三大认证

流程

  • 由于DRF中, 所有的视图类都要直接和间接继承APIView类, 也只有APIView类中才有dispatch方法, 所以所有的请求都要经过三大认证, 认证通过后执行相应请求的视图函数
def dispatch(self, request, *args, **kwargs):

 	"..."	

    try:

        # 三大认证

        self.initial(request, *args, **kwargs)

		"..."	

	except Exception as exc:

            # 异常处理

            response = self.handle_exception(exc)

def initial(self, request, *args, **kwargs):

    "..."	

    # 认证

    self.perform_authentication(request)

    # 权限

    self.check_permissions(request)

    # 频率

    self.check_throttles(request)
  1. 认证组件
  • 请求未携带token ==> 游客
  • 请求携带token
    • token认证通过 ==> 合法用户
    • token认证未通过 ==> 非法用户
  1. 权限组件
  • 游客权限
  • 登录用户权限
  1. 频率组件
  • 限制
  • 不限制

认证组件

  1. DRF认证类的默认配置
# rest_framework/settings.py

'DEFAULT_AUTHENTICATION_CLASSES': [

    	# 默认采用的session认证

        'rest_framework.authentication.SessionAuthentication',

        'rest_framework.authentication.BasicAuthentication'
  1. 自定义认证类
    1. 继承BaseAuthentication
    2. 重写authenticate方法
    3. 方法体
      1. 从请求头HTTP_AUTHORIZATION中拿token
      2. 没有token返回None, 游客
      3. 有token, 校验不通过, 抛AuthenticationFailed异常, 非法用户
      4. 有token, 校验通过, 返回(user, token), 合法用户
# authentications.py

from rest_framework.authentication import BaseAuthentication

from rest_framework.exceptions import AuthenticationFailed

# 自定义认证类继承BaseAuthentication

class MyAuthentication(BaseAuthentication):

    """

    1.从请求中获取token(一般是HTTP_AUTHORIZATION)

    2.token为None, 返回None, ==> 游客

    3.token不为None

        认证失败, raise AuthenticationFailed(''), ==> 非法用户

        认证通过, 返回(user, token)或者(user, None), ==> 合法用户

    """

    def authenticate(self, request):

        pass
  1. 全局配置认证类
# settings.py

REST_FRAMEWORK = {

    # 全局配置认证类

    'DEFAULT_AUTHENTICATION_CLASSES': [

        'api.authentications.MyAuthentication',

        'rest_framework.authentication.BasicAuthentication',

    ]

}

权限组件

  1. DRF权限类的默认配置
# rest_framework/settings.py

'DEFAULT_PERMISSION_CLASSES': [

	# 默认不做权限限制

    'rest_framework.permissions.AllowAny',

    ],

class AllowAny(BasePermission):

    def has_permission(self, request, view):

        return True

"""

DRF默认提供的些权限类:

    AllowAny:游客和登录用户有全权限

    IsAuthenticated:只有登录用户有全权限

    IsAdminUser:只有后台用户(admin用户)有全权限

    IsAuthenticatedOrReadOnly:游客有读权限,登录用户有全权限

"""
  1. 自定义权限类
    1. 继承BasePermission
    2. 重写has_permission方法
    3. 方法体
      1. 根据实际需求设置条件
      2. 返回True, 代表有权限
      3. 返回False, 代表无权限
# permissions.py

from rest_framework.permissions import BasePermission

# vip用户权限

class VipPermission(BasePermission):

    def has_permission(self, request, view):

        for group in request.user.groups.all():

            if group.name.lower() == 'vip':

                return True

        return False
  1. 局部配置权限类
# views.py

# 只有vip用户才能进行单查

class UserViewSet(ViewSet):

    # 局部配置权限类

    permission_classes = [permissions.VipPermission]

    def retrieve(self, request, *args, **kwargs):

        return APIResponse(results={

            'username': request.user.username,

            'email': request.user.email,

            'mobile': request.user.mobile

        })

频率组件

  1. 自定义频率组件

    1. 继承SimpleRateThrottle
    2. 设置 scope='xxx', xxx 对应的是在settings.py设置的频率 'xxx': '1/min'
    3. 重写get_cache_key方法
    4. 方法体:
      1. 返回None, 不做限制
      2. 返回self.cache_format, 有频率限行
# throttles.py

from rest_framework.throttling import SimpleRateThrottle

# 自定义频率限制类: 按照手机号限行

class MobileRateThrottle(SimpleRateThrottle):

    scope = 'mobile'

    def get_cache_key(self, request, view):

        # 匿名用户和没有手机号的不做限制

        if not request.user.is_authenticated or not request.user.mobile:

            return None  # 反正None就是不做限制

        return self.cache_format % {

            'scope': self.scope,

            'ident': request.user.mobile

        }


# settings.py

REST_FRAMEWORK = {

    # 频率类一般是局部配置, 但是频率调节在settings.py中配置

    'DEFAULT_THROTTLE_RATES': {

        'user': '5/min',

        'anon': '3/min',

        'mobile': '1/min'

    },

}

自定义token的签发

  • 要实现多方式登录, 一定要自定义token的签发
class LoginModelSerializer(serializers.ModelSerializer):

    username = serializers.CharField(max_length=12, min_length=3)

    password = serializers.CharField(min_length=6)

    class Meta:

        model = models.User

        fields = ('username', 'password')

    # 全局钩子完成token签发

    def validate(self, attrs):

        # 1.获取user对象

        user = self._validate_user(attrs)

        # 2.获取payload

        payload = jwt_payload_handler(user)

        # 3.获取token

        token = jwt_encode_handler(payload)

        # 4.将user和token保存到serializer对象中, 以便在视图类中使用

        self.content = {

            'user': user,

            'token': token

        }

        return attrs

    # 多方式登录

    def _validate_user(self, attrs):

        username = attrs.get('username')

        password = attrs.get('password')

        # 邮箱

        if re.match(r'.*@.*', username):

            user = models.User.objects.filter(email=username).first()

        # 手机号

        elif re.match(r'1[3-9][0-9]{9}$', username):

            user = models.User.objects.filter(mobile=username).first()

        # 用户名

        else:

            user = models.User.objects.filter(username=username).first()

        if not user or not user.check_password(password):

            raise serializers.ValidationError({'msg': '用户名或密码错误'})

        return user

DRF 08的更多相关文章

  1. $Django importlib与dir知识,手写配置文件, 配置查找顺序 drf分页器&drf版本控制

    1  importlib与dir知识 # importlib简介动态导入字符串模块 # 常规导入 from ss.aa import b from ss import a print(b,type(b ...

  2. python 全栈开发,Day104(DRF用户认证,结算中心,django-redis)

    考试第二部分:MySQL数据库 6.  MySQL中char和varchar的区别(1分) char是定长,varchar是变长. char的查询速度比varchar要快. 7.   MySQL中va ...

  3. python 全栈开发,Day99(作业讲解,DRF版本,DRF分页,DRF序列化进阶)

    昨日内容回顾 1. 为什么要做前后端分离? - 前后端交给不同的人来编写,职责划分明确. - API (IOS,安卓,PC,微信小程序...) - vue.js等框架编写前端时,会比之前写jQuery ...

  4. DRF的认证、权限 和 限制

    一.概述 认证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不能访问某个接 ...

  5. VUE+DRF系列

    vue基础系列 001 路飞学诚项目简介 002 Vue简介 003 Vue引入 004 文本指令 005 事件指令 006 斗篷指令 007 属性指令 008 表单指令 009 条件指令 010 路 ...

  6. drf源码剖析系列(系列目录)

    drf源码剖析系列(系列目录) 01 drf源码剖析之restful规范 02 drf源码剖析之快速了解drf 03 drf源码剖析之视图 04 drf源码剖析之版本 05 drf源码剖析之认证 06 ...

  7. 067.Python框架Django之DRF视图类

    一 关于视图类的一下概念 drf除了在数据序列化部分简写代码以外,还在视图中提供了简写操作.所以在django原有的django.views.View类基础上,drf封装了多个子类出来提供给我们使用. ...

  8. iOS系列 基础篇 08 文本与键盘

    iOS系列 基础篇 08 文本与键盘 目录: 1. 扯扯犊子 2. TextField 3. TextView 4. 键盘的打开和关闭 5. 打开/关闭键盘的通知 6. 键盘的种类 7. 最后再扯两句 ...

  9. javaEE基础08

    javaEE基础08 一.继承 特点:继承父类的属性和方法,单继承(多继承) 特性:方法的复写(重写) 比如:人可以养狗 人------>狗:整体和部分(拥有)关系 关键字:extends 结构 ...

随机推荐

  1. 22-2 模板语言的进阶和fontawesome字体的使用

    一  fontfawesome字体的使用 http://fontawesome.dashgame.com/ 官网 1 下载 2 放到你的项目下面 3 html导入这个目录 实例: class最前面的f ...

  2. Codeforces Round #591 (Div. 2, based on Technocup 2020 Elimination Round 1) 题解

    A..B略 C 对当前的值排序,再二分答案,然后对于(i%x==0 && i%y==0)放入大的,再放其他的贪心解决即可. #include<iostream> #incl ...

  3. oracle函数 RPAD(c1,n[,c2])

    [功能]在字符串c1的右边用字符串c2填充,直到长度为n时为止 [参数]C1 字符串 n 追加后字符总长度 c2 追加字符串,默认为空格 [返回]字符型 [说明]如果c1长度大于n,则返回c1左边n个 ...

  4. python 实现A*算法

    A*作为最常用的路径搜索算法,值得我们去深刻的研究.路径规划项目.先看一下维基百科给的算法解释:https://en.wikipedia.org/wiki/A*_search_algorithm A ...

  5. java文件操作 之 创建文件夹路径和新文件

    一:问题 (1)java 的如果文件夹路径不存在,先创建: (2)如果文件名 的文件不存在,先创建再读写;存在的话直接追加写,关键字true表示追加 (3)File myPath = new File ...

  6. H3C 广域网连接方式

  7. 【微信小程序】下载并预览文档——pdf、word、excel等多种类型

    .wxml文件 <view data-url="https://XXX/upload/zang." data-type="excel" catchtap= ...

  8. PHP 内存管理及垃圾回收机制

    PHP5的内存管理 对象传递 PHP5使用了Zend引擎II,对象被储存于独立的结构Object Store中,而不像其它一般变量那样储存于Zval中(在PHP4中对象和一般变量一样存储于Zval). ...

  9. C#的循环语句(一)

    循环:反复执行某段代码. 循环四要素:初始条件,循环条件,循环体,状态改变.for(初始条件;循环条件;状态改变) {循环体} for 格式: for(int i=1/*初始条件*/;0<=10 ...

  10. 谷歌浏览器中kindeditor编译器字体不能为微软雅黑的问题?

    https://segmentfault.com/q/1010000006204144 比如说用谷歌浏览器打开后台编译文章,在文章先选择字体为微软雅黑,再编辑其他,哪个字体就变成了&quot: ...