8） drf 三大认证 认证 权限 频率

一、三大认证功能分析

1）APIView的 dispath(self, request, *args, **kwargs)
2）dispath方法内 self.initial(request, *args, **kwargs) 进入三大认证
    # 认证组件：校验用户 - 游客、合法用户、非法用户
    # 游客：代表校验通过，直接进入下一步校验（权限校验）
    # 合法用户：代表校验通过，将用户存储在request.user中，再进入下一步校验（权限校验）
    # 非法用户：代表校验失败，抛出异常，返回403权限异常结果
    # 只要通过认证不管是游客还是登录用户，request.user都有值
    self.perform_authentication(request)
 
    # 权限组件：校验用户权限 - 必须登录、所有用户、登录读写游客只读、自定义用户角色
    # 认证通过：可以进入下一步校验（频率认证）
    # 认证失败：抛出异常，返回403权限异常结果
    self.check_permissions(request)
 
    # 频率组件：限制视图接口被访问的频率次数 - 限制的条件(IP、id、唯一键)、频率周期时间(s、m、h)、频率的次数（3/s）
    # 没有达到限次：正常访问接口
    # 达到限次：限制时间内不能访问，限制时间达到后，可以重新访问
    self.check_throttles(request)

二、认证组件

认证组件：校验认证字符串，得到request.user
    没有认证字符串，直接放回None，游客
    有认证字符串，但认证失败抛异常，非法用户
    有认证字符串，且认证通过返回 用户,认证信息 元组，合法用户
        用户存放到request.user | 认证信息存放到request.auth

1.源码分析1

点进 self.perform_authentication(request) 
发现只有request.user，
也没有接收这个值也没有返回，那么这一定是个方法，一定调取了某个函数，不然还怎么玩
那么我们就思考request是谁的？往前面找发现在dispath中 
request = self.initialize_request(request, *args, **kwargs)，
也就是说能走到认证这一步，request已经完成二次封装，那必然是drf自己的，我们到drf的request中找

drf的 request.py / Request / user(self)

drf下request.py下Request类中有两个user，因为没有值所以肯定走得是get即user（self），如果是request.user = 111，那就是走set即user（self，value）
 
Request类的 方法属性 user 的get方法 => self._authenticate() 完成认证

    def user(self):
        if not hasattr(self, '_user'):
            with wrap_attributeerrors():
                # 没用户，认证出用户
                self._authenticate()  # 点进去
        # 有用户直接返回
        return self._user

认证的细则：
    # 做认证
    def _authenticate(self):
        # 遍历拿到一个个认证器，进行认证
        # self.authenticators是配置的一堆认证类，产生的认证类对象，组成的 list，一堆认证器
        for authenticator in self.authenticators: # 这个在request下面肯定self就是requst对象的，我们还去diepatch中找二次封装的request
            try:
                # 认证器(对象)调用认证方法authenticate(认证类对象self, request请求对象)
                # 返回值：登陆的用户与认证的信息组成的 tuple
                # 该方法被try包裹，代表该方法会抛异常，抛异常就代表认证失败
                user_auth_tuple = authenticator.authenticate(self)
            except exceptions.APIException:
                self._not_authenticated()
                raise
 
            # 返回值的处理
            if user_auth_tuple is not None:
                self._authenticator = authenticator
                # 解压赋值，如何有返回值，就将 登陆用户 与 认证信息 分别保存到 request.user、request.auth
                self.user, self.auth = user_auth_tuple
                return  # 这里有return 说明有返回值就直接结束了，不会走下面的代码
        # 如果返回值user_auth_tuple为空，代表认证通过，但是没有 登陆用户 与 登陆认证信息，代表游客
        self._not_authenticated()

2. request 源码分析2

dispatch

 request = self.initialize_request(request, *args, **kwargs)  # 点进去

   def initialize_request(self, request, *args, **kwargs):
        parser_context = self.get_parser_context(request)
        return Request(
            request,
            parsers=self.get_parsers(),
            authenticators=self.get_authenticators(), # 点进去
            negotiator=self.get_content_negotiator(),
            parser_context=parser_context
        )

    def get_authenticators(self):
        return [auth() for auth in self.authentication_classes] # 从一堆认证类中遍历出每一个类，类加括号实例化成一个个认证器对象，即一堆认证器

class APIView(View):
          　　　　 ...
    authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES  # 最终来到APIView源码顶部的一大堆类属性，这些东西一定在drf的settings里面
    　　　　　　　　...

'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication'
    ],  # 在drf的配置里我们找到这个，直接拿走放进我们项目的settings里面，之后开始定制

3. 原生配置 源码分析3

我们分析上面两个配置的源码学习套路来自定义

rest_framework / authentication.py / SessionAuthentication

    def authenticate(self, request):
        #解析出了用户
        user = getattr(request._request, 'user', None)
 
        #没有解析出用户返回None
        if not user or not user.is_active:
            return None
 
        # 解析出用户后，重新启用csrf认证，所以以后我们不用session认证，因为他需要csrf来解码
        # 如果scrf认证失败，就会异常，就是非法用户
        self.enforce_csrf(request)
 
        # csrf通过，就是合法用户,返回用户和none
        return (user, None)

rest_framework / authentication.py / BasicAuthentication

    def authenticate(self, request):
        # 获取认证信息，该认证信息是两段式，合法格式是 ‘basic 认证字符串’
        auth = get_authorization_header(request).split()
 
        # 没有认证信息就是游客
        if not auth or auth[0].lower() != b'basic':
            return None
 
        # 有认证信息，信息有误就是非法用户
        if len(auth) == 1:
            msg = _('Invalid basic header. No credentials provided.')
            raise exceptions.AuthenticationFailed(msg)
        # 超过两段，也抛异常
　　　　　elif len(auth) > 2:
            msg = _('Invalid basic header. Credentials string should not contain spaces.')
            raise exceptions.AuthenticationFailed(msg)
 
        try:
            auth_parts = base64.b64decode(auth[1]).decode(HTTP_HEADER_ENCODING).partition(':')
        except (TypeError, UnicodeDecodeError, binascii.Error):
            msg = _('Invalid basic header. Credentials not correctly base64 encoded.')
            raise exceptions.AuthenticationFailed(msg)
 
        userid, password = auth_parts[0], auth_parts[2]
        # 认证信息处理出用户主键和密码，进一步得到用户对象
        # 得不到或是非活跃用户，代表非法，一切正常才代表 合法用户
        return self.authenticate_credentials(userid, password, request)

    def authenticate_credentials(self, userid, password, request=None):
        credentials = {
            get_user_model().USERNAME_FIELD: userid,
            'password': password
        }
        user = authenticate(request=request, **credentials)
 
        # 得不到或是非活跃用户，代表非法，一切正常才代表合法用户
        if user is None:
            raise exceptions.AuthenticationFailed(_('Invalid username/password.'))
 
        if not user.is_active:
            raise exceptions.AuthenticationFailed(_('User inactive or deleted.'))
 
        return (user, None)

4.自定义认证类

1) 创建继承BaseAuthentication的认证类
2) 重写authenticate(self, request)方法，自定义认证规则
3) 实现体根据认证规则 确定游客、非法用户、合法用户
        认证规则：
            i.没有认证信息返回None(游客)
            ii.有认证信息认证失败抛异常(非法用户)
            iii.有认证信息认证成功返回用户与认证信息元组(合法用户)
4) 完成视图类的全局(settings文件中)或局部(确切的视图类)配置

5. 自定义认证类例子

新建 authentications.py

from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from . import models
class MyAuthentication(BaseAuthentication):
    """
    同前台请求头拿认证信息auth（获取认证的字段要与前台约定）
    没有auth是游客，返回None
    有auth进行校验
        失败是非法用户，抛出异常
        成功是合法用户，返回 (用户, 认证信息)
    """
    def authenticate(self, request):
        # 前台在请求头携带认证信息，
        #       且默认规范用 Authorization 字段携带认证信息，
        #       后台固定在请求对象的META字段中 HTTP_AUTHORIZATION 获取
        auth = request.META.get('HTTP_AUTHORIZATION', None)
 
        # 处理游客
        if auth is None:
            return None
 
        # 设置一下认证字段小规则(两段式)："auth 认证字符串"
        auth_list = auth.split()
 
        # 校验合法还是非法用户
        if not (len(auth_list) == 2 and auth_list[0].lower() == 'auth'):
            raise AuthenticationFailed('认证信息有误，非法用户')
 
        # 合法的用户还需要从auth_list[1]中解析出来
        # 注：假设一种情况，信息为abc.123.xyz，就可以解析出admin用户；实际开发，该逻辑一定是校验用户的正常逻辑
        if auth_list[1] != 'abc.123.xyz':  # 校验失败
            raise AuthenticationFailed('用户校验失败，非法用户')
 
        user = models.User.objects.filter(username='admin').first()  # 这里是示范，写死了找这个用户
 
        if not user:
            raise AuthenticationFailed('用户数据有误，非法用户')
        return (user, None)

api / views.py

from rest_framework.views import APIViewfrom utils.response import APIResponse
 
class TestAPIView(APIView):
    def get(self, request, *args, **kwargs):
        # 如果通过了认证组件，request.user就一定有值
        # 游客：AnonymousUser
        # 用户：User表中的具体用户对象
        print(request.user)  # admin
        return APIResponse(0, 'test get ok')

settings.py

# drf配置
REST_FRAMEWORK = {
    # 全局配置异常模块
    'EXCEPTION_HANDLER': 'utils.exception.exception_handler',
    # 认证类配置
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # 'rest_framework.authentication.SessionAuthentication',
        # 'rest_framework.authentication.BasicAuthentication',
        'api.authentications.MyAuthentication',
    ],
    # 权限类配置
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
    ],
}

子路由

from django.conf.urls import url
from . import views
urlpatterns = [
    url(r'^test/$', views.TestAPIView.as_view()),
    url(r'^test1/$', views.TestAuthenticatedAPIView.as_view()),
    url(r'^test2/$', views.TestAuthenticatedOrReadOnlyAPIView.as_view()),
    url(r'^test3/$', views.TestAdminOrReadOnlyAPIView.as_view()),
]

# 家庭作业
# 1) 可以采用脚本基于auth组件创建三个普通用户：models.User.objects.create_user()
#         注：直接写出注册接口更好
# 2) 自定义session表：id,u_id,token，为每个用户配置一个固定人认证字符串，可以直接操作数据库
#         注：在注册接口中实现更好
# 3) 自定义认证类，不同的token可以校验出不同的登陆用户

三、权限组件

1.源码分析1

　　# 入口 dispatch三大认证中：
    self.check_permissions(request)
    认证细则：
    def check_permissions(self, request):
        # 遍历权限对象列表得到一个个权限对象(权限器)，进行权限认证
        for permission in self.get_permissions():
            # 权限类一定有一个has_permission权限方法，用来做权限认证的
            # 参数：权限对象self、请求对象request、视图类对象
            # 返回值：有权限返回True，无权限返回False
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

def get_permissions(self):
        # 全局局部配置
        return [permission() for permission in self.permission_classes] # 从一堆权限类中遍历出每一个类，类加括号实例化成一个个权限器对象，即一堆权限器

class APIView(View):
 
　　　　　　　　　　...
    permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES  # 最终来到APIView源码顶部的一大堆类属性，这些东西一定在drf的settings里面

　　　　　　　　　　...

'DEFAULT_PERMISSION_CLASSES': [
    'rest_framework.permissions.AllowAny',
],

# 在drf的配置里我们找到这个，直接拿走放进我们项目的settings里面，之后开始定制

2. 源码分析3 — 四种权限

rest_framework / permissions 里面有四个类

1）AllowAny：（默认规则）
    认证规则全部返还True：return True
        游客与登陆用户都有所有权限
 
2) IsAuthenticated：
    认证规则必须有登陆的合法用户：return bool(request.user and request.user.is_authenticated)
        游客没有任何权限，登陆用户才有权限
 
3) IsAdminUser：
    认证规则必须是后台管理用户：return bool(request.user and request.user.is_staff)
        游客没有任何权限，登陆用户才有权限
 
4) IsAuthenticatedOrReadOnly
    认证规则必须是只读请求或是合法用户：
        return bool(
            request.method in SAFE_METHODS or
            request.user and
            request.user.is_authenticated
        )
        游客只读，合法用户无限制

注：SAFE_METHODS = ('GET', 'HEAD', 'OPTIONS')

3.应用上面四个类 设置局部权限

# api/views.py

# 必须登录才能访问
from rest_framework.permissions import IsAuthenticated
class TestAuthenticatedAPIView(APIView):
    permission_classes = [IsAuthenticated]  # 局部配置，只有一站式网站例如邮箱才会采用全局配置IsAuthenticated
    # 当定义全局必须登录才能访问情况下，个别接口不需要登录，只需局部配置 permission_classes = []或 permission_classes = [AllowAny]即可
    def get(self, request, *args, **kwargs):
        return APIResponse(0, 'test 登录才能访问的接口 ok')
 
# 游客只读，登录无限制
from rest_framework.permissions import IsAuthenticatedOrReadOnly
class TestAuthenticatedOrReadOnlyAPIView(APIView):
    permission_classes = [IsAuthenticatedOrReadOnly]
 
    def get(self, request, *args, **kwargs):
        return APIResponse(0, '读 OK')
 
    def post(self, request, *args, **kwargs):
        return APIResponse(0, '写 OK')

# settings.py

# 默认全局配置的权限类是AllowAny
REST_FRAMEWORK = {
    # 权限类配置
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
    ],
}

4.自定义权限类

除了上面四个类的权限，我们往往有更高的更复杂的权限需求，这就需要自定义权限了

1) 创建继承BasePermission的权限类
2) 实现has_permission方法
3) 实现体根据权限规则 确定有无权限
4) 进行全局或局部配置
 
认证规则
i.满足设置的用户条件，代表有权限，返回True
ii.不满足设置的用户条件，代表有权限，返回False

# utils/permissions.py

from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group
class MyPermission(BasePermission):
    def has_permission(self, request, view):
        # 只读接口判断
        r1 = request.method in ('GET', 'HEAD', 'OPTIONS')
        # group为有权限的分组
        group = Group.objects.filter(name='管理员').first()
        # groups为当前用户所属的所有分组
        groups = request.user.groups.all()
        r2 = group and groups
        r3 = group in groups
        # 读接口大家都有权限，写接口必须为指定分组下的登陆用户
        return r1 or (r2 and r3)

api / views.py

# 游客只读，登录用户只读，只有登录用户属于 管理员 分组，才可以增删改
from utils.permissions import MyPermission
class TestAdminOrReadOnlyAPIVie
w(APIView):
    permission_classes = [MyPermission]
    # 所有用户都可以访问
    def get(self, request, *args, **kwargs):
        return APIResponse(0, '自定义读 OK')
    # 必须是 自定义“管理员”分组 下的用户
    def post(self, request, *args, **kwargs):
        return APIResponse(0, '自定义写 OK')

四、频率组件 限制接口的访问频率

源码分析：初始化方法、判断是否有权限方法、计数等待时间方法

1. 入口源码分析

# 1）APIView的dispath方法中的 self.initial(request, *args, **kwargs) 点进去
# 2）self.check_throttles(request) 进行频率认证
 
# 频率组件核心源码分析
def check_throttles(self, request):
    throttle_durations = []
    # 1）遍历配置的频率认证类，初始化得到一个个频率认证类对象（会调用频率认证类的 __init__() 方法）
    # 2）频率认证类对象调用 allow_request 方法，判断是否限次（没有限次可访问，限次不可访问）
    # 3）频率认证类对象在限次后，调用 wait 方法，获取还需等待多长时间可以进行下一次访问
    # 注：频率认证类都是继承 SimpleRateThrottle 类
    for throttle in self.get_throttles():
        if not throttle.allow_request(request, self):
            # 只要超出频率限制了，allow_request 返回False了，才会调用wait，即得到需要等待的时间
            throttle_durations.append(throttle.wait())
            if throttle_durations:
                durations = [
                    duration for duration in throttle_durations
                    if duration is not None
                ]
                duration = max(durations, default=None)
                self.throttled(request, duration)

# 点进去来到这里，我们再去api_settings看一看
class APIView(View):
            ...
    throttle_classes = api_settings.DEFAULT_THROTTLE_CLASSES
            ...

'DEFAULT_PERMISSION_CLASSES': [],  # 默认配置为空，即不作任何频率限制

2. drf / throttling.py  源码

# 分析 第一部分

这里面有BaseThrottle和SimpleRateThrottle，其他类继承他们两个

BaseThrottle

class BaseThrottle:
    # 判断是否限次:没有限次可以请求True,限次了不可以请求False
    def allow_request(self, request, view):
        raise NotImplementedError('.allow_request() must be overridden')
 
    def get_ident(self, request):
        xff = request.META.get('HTTP_X_FORWARDED_FOR')
        remote_addr = request.META.get('REMOTE_ADDR')
        num_proxies = api_settings.NUM_PROXIES  # 这个可以看到默认为空
 
        # 上面一大堆默认为空，这个一定不会走，除非去修改默认配置，我们不知道上面一堆是什么先不用管
        if num_proxies is not None:
            if num_proxies == 0 or xff is None:
                return remote_addr
            addrs = xff.split(',')
            client_addr = addrs[-min(num_proxies, len(addrs))]
            return client_addr.strip()
 
        return ''.join(xff.split()) if xff else remote_addr
 
    # 限次后调用，显示还需等待多长时间才能再访问，返回等待的时间seconds
    def wait(self):
        return None

这里面代码太少，我们一脸懵逼，看来没找对，来看看SimpleRateThrottle的吧

SimpleRateThrottle

看完这个源码我们发现里面有这么多方法，一一看完也不知啥意思，还是无从下手，怎么办？

往下看，我们发现这三个表：

点开用户频率限制可以看到他们三个限制都设置了一个scope变量，都重写了get_cache_key方法 (自定义就仿照这个)

点开一个登录用户的认证：

class UserRateThrottle(SimpleRateThrottle):
    scope = 'user'
    # 返回一个字符串
    def get_cache_key(self, request, view):
        if request.user.is_authenticated:
            ident = request.user.pk  # 就是登录用户的pk
        else:
            ident = self.get_ident(request)
 
        #  'throttle_%(scope)s_%(ident)s'  有名占位 —— 'throttle_user_pk'
        return self.cache_format % {
            'scope': self.scope,
            'ident': ident
        }

登录用户频率限制

我们考虑，要想走SimpleRateThrottle类，第一步肯定走init：

得到self.rate为None，继续往下走进入parse_rate

补充知识： django缓存

        django缓存
        # 1）导包： from django.core.cache import cache
        # 2) 添加缓存： cache.set(key, value, exp
        # 3) 获取缓存： cache.get(key, default_value)

# 分析 第二部分

我们回到入口文件：

# 分析 第三部分

# 看完上面的BaseThrottle，里面代码太少，我们一脸懵逼，来看看这个简单的吧
class SimpleRateThrottle(BaseThrottle):
    """
    A simple cache implementation, that only requires `.get_cache_key()`
    to be overridden.
 
    The rate (requests / seconds) is set by a `rate` attribute on the View
    class.  The attribute is a string of the form 'number_of_requests/period'.
 
    Period should be one of: ('s', 'sec', 'm', 'min', 'h', 'hour', 'd', 'day')
 
    Previous request information used for throttling is stored in the cache.
    """
    cache = default_cache
    timer = time.time
    cache_format = 'throttle_%(scope)s_%(ident)s'
    scope = None
    THROTTLE_RATES = api_settings.DEFAULT_THROTTLE_RATES
 
    def __init__(self):
        if not getattr(self, 'rate', None):
            self.rate = self.get_rate()  # None
        self.num_requests, self.duration = self.parse_rate(self.rate)
        # 从配置文件DEFAULT_THROTTLE_RATES中根据scope得到频率配置(次数/时间  3/min)
        # scope 作为频率认证类的类属性，写死
        # 将频率配置解析成次数和时间分别存放到self.num_ requests, self.duration中
    def get_cache_key(self, request, view):
        """
        Should return a unique cache-key which can be used for throttling.
        Must be overridden.
 
        May return `None` if the request should not be throttled.
        """
        raise NotImplementedError('.get_cache_key() must be overridden')  # 提示必须被重写，重写的在下方用户类中
 
    def get_rate(self):
        """
        Determine the string representation of the allowed request rate.
        """
        # 没有scope直接抛异常，我们有并且就是user，往下看
        if not getattr(self, 'scope', None):
            msg = ("You must set either `.scope` or `.rate` for '%s' throttle" %
                   self.__class__.__name__)
            raise ImproperlyConfigured(msg)
 
        try:
            # scope：‘user’，所以有值，字典取值不会抛异常，也就是返回none，然后我们再去init中
            return self.THROTTLE_RATES[self.scope]
            # 频率限制条件配置，需要拿到自己的配置中去
            #  'DEFAULT_THROTTLE_RATES': {
            #         'user': None,
            #         'anon': None,},
        except KeyError:
            # 这是scope无值报的异常，提示你去设置scope
            msg = "No default throttle rate set for '%s' scope" % self.scope
            raise ImproperlyConfigured(msg)
 
    def parse_rate(self, rate):
        """
        Given the request rate string, return a two tuple of:
        <allowed number of requests>, <period of time in seconds>
        """
        if rate is None:
            return (None, None)
            # 返回两个None，也就是说init中self.num_requests, self.duration都为None，
            # 显然不是我们想要的结果，我们不妨继续往下看看
        # rate如果有值肯定是字符串， int/s、m、h、d开头的字符串
        # 到这里我们就明白了，我们必须得让rate有值，也就是需要去DEFAULT_THROTTLE_RATES中修改或设置，
        # 我们假设修改 user：3/min ，重新返回init中去看一下
        num, period = rate.split('/')
        num_requests = int(num)
        duration = {'s': 1, 'm': 60, 'h': 3600, 'd': 86400}[period[0]]
        return (num_requests, duration)
 
    def allow_request(self, request, view):
        """
        Implement the check to see if the request should be throttled.
 
        On success calls `throttle_success`.
        On failure calls `throttle_failure`.
        """
        if self.rate is None:
            return True
 
        self.key = self.get_cache_key(request, view)
        #  get_cache_key在下方用户类中被重写 返回值为 'throttle_user_2'
        if self.key is None:
            return True
        # django缓存
        # 1）导包： from django.core.cache import cache
        # 2) 添加缓存： cache.set(key, value, exp
        # 3) 获取缓存： cache.get(key, default_value)
 
        # 初次访问缓存为空，history为[]
        self.history = self.cache.get(self.key, [])  # self.key = throttle_user_2
        #  顶部 获取当前时间 timer = time.time
        self.now = self.timer()
        # throttle duration
        # 第一次访问，不会进来
        # 第二次访问就会走，意思是最早一次访问时间和此时是否大于限制时间一分钟，如果大于就弹出最早一次的时间，相当于次数减一
        while self.history and self.history[-1] <= self.now - self.duration:
            self.history.pop()
        # history的长度和限制次数3作比较，超限访问throttle_failure，直接返回False
        if len(self.history) >= self.num_requests:  # self.num_requests为我们设置的 3/min 的3
            return self.throttle_failure()
        # 访问次数未达到限制次数，返回可以访问，接着看throttle_success
        return self.throttle_success()
 
    def throttle_success(self):
        """
        Inserts the current request's timestamp along with the key
        into the cache.
        """
        # 在history列表最前面插入当前时间
        self.history.insert(0, self.now)
        # 在缓存中添加self.key, self.history（访问时间列表）, self.duration（min）
        self.cache.set(self.key, self.history, self.duration)
        return True
 
    def throttle_failure(self):
        """
        Called when a request to the API has failed due to throttling.
        """
        return False
 
    def wait(self):
        """
        Returns the recommended next request time in seconds.
        """
        if self.history:
            # 就是比较min即60s和初次访问到现在时间间隔的大小
            remaining_duration = self.duration - (self.now - self.history[-1])
        else:
            remaining_duration = self.duration
 
        # 求还可以访问多少次  次数= 最多次数 - 已经访问的次数
        available_requests = self.num_requests - len(self.history) + 1
        # 不能访问返回 None
        if available_requests <= 0:
            return None
 
        return remaining_duration / float(available_requests)
 
class AnonRateThrottle(SimpleRateThrottle):
    """
    Limits the rate of API calls that may be made by a anonymous users.
 
    The IP address of the request will be used as the unique cache key.
    """
    scope = 'anon'
 
    def get_cache_key(self, request, view):
        if request.user.is_authenticated:
            return None  # Only throttle unauthenticated requests.
 
        return self.cache_format % {
            'scope': self.scope,
            'ident': self.get_ident(request)
        }
 
class UserRateThrottle(SimpleRateThrottle):
    """
    Limits the rate of API calls that may be made by a given user.
 
    The user id will be used as a unique cache key if the user is
    authenticated.  For anonymous requests, the IP address of the request will
    be used.
    """
    scope = 'user'
    # 返回一个字符串
    def get_cache_key(self, request, view):
        if request.user.is_authenticated:
            ident = request.user.pk  # 就是登录用户的pk
        else:
            ident = self.get_ident(request)
 
        #  'throttle_%(scope)s_%(ident)s'  有名占位 —— 'throttle_user_pk'
        return self.cache_format % {
            'scope': self.scope,
            'ident': ident
        }
 
class ScopedRateThrottle(SimpleRateThrottle):
    """
    Limits the rate of API calls by different amounts for various parts of
    the API.  Any view that has the `throttle_scope` property set will be
    throttled.  The unique cache key will be generated by concatenating the
    user id of the request, and the scope of the view being accessed.
    """
    scope_attr = 'throttle_scope'
 
    def __init__(self):
        # Override the usual SimpleRateThrottle, because we can't determine
        # the rate until called by the view.
        pass
 
    def allow_request(self, request, view):
        # We can only determine the scope once we're called by the view.
        self.scope = getattr(view, self.scope_attr, None)
 
        # If a view does not have a `throttle_scope` always allow the request
        if not self.scope:
            return True
 
        # Determine the allowed request rate as we normally would during
        # the `__init__` call.
        self.rate = self.get_rate()
        self.num_requests, self.duration = self.parse_rate(self.rate)
 
        # We can now proceed as normal.
        return super().allow_request(request, view)
 
    def get_cache_key(self, request, view):
        """
        If `view.throttle_scope` is not set, don't apply this throttle.
 
        Otherwise generate the unique cache key by concatenating the user id
        with the '.throttle_scope` property of the view.
        """
        if request.user.is_authenticated:
            ident = request.user.pk
        else:
            ident = self.get_ident(request)
 
        return self.cache_format % {
            'scope': self.scope,
            'ident': ident
        }

整个源码

3.自定义频率类

# 1) 自定义一个继承 SimpleRateThrottle 类 的频率类
# 2) 设置一个 scope 类属性，属性值为任意见名知意的字符串
# 3) 在settings配置文件中，配置drf的DEFAULT_THROTTLE_RATES，格式为 {scope字符串: '次数/时间'}
# 4) 在自定义频率类中重写 get_cache_key 方法
    # 限制的对象返回 与限制信息有关的字符串
    # 不限制的对象返回 None (只能返回None，不能是False或是''等)

    自定义频率组件：
    class MyThrottle(SimpleRateThrottle):
        scope = 'sms'
        def get_cache_key(self, request, view):
            # 从request的 query_params、data、META 及 view 中 获取限制的条件
            return '与认证信息有关的动态字符串'
 
    settings文件中要有scope对应的rate配置 {'sms': '3/min'}

示例： 短信接口 1/min 频率限制

频率：api/throttles.py

from rest_framework.throttling import SimpleRateThrottle
​
class SMSRateThrottle(SimpleRateThrottle):
    scope = 'sms'
    # 只对提交手机号的get方法（param携带参数）进行限制，因为是query_params里面取的数据
    # drf请求的所有url拼接参数（param携带）均被解析到query_params中，所有数据包数据（body携带）都被解析到data中
    def get_cache_key(self, request, view):
        mobile = request.query_params.get('mobile')
        # 没有手机号，就不做频率限制
        if not mobile:
            return None
        # 返回可以根据手机号动态变化，且不易重复的字符串，作为操作缓存的key
        return 'throttle_%(scope)s_%(ident)s' % {'scope': self.scope, 'ident': mobile}

配置：settings.py

# drf配置
REST_FRAMEWORK = {
    # 频率限制条件配置
    'DEFAULT_THROTTLE_RATES': {
        'sms': '1/min'
    },
}

视图：views.py

from .throttles import SMSRateThrottle
class TestSMSAPIView(APIView):
    # 局部配置频率认证
    throttle_classes = [SMSRateThrottle]
    def get(self, request, *args, **kwargs):
        return APIResponse(0, 'get 获取验证码 OK')
    def post(self, request, *args, **kwargs):
        return APIResponse(0, 'post 获取验证码  OK')

路由：api/url.py

url(r'^sms/$', views.TestSMSAPIView.as_view()),

会受限制的接口

# 只会对 /api/sms/?mobile=具体手机号 接口才会有频率限制
# 1）对 /api/sms/ 或其他接口发送无限制
# 2）对数据包提交mobile的/api/sms/接口无限制
# 3）对不是mobile（如phone）字段提交的电话接口无限制