drf认证组件

用户信息表

from django.db import models

from django.contrib.auth.models import AbstractUser

class User(AbstractUser):

    mobile = models.CharField(max_length=11,unique=True)

    class Meta:

        db_table = 'user'

        verbose_name = '用户表'

        verbose_name_plural = verbose_name

    def __str__(self):

        return self.username

源码分析

1.从APIView的dispath(self, request, *args, **kwargs)下手

2.dispath方法内 self.initial(request, *args, **kwargs) 进入三大认证

    认证组件:校验用户 —游客、合法用户、非法用户

    # 游客:代表校验通过,直接进入下一步校验(权限校验)

    # 合法用户:代表校验通过,将用户存储在request.user中,再进入下一步校验(权限校验)

    # 非法用户:代表校验失败,抛出异常,返回403权限异常结果

    self.perform_authentication(request)  #认证组件

      权限组件:校验用户权限 - 必须登录、所有用户、登录之后读写,游客只读、自定义用户角色

    # 认证通过:可以进入下一步校验(频率认证)

    # 认证失败:抛出异常,返回403权限异常结果

    self.check_permissions(request)   #权限组件

     频率组件:限制视图接口被访问的频率次数 - 限制的条件(IP、id、唯一键)、频率周期时间(s、m、h)、频率的次数(3/s)

    # 没有达到限次:正常访问接口

    # 达到限次:限制时间内不能访问,限制时间达到后,可以重新访问

    self.check_throttles(request)   #频率组件

分两方面:a,b

(a):在initial方法上面——这个是源码settings文件配置认证组件的地方

 def initialize_request(self, request, *args, **kwargs):

        """

        Returns the initial request object.

        """

        parser_context = self.get_parser_context(request)

        return Request(

            request,

            parsers=self.get_parsers(),

            authenticators=self.get_authenticators(),

            negotiator=self.get_content_negotiator(),

            parser_context=parser_context

        )
    def get_authenticators(self):

        return [auth() for auth in self.authentication_classes]

源码settings.py文件中APISettings类

DEFAULT_AUTHENTICATION_CLASSES': [

        'rest_framework.authentication.SessionAuthentication',  #session认证

        'rest_framework.authentication.BasicAuthentication'   #基础认证

    ]

(b):  self.inital(self,request,*args,**kwargs)    包含认证,权限,频率三大组件

    def initial(self, request, *args, **kwargs):

        """

        Runs anything that needs to occur prior to calling the method handler.

        """

        self.format_kwarg = self.get_format_suffix(**kwargs)

        # Perform content negotiation and store the accepted info on the request

        neg = self.perform_content_negotiation(request)

        request.accepted_renderer, request.accepted_media_type = neg

        # Determine the API version, if versioning is in use.

        version, scheme = self.determine_version(request, *args, **kwargs)

        request.version, request.versioning_scheme = version, scheme

        # Ensure that the incoming request is permitted

        self.perform_authentication(request)  #认证

        self.check_permissions(request)  #权限

        self.check_throttles(request)  #频率

(b---1):   self.perform_authentication(request)     认证

    def perform_authentication(self, request):

        """

        Perform authentication on the incoming request.

        Note that if you override this and simply 'pass', then authentication

        will instead be performed lazily, the first time either

        `request.user` or `request.auth` is accessed.

        """

        request.user

(b---2):Request类的  方法属性   user    的get方法

@property

    def user(self):

        """

        Returns the user associated with the current request, as authenticated

        by the authentication classes provided to the request.

        """

        if not hasattr(self, '_user'):

            with wrap_attributeerrors():

                self._authenticate()

        return self._user

(b---3):self._authenticate()

认证的细则:

    # 做认证

    def _authenticate(self):  #这里的self就是request

        # 遍历拿到一个个认证器,进行认证

        # self.authenticators配置的一堆认证类产生的认证类对象组成的 list
     # 即:[auth() for auth in self.authentication_classes]

        for authenticator in self.authenticators:

            try:

                # 认证器(对象)调用认证方法authenticate(认证类对象self, request请求对象)

                # 返回值:登陆的用户与认证的信息组成的 tuple

                # 该方法被try包裹,代表该方法会抛异常,抛异常就代表认证失败

                user_auth_tuple = authenticator.authenticate(self)

            except exceptions.APIException:

                self._not_authenticated()

                raise

            # 返回值的处理

            if user_auth_tuple is not None:

                self._authenticator = authenticator

                # 如何有返回值,就将 登陆用户 与 登陆认证 分别保存到 request.user、request.auth

                self.user, self.auth = user_auth_tuple

                return

        # 如果返回值user_auth_tuple为空,代表认证通过,但是没有 登陆用户 与 登陆认证信息,代表游客

        self._not_authenticated()

自定义认证类

从源码的settings文件可以看出,认证类需要继承BasicAuthentication(在authentication.py文件)

DEFAULT_AUTHENTICATION_CLASSES': [

        'rest_framework.authentication.SessionAuthentication',  #会重新开启CSRF认证

        'rest_framework.authentication.BasicAuthentication'

    ]
1) 创建继承BaseAuthentication的认证类

2) 重写authenticate方法

3) 实现体根据认证规则 确定游客、非法用户、合法用户 (根据自己的认证规则)

4) 进行全局或局部配置

认证规则

i.没有认证信息返回None(游客)

ii.有认证信息认证失败抛异常(非法用户)

iii.有认证信息认证成功返回用户与认证信息元组(合法用户)

utils.authentications.py

# 1)继承BaseAuthentication类

# 2)重写authenticate(self, request)方法,自定义认证规则

# 3)自定义认证规则基于的条件:

#       没有认证信息返回None(游客)

#       有认证信息认证失败抛异常(非法用户)

#       有认证信息认证成功返回用户与认证信息元组(合法用户)

# 4)完全视图类的全局(settings文件中)或局部(确切的视图类)配置

from rest_framework.authentication import BaseAuthentication

from rest_framework.exceptions import AuthenticationFailed   #异常接收

from app01 import models

#继承BaseAuthentication

class MyAuthentication(BaseAuthentication):

    """

        同前台请求头拿认证信息auth(获取认证的字段要与前台约定)

        没有auth是游客,返回None

        有auth进行校验

            失败是非法用户,抛出异常

            成功是合法用户,返回 (用户, 认证信息)

    """

    def authenticate(self, request):   #重写authenticate方法

    #前台在请求头携带认证信息,

    #且默认规范用 Authorization 字段携带认证信息,

    #后台固定在请求对象的META字段中 HTTP_AUTHORIZATION 获取

        #认证信息auth

        auth = request.META.get('HTTP_AUTHORIZATION',None)#处理游客

        if auth is None:

            return None

        #设置认证字段小规则(两段式):"auth 认证字符串" 在BasicAuthentication类中有规则范式

        auth_list = auth.split()     #校验是否还是非法用户,不是两段,第一段不是auth就是非法用户

        if not (len(auth_list) == 2 and auth_list[0].lower() == 'auth'):

            raise AuthenticationFailed('认证信息有误,非法用户')  #抛异常

        #校验认证信息第二段从auth_list[1]中解析出来

        # 注:假设一种情况,信息为abc.123.xyz,就可以解析出admin用户;实际开发,该逻辑一定是校验用户的正常逻辑

        if auth_list[1] != 'abc.123.xyz': #校验失败

            raise AuthenticationFailed('信息错误,非法用户')

        #最后再去数据库校验是否有此用户

        user = models.User.objects.filter(username='admin').first()

        if not user:

            raise AuthenticationFailed('用户数据有误,非法用户')

        return (user,None)

在settings文件中配置自定义认证组件

REST_FRAMEWORK = {

    # 认证类配置

    'DEFAULT_AUTHENTICATION_CLASSES': [

        'utils.authentications.MyAuthentication',

    ],

}

视图层:views.py

class TestAPIView(APIView):

    def get(self, request, *args, **kwargs):

        # 如果通过了认证组件,request.user就一定有值

        # 游客:AnonymousUser

        # 用户:User表中的具体用户对象

        print(request.user)

        return APIResponse(0, 'test get ok')

路由层:urls.py

urlpatterns = [

    url(r'^test/$', views.TestAPIView.as_view()),

]

注意使用Postman请求:

使用Postman的get请求,在自定义认证组件获取用户,在views视图通过request.user能打印出来

注意配置:

认证组件一般都是自定义的,不会使用原始的,自定义好需要在settings配置就是全局使用

drf权限组件

源码分析

1.   从APIView的dispatch开始

2.   dispatch 方法内   self.initial(request,*args,**kwargs)

3.   self.initial(request,*args,**kwargs)

    def initial(self, request, *args, **kwargs):

        """

        Runs anything that needs to occur prior to calling the method handler.

        """

        self.format_kwarg = self.get_format_suffix(**kwargs)

        # Perform content negotiation and store the accepted info on the request

        neg = self.perform_content_negotiation(request)

        request.accepted_renderer, request.accepted_media_type = neg

        # Determine the API version, if versioning is in use.

        version, scheme = self.determine_version(request, *args, **kwargs)

        request.version, request.versioning_scheme = version, scheme

        # Ensure that the incoming request is permitted

        self.perform_authentication(request)

        self.check_permissions(request)  #权限组件

        self.check_throttles(request)

4. self.check_permissions(request)  权限细节

  def check_permissions(self, request):

        # 遍历权限对象列表得到一个个权限对象(权限器),进行权限认证

        for permission in self.get_permissions():

            # 权限类一定有一个has_permission权限方法,用来做权限认证的

            # 参数:权限对象self、请求对象request、视图类对象

            # 返回值:有权限返回True,无权限返回False

            if not permission.has_permission(request, self):

                self.permission_denied(

                    request, message=getattr(permission, 'message', None)

                )

5.self.get_permissions()  获取权限类对象列表

    def get_permissions(self):

        """

        Instantiates and returns the list of permissions that this view requires.

        """

        return [permission() for permission in self.permission_classes]

6.self.permission_classes 获取权限settings源码配置

DEFAULT_PERMISSION_CLASSES': [

        'rest_framework.permissions.AllowAny',  #所有权限

    ]

在源码permissions.py中的系统自带权限类,这里举例四个

1)AllowAny: 默认是这个权限

    认证规则全部返还True:return True

        游客与登陆用户都有所有权限

2) IsAuthenticated:  常用这个

    认证规则必须有登陆的合法用户:return bool(request.user and request.user.is_authenticated)
                           有登录用户名并且认证成功

        游客没有任何权限,登陆用户才有权限

3) IsAdminUser:

    认证规则必须是后台管理用户:return bool(request.user and request.user.is_staff)

        游客没有任何权限,登陆用户才有权限

4) IsAuthenticatedOrReadOnly

    认证规则必须是只读请求或是合法用户:

        return bool(

            request.method in SAFE_METHODS or

            request.user and

            request.user.is_authenticated

        )

        游客只读,合法用户无限制
SAFE_METHODS = ('GET', 'HEAD', 'OPTIONS')

权限组使用:全局使用,局部使用

全局使用:默认全局配置的权限类是AllowAny,在settings文件中配置

REST_FRAMEWORK = {

    # 权限类配置

    'DEFAULT_PERMISSION_CLASSES': [

        'rest_framework.permissions.AllowAny',   #默认所有权限

    ],

}

局部使用:views.py

#只有登录后才能访问
from rest_framework.permissions import IsAuthenticated

class TestAuthenticatedAPIView(APIView):

    permission_classes = [IsAuthenticated]

    def get(self, request, *args, **kwargs):

        return APIResponse(0, 'test 登录才能访问的接口 ok')

自定义权限类

1) 创建继承BasePermission的权限类

2) 实现has_permission方法

3) 实现体根据权限规则 确定有无权限

4) 进行全局或局部配置

认证规则

i.满足设置的用户条件,代表有权限,返回True

ii.不满足设置的用户条件,代表有权限,返回False

utils.permissions.py

from rest_framework.permissions import BasePermission

from django.contrib.auth.models import Group

class MyPermission(BasePermission):

    def has_permission(self, request, view):

        # 只读接口判断

        r1 = request.method in ('GET', 'HEAD', 'OPTIONS')

        # group为有权限的分组

        group = Group.objects.filter(name='管理员').first()

        # groups为当前用户所属的所有分组

        groups = request.user.groups.all()

        r2 = group and groups

        r3 = group in groups

        # 读接口大家都有权限,写接口必须为指定分组下的登陆用户

        return r1 or (r2 and r3)

视图层:views.py     局部使用自定义的Mypermission来做权限认证

# 游客只读,登录用户只读,只有登录用户属于 管理员 分组,才可以增删改

from utils.permissions import MyPermission

class TestAdminOrReadOnlyAPIView(APIView):

    permission_classes = [MyPermission]

    # 所有用户都可以访问

    def get(self, request, *args, **kwargs):

        return APIResponse(0, '自定义读 OK')

    # 必须是 自定义“管理员”分组 下的用户

    def post(self, request, *args, **kwargs):

        return APIResponse(0, '自定义写 OK')

路由层:urls.py

urlpatterns = [

    url(r'^test3/$', views.TestAdminOrReadOnlyAPIView.as_view()),

]

Postman使用:

get请求:加不加Authorization,都可以读

post请求:不加Authorization,就不能进行写操作,必须要写Authorization

DRF框架(六)——三大认证组件之认证组件、权限组件的更多相关文章

  1. DRF框架(七) ——三大认证组件之频率组件、jwt认证

    drf频率组件源码 1.APIView的dispatch方法的  self.initial(request,*args,**kwargs)  点进去 2.self.check_throttles(re ...

  2. day 71 crm(8) 权限组件的设置,以及权限组件的应用

    ---恢复内容开始--- 前情提要: strak 组件是增删改查组件 , 生活中,需求权限组件,  不足: 1,前后端不分离,   2, 空url也会刷新界面,造成资源浪费   3,如果角色忘记设置权 ...

  3. Django-CRM项目学习(七)-权限组件的设置以及权限组件的应用

    开始今日份整理 1.利用自定制标签,增加展示权限,权限分级设定 1.1 在权限组件中创建自定义标签 使用自定义标签的目的,使各个数据进行分离 1.2 导入自定义标签包 自定义标签复习(自定义标签有三种 ...

  4. 【DRF框架】认证组件

    DRF框架的认证组件 核心代码:       self.perform_authentication(request)  框架自带模块:    from rest_framework import a ...

  5. DjangoRestFramework学习三之认证组件、权限组件、频率组件、url注册器、响应器、分页组件

    DjangoRestFramework学习三之认证组件.权限组件.频率组件.url注册器.响应器.分页组件   本节目录 一 认证组件 二 权限组件 三 频率组件 四 URL注册器 五 响应器 六 分 ...

  6. day91 DjangoRestFramework学习三之认证组件、权限组件、频率组件、url注册器、响应器、分页组件

    DjangoRestFramework学习三之认证组件.权限组件.频率组件.url注册器.响应器.分页组件   本节目录 一 认证组件 二 权限组件 三 频率组件 四 URL注册器 五 响应器 六 分 ...

  7. 20.DjangoRestFramework学习三之认证组件、权限组件、频率组件、url注册器、响应器、分页组件

    一 认证组件 1. 局部认证组件 我们知道,我们不管路由怎么写的,对应的视图类怎么写的,都会走到dispatch方法,进行分发, 在咱们看的APIView类中的dispatch方法的源码中,有个sel ...

  8. day 89 DjangoRestFramework学习三之认证组件、权限组件、频率组件、url注册器、响应器、分页组件

    DjangoRestFramework学习三之认证组件.权限组件.频率组件.url注册器.响应器.分页组件   本节目录 一 认证组件 二 权限组件 三 频率组件 四 URL注册器 五 响应器 六 分 ...

  9. drf框架 - 过滤组件 | 分页组件 | 过滤器插件

    drf框架 接口过滤条件 群查接口各种筛选组件数据准备 models.py class Car(models.Model): name = models.CharField(max_length=16 ...

  10. DRF框架和Vue框架阅读目录

    Vue框架目录 (一)Vue框架(一)——Vue导读.Vue实例(挂载点el.数据data.过滤器filters).Vue指令(文本指令v-text.事件指令v-on.属性指令v-bind.表单指令v ...

随机推荐

  1. Visual Studio 调试技巧---指针,元素个数

    刚才,我在Visual Studio 中发现了一个以更好的方式调试指针的技巧.您可以在监视窗口中选择“n”,其中“n”是要显示的元素数.我认为下图是不言而喻的.

  2. [RN] React Native 使用 阿里巴巴 矢量图标库 iconfont

    React Native 使用 阿里巴巴 矢量图标库 iconfont 文接上文: React Native 使用精美图标库react-native-vector-icons 本文主要讲述 如何 使用 ...

  3. 为什么需要cookie和session

     为什么需要cookie和session  在Web发展史中,我们知道浏览器与服务器间采用的是 http协议,而这种协议是无状态的,所以这就导致了服务器无法知道是谁在浏览网页,但很明显,一些网页需要知 ...

  4. OpenTK学习笔记:C#的中开发OpenGL程序的4种开源封包库SharpGL、CsGL、OpenTK、Tao框架的简单对比

    最近要在C#的语言环境下开发OpenGL程序,参考了网上的博客论坛http://www.cnblogs.com/hanyonglu/archive/2012/06/12/2546581.html,总结 ...

  5. jcenter下载不了时,用国内镜像下载解决

    修改build.gradle,以下是原本的配置信息 buildscript { repositories { google() jcenter() } dependencies { classpath ...

  6. golang调用c动态库

    golang调用c动态库 简介 golang调用c语言动态库,动态方式调用,可指定动态库路径,无需系统目录下 核心技术点 封装c动态库 go语言调用c代码 实例代码 封装c动态库 头文件 test_s ...

  7. docker配置阿里云的仓库源以及安装docker-compose

    [root@localhost mnt]# cat /etc/docker/daemon.json { "registry-mirrors": ["https://3la ...

  8. python安装 werkzeug

    1 pip install werkzeug     Werkzeug是一个WSGI工具包,他可以作为一个Web框架的底层库.这里稍微说一下, werkzeug 不是一个web服务器,也不是一个web ...

  9. Nginx的configure脚本支持选项整理

    在不同版本间,选项可能会有些许变化,请总是使用./configure –help命令来检查当前的选项列表. --prefix=<PATH> #Nginx安装路径.如果没有指定,默认为 /u ...

  10. linux命令(55):环境变量:LIBRARY_PATH 和 LD_LIBRARY_PATH的区别

    添加环境变量:https://www.cnblogs.com/lovychen/p/5583703.html PATH是可执行文件的环境变量. LIBRARY_PATH 和 LD_LIBRARY_PA ...