认证是确定你是谁

权限是指你有没有访问这个接口的权限

限制主要是指限制你的访问频率

认证

REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。

接下类我们就自己动手实现一个基于Token的认证方案:

自定义Token认证

定义一个用户表和一个保存用户Token的表:

# 用户表

class UserInfo(models.Model):

    name = models.CharField(max_length=32)

    pwd = models.CharField(max_length=32)

    vip = models.BooleanField(default=False)

    token = models.CharField(max_length=128, null=True, blank=True)

视图:

定义一个登陆视图

class LoginView(APIView):

    def post(self, request):

        name = request.data.get('name')

        pwd = request.data.get('pwd')

        if name and pwd:

            user_obj = models.UserInfo.objects.filter(name=name, pwd=pwd).first()

            if user_obj:

                # 登陆成功

                # 生成token(时间戳 + Mac地址)

                token = uuid.uuid1().hex

                # 1.保存在用户表中

                user_obj.token = token

                user_obj.save()

                # 2.给用户返回

                return Response({'error_no': 0, 'token': token})

            else:

                # 用户名或密码错误

                return Response({'error_no': 1, 'error': '用户名或密码错误'})

        else:

            return Response('无效的参数')

定义一个认证类

from rest_framework.authentication import BaseAuthentication

from auth_demo import models

from rest_framework.exceptions import AuthenticationFailed # 抛错时使用

class MyAuth(BaseAuthentication):

    def authenticate(self, request):

        token = request.query_params.get('token')

        if token:

            # 如果请求的URL中携带了token参数

            user_obj = models.UserInfo.objects.filter(token=token).first()

            if user_obj:

                # token是有效的

                return user_obj, token  # request.user, request.auth

            else:

                raise AuthenticationFailed('无效的token')

        else:

            raise AuthenticationFailed('请求的URL中必须携带token参数')

视图级别的认证:

class TestAuthView(APIView):

    authentication_classes = [MyAuth, ]  # 局部配置认证

    permission_classes = [MyPermission, ]

    def get(self, request):

        print(request.user.name)

        print(request.auth)

        return Response('这个视图里面的数据只有登录后才能看到!')

全局级别认证

# 在settings.py中配置

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]

}

权限

只有VIP用户才能看的内容。

自定义一个权限类

from rest_framework.permissions import BasePermission

class MyPermission(BasePermission):

    message = '只有VIP才能访问'

    def has_permission(self, request, view):

         if not request.auth:  # 用户登录确认

              return False 

        # 如果你是VIP才有权限访问

        # request.user:当前经过认证的用户对象

        if request.user.vip:

            return True

        else:

            # 如果不是VIP就拒绝范围跟

            return False

视图级别认证:

class TestAuthView(APIView):

    authentication_classes = [MyAuth, ]  # 局部配置认证

    permission_classes = [MyPermission, ]  # 权限局部认证

    def get(self, request):

        print(request.user.name)

        print(request.auth)

        return Response('这个视图里面的数据只有登录后才能看到!')

全局级别设置

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

}

限制

自定义一个限制访问的类

import time

"""

自定义一个限制

"""

# 创建一个空的字典

visit = {} 

class BaseThrottle(object):

    def __init__(self):

        self.history = None

    def allow_request(self, request, view):

        ip = request.META.get('REMOTE_ADDR')  # 获取用户的ip地址

        now = time.time()  # 获取当前时间

        if ip not in visit:  # 第一次进来的时候 字典中没有以ip为key的键值对

            visit[ip] = []  # 创建一个以ip为key的键值对

        history = visit[ip]  # 如果不是第一次访问的话 获取一下以ip为key的对应的值

        self.history = history  # 因为wait方法中也会用到history的值,所以把history升级成类属性

        while history and now - history[-1] > 10:  # 循环判断一下 如果当前时间与history里面的最先插入的时间大于10秒

            history.pop()  # 就删除最后的先插入的那个数据

        if len(history) >= 3:  # 如果10秒内history里面的时间戳大于3个,表示查询过于频繁,限制一下,返回false

            return False

        else:  # 如果10秒钟内没有三个时间戳,再来访问的话是可以的,记录一下当前访问的时间戳

            history.insert(0, now)

            return True

    def wait(self):  # 这个方法主要是提示用户等待时间的

        now = time.time()  # 获取当前时间

        return self.history[-1]+10 - now  # 最早访问的时间减去当前时间

使用

局部使用

class TestView(APIView):

    authentication_classes = [Myauth, ]  # 用户身份验证

    permission_classes = [Permissions, ]  # 用户权限验证

    throttle_classes = [BaseThrottle, ]  # 用户访问频率限制

    def get(self, request):

        print(request.user)

        print(request.auth)

        return Response("这是会员才可以看到的画面")

全局使用

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],  #全局认证

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]  # 全局权限

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]  # 全局限制

}

使用内置限制类

 
from rest_framework.throttling import SimpleRateThrottle

class VisitThrottle(SimpleRateThrottle):

    scope = "xxx"

    def get_cache_key(self, request, view):

        return self.get_ident(request)
 

全局配置

 
# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    # "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],

    "DEFAULT_THROTTLE_RATES": {

        "xxx": "5/m",

    }

}

Django REST framework 之 认证 权限 限制的更多相关文章

  1. Django Rest framework 之 认证

    django rest framework 官网 django rest framework 之 认证(一) django rest framework 之 权限(二) django rest fra ...

  2. django rest framework用户认证

    django rest framework用户认证 进入rest framework的Apiview @classmethod def as_view(cls, **initkwargs): &quo ...

  3. Django rest framework 的认证流程(源码分析)

    一.基本流程举例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view() ...

  4. DRF Django REST framework 之 认证组件(五)

    引言 很久很久以前,Web站点只是作为浏览服务器资源(数据)和其他资源的工具,甚少有什么用户交互之类的烦人的事情需要处理,所以,Web站点的开发这根本不关心什么人在什么时候访问了什么资源,不需要记录任 ...

  5. Django REST Framework之认证组件

    什么是认证 认证即需要知道是谁在访问服务器,需要有一个合法身份.认证的方式可以有很多种,例如session+cookie.token等,这里以token为例.如果请求中没有token,我们认为这是未登 ...

  6. Django Rest Framework之认证

    代码基本结构 url.py: from django.conf.urls import url, include from web.views.s1_api import TestView urlpa ...

  7. 基于django rest framework做认证组件

    先导入要用到的类 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions ...

  8. 【django后端分离】Django Rest Framework之认证系统之redis数据库的token认证(token过期时间)

    1:登录视图 redis_cli.py文件: import redis Pool= redis.ConnectionPool(host='localhost',port=6379,decode_res ...

  9. 源码剖析Django REST framework的认证方式及自定义认证

    源码剖析Django REST framework的认证方式 在前面说过,请求到达REST framework的时候,会对request进行二次封装,在封装的过程中会对客户端发送过来的request封 ...

随机推荐

  1. Comet OJ - Contest #13

    Rank53. 第一次打这种比赛.还是有不少问题的,以后改吧. A题WA了两次罚了不少时. C写到一半发现只能过1,就先弃了. D一眼没看出来.第二眼看出来就是一个类似于复数的快速幂. 然后B切了. ...

  2. msql 事务

    START TRANSACTION      delete from t_emp    delete from t_deptcommit START TRANSACTION delete from t ...

  3. 7.jQuery之显示与隐藏效果

    这里用到三个函数方法:show()   hide()  toggle() 注意点是三个方法里面的两个参数的使用,前一个参数是时间,表示显示速度:后一个参数是回调函数,只有前面的动画执行完之后,回调函数 ...

  4. 安装linux mint后要做20件事

    Linux Mint 17 Qiana Cinnamon Linux Mint 17已经发布,定名为Qiana.Mint是Linux最佳发行版之一,它定位于桌面用户,关注可用性和简洁.它携带了风格迥异 ...

  5. SQL的编写顺序和执行顺序,以及空值处理,别名处理,转义字符处理

    SQL即结构化查询语言.也就是用来从数据库中操作数据的.数据总的来说就是增删改查CRUD. 一,sql的分类,大致有四类: 1)DDL : 数据定义语言 create alter drop trunc ...

  6. 表格强制换行 table-layout:fixed

    如果想要一个table固定大小,里面的文字强制换行(尤其是在一长串英文文本,并且中间无空格分隔的情况下),以达到使过长的文字不撑破表格的目的,一般是使用样式:table-layout:fixed.

  7. 286-基于6U VPX 的mSATA高性能数据存储板

    基于6U VPX 的mSATA高性能数据存储板 一.板卡概述 该产品系我司自主研发.基于标准6U VPX架构. 二.产品特性       最大存储容量8TB        读写方式RAID0 ,读写速 ...

  8. 001-SaltStack入门篇(一)之SaltStack部署

    早期运维工作中用过稍微复杂的Puppet,下面介绍下更为简单实用的Saltstack自动化运维的使用. Saltstack知多少Saltstack是一种全新的基础设施管理方式,是一个服务器基础架构集中 ...

  9. php set_magic_quotes_runtime() 函数过时解决方法

    PHP5.3中 bool set_magic_quotes_runtime ( bool $new_setting )函数过时.把函数: set_magic_quotes_runtime($newse ...

  10. 彻底解决 TypeScript 报错:“无法重新声明块范围变量”的问题

    背景 当使用 TypeScript + TSlint + Babel + Jest 搭建开发环境时,在开发过程中偶尔会被 IDE 提示「无法重新声明块范围变量」,从而导致编译出错,报错图示如下: 相关 ...