticators 配置一推认证类产生的认证类对象组成的list
1)认证器对象调用认证方法authenticate(认证类对象self, request请求对象)
2) 返回值: 登录的用户与认证的信息组成的元组
authenticator.authenticate(self)
self.perform_authentication
request.user => Request user 方法 => _authenticated
self.authenticators 配置一推认证类产生的认证类对象组成的list
1)认证器对象调用认证方法authenticate(认证类对象self, request请求对象)
2) 返回值: 登录的用户与认证的信息组成的元组
authenticator.authenticate(self)
自定义认证类
# 1)继承BaseAuthentication类
# 2) 重写authenticate(self, request)方法,自定义认证规则
# 3) 认证规则基于的条件,
# 没有认证信息返回None(游客)
# 有认证信息返回用户与认证信息元组(合法用户)
# 4) 完成全局(settings文件中)或者局部配置(视图类类属性)
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from . import models
class MyAuthentication(BaseAuthentication):
def authenticate(self, request):
# 前台在请求头携带认证信息,且默认规范用Authorization 字段携带认证信息, 后台固定在请求对象的META字典中获取
auth = request.META.get('HTTP_AUTHORIZATION', None)
# 处理游客
if auth is None:
return None
# 设置一下 认证字段小规则(两段式): 'auth 认证字符串'
auth_list = auth.split()
# 校验合法还是非法用户
if not len(auth_list) == 2 and auth_list[0].lower() == 'auth':
raise AuthenticationFailed('认证信息有误,非法用户')
# 合法的用户信息还需要从auth_list[1]中解析出来
# 注:加色一种情况,信息为abc.123.xyz, 就可以解析出admin用户:实际开发,该逻辑一定是校验用户的正常逻辑
if auth_list[1] != 'abc.123.xyz':
raise AuthenticationFailed('用户校验失败,非法用户')
user = models.User.objects.filter(username='admin').first()
if not user:
raise AuthenticationFailed('用户信息有误, 非法用户')
return (user, None)
self.check_permission
入口
权限类一定有一个has_permission(request, self)用来做权限认证
参数: 权限对象self、请求对象request、视图类对象
返回值: 有权限返回True,无权限返回False
# 系统权限类
'''
1) AllowAny:
has_permission 直接return True
2) IsAuthenticated:
return bool(request.user and request.user is_authenticated)
必须有登录的合法用户
3)IsAdminUser:
return bool(request.user and request.user.is_staff)
后台管理用户
4) IsAuthenticatedOrReadOnly
return bool(
request.method in SAFF_METHODS or request.user and
request.user.is_authenticated)
游客只读,合法用户无限制
'''
自定义权限类
游客只读、登录用户只读,只有登录用户属于管理员分组,才可以增删改
from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group
class MyPermission(BasePermission):
def has_permission(self, request, view):
r1 = request.method in ('GET', 'HEAD', 'OPTIONS')
group = Group.objects.filter(name='管理员').first()
groups = request.user.groups.all()
r2 = group and groups
r3 = group in groups
r4 = request.user.groups.filter(name='管理员').exists()
return r1 or (r2 and r3)
自定义频率组件
check_throttles => get_throttles => allow_request =>
1、遍历配置的频率认证类,初始化得到一个个频率认证类对象 - 会调用频率认证类对象的 init方法
2、频率认类对象调用 allow_request方法,判断是否限次
3、频率认证类对象在限次后,调用wait方法,获取还需等待多长时间可以进行下一次访问
注:频率认证类都是集成SimpleRateThrottle
1、 自定义一个继承SimpleRateThrottle 类的频率类
2、 设置一个scope属性,属性值为任意见名知意的字符串
3、 在settings配置文件中,配置drf的DEFAULT_THROTTLE_RATES,格式为(scope字符串:'次数/时间')
4、 自定义频率类中重写 get_cache_key 方法
限制对象返回与限制信息有关的字符串
不限制的对象返回 None
from rest_framework.throttling import SimpleRateThrottle
class SMSRateThrottle(SimpleRateThrottle):
scope = 'sms'
# 支队提交手机的get方法进行限制
def get_cache_key(self, request, view):
mobile = request.query_params.get('mobile')
if not mobile:
return None
return 'throttle_%(scope)s_%(ident)s' % {'scope': self.scope, 'ident': mobile}
django缓存
1) 导包 from django.core import cache
添加缓存: cache.set(key, value, exp)
获取缓存: cache.get(key, default_value)
