django restframework

一、django restframework 请求流程源码剖析

上面的认证一个流程是rest_framework的关于APIauth的认证流程，，这个流程试用权限、频率、版本、认证、这个四个组件都是通过相似的流程进行实现，不同的组件，是在initial（）这个方法中调用不同的方法来进行执行的，同时在剖析源码的过程中，我们整个rest_framework总共分为10个组件，每一中组件都可以进行全局配置，和局部配置，下面依次介绍这10个组件。

1、认证auth()

上面流程已经提到，API认证，每一个认证类的，真正的验证是执行了一个authenticate（）方法，在自定义认证类时，需要重写这个authenticate（）方法即可。同时，rest——framework提供了几个认证类from rest_framework.authentication 可以通过查看提供的认证类，在自定制时，可以继承这个里面的基类。

而authenticate（）方法的返回值，一共有三种，第一种，认证不通过报错。第二种认证通过返回一个元组，元组中的内容是user对象和token对象。第三种是None，默认就是匿名用户

from rest_framework import exceptions

from rest_framework.authentication import BaseAuthentication
from django.http import JsonResponse
from app01 import models
import time ,hashlib

class MyAuthtication(BaseAuthentication):
    '''用户api验证'''

    def authenticate(self ,request):
        token = request.GET.get('token')
        token_obj = models.Token.objects.filter(token=token).first()
        if  not token_obj:
            raise exceptions.AuthenticationFailed('用户认证失败')
        return ( token_obj.user,  token_obj)

    def authenticate_header(self ,request):
        pass

from rest_framework import exceptions 关于说到的如果认证失败，需要报错，reset_framework是要返回指定报错的

raise exceptions.AuthenticationFailed ，这个主动触发这个AuthenticationFailed，报错，默认超类中会抓取这个异常，response返回。

全局配置和局部配置

全局

REST_FRAMEWORK =
{'DEFAULT_AUTHENTICATION_CLASSES':['app01.utils.auth.MyAuthtication',],
                 'UNAUTHENTICATED_USER':lambda:None}

1、在settings文件中 ，按照上述配置，认证类是可以有多个的，所以DEFAULT_AUTHENTICATION_CLASSES，这个key对应的是一个列表。
app01.utils.auth是认证类的路径。

2、关于我们说认证返回有三种结果，如果是未登录用户是，返回的信息是None，这个也可以进行定制，返回指定的信息，按照第二行配置

　　

局部配置

class AuthView(APIView):
    authentication_classes = [BasicAuthentication,]

在视图中按照上面配置即可

　　

2、权限(permission)

2.1权限的是通过 此方法进行判断的 ，在重写的时候，重写这个has_premission方法即可，当然rest_framework,提供了几个默认的权限类供使用，from rest_framework.permissions  ，通过这个permissions  文件查找几种提供的权限类，重写时可以继承。

    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

has_premission()方法 。而这方法的返回值，一种是True，带表有权限，False代表没有权限。

　　

2.2全局配置和局部配置

全局配置

REST_FRAMEWORK ={
                 'DEFAULT_PERMISSION_CLASSES':['app01.utils.auth.MyPremission']}

　　

局部配置

from rest_framework.permissions import BasePermission

class AuthView(APIView):
    permission_classes = [BasePermission,]

　　

3、频率(throttle)

3.1这个组件又称之为节流，这个作用就是现实一个api，在一个固定时间段内能够访问几次 ， 是调用了每一个节流类的allow_request方法进行判断的。这个可以重写也可以直接调用rest_framework提供的，从

from rest_framework.throttling 获取，里面的整体实现原理是类似的。同时这个地方要注意，我们是以ip地址还是用户来识别是否是同一个用户的，如果是匿名用户就可以用ip地址，如果是登录用户可以用用户名或者用户id都可以。但是本质上，是无法真正实现这个限制访问的。

    def check_throttles(self, request):
        """
        Check if request should be throttled.
        Raises an appropriate exception if the request is throttled.
        """
        for throttle in self.get_throttles():
            if not throttle.allow_request(request, self):
                self.throttled(request, throttle.wait())　　

allow_request（）方法返回两个结果，一个是True，代表有权限，一个是False，没有权限。

3.2全部和局部配置

全局

REST_FRAMEWORK ={DEFAULT_THROTTLE_RATES':{'all':'3/m'}，

DEFAULT_THROTTLE_CLASSES：['app01.utils.auth.MyPremission']

} 

关于这个节流的配置 ，后面的scope是说的是实际设置的默认频率，是每分钟3次的意思，可以看源码，这个单位不止分钟。 关于这个scope是需要在自定义的节流类中配置的。 一般使用这个SimpleRateThrottle就够用了 class VisitorThrottle(SimpleRateThrottle):     scope = 'all'    def get_cache_key(self, request, view):         '''这个就是返回一个放在django缓存中的key，           可以根据用户id，或者ip地址来然后返回这个ip这个字符串，            或者用用户id'''         return ip或者用户id

　　

局部

class AuthView(APIView):
    throttle_classes = []

将自己写的自定制的类导入，放到这个列表中即可

　　

4、版本(version)

4.1版本认证是通过这个方法实现的

def determine_version(self, request, *args, **kwargs):
        """
        If versioning is being used, then determine any API version for the
        incoming request. Returns a two-tuple of (version, versioning_scheme)
        """
        if self.versioning_class is None:
            return (None, None)
        scheme = self.versioning_class()  #去配置中版本类，实例化
        return (scheme.determine_version(request, *args, **kwargs), scheme)
                 #返回这个实例的determine_version()方法的调用结果 ，和这个实例

这个determine_version() 方法只有两种返回结果，一个是返回版本信息，一个报异常。

　　

4.2 全局配置与局部配置

全局配置

关于版本的认证，完全不可用rest_framework提供的版本认证的类进行一个全局配置 ，可以通过from rest_framework.versioning，获取

    def determine_version(self, request, *args, **kwargs):
        version = kwargs.get(self.version_param, self.default_version)
        if version is None:
            version = self.default_version

1、这个是获取版本的源码，可以看到他是从URL中获取一个参数，这个参数，设置的是version_param ，所以，这个地方设置的是什么参数，URL上就要默认的别名要与这个参数一致，，例如：

url('api/(?P<version>v1+)/order$' ,views.OrderView.as_view() ,name='uuu')

REST_FRAMEWORK ={      'DEFAULT_VERSIONING_CLASS':'rest_framework.versioning.URLPathVersioning' ,
                  'VERSION_PARAM':'version',
                  'ALLOWED_VERSIONS':['v1' ,'v2']
                }

2、我们看到还有一个ALLOWED_VERSIONS这个参数，这个参数是默认当前有多少个个版本号，加入说我们只有两个版本，但是URL中去是一个v100，不在这个范围内，也会报错。

　　

5、解析器

5.1、 作用，用来解析发送的post请求中的请求体的数据，当post请求头中ContentType不在是x-www-form-urlencode 和请求体的数据格式是 name=eric&age=26 时， 通过request.POST是拿不到请求体中的数据的。

同时，我们的ContentType，可以决定，发送post请求时，post请求体中的数格格式。而在MVC这种前后端分离的结构中，数据都是通过json进行传输的。

所以，请求头中的ContentType 就会变成application/json 格式，这个时候请求体中的数据格式也发生变化，可以是{"name"："eric"，"age"：18},这里面有一个细节 就是一定是双引号，不然restframework，内部的loads反序列化不了会报错。

2、解析器源码剖析流程

6、序列化（serialize）

序列化主要有两方面功能，第一是序列化，第二个就是数据验证，其实序列化，和django本身的form和ModelForm非常相似

6.1 序列化源码流程

6.2验证源码流程

7、分页（pagination）

8、视图(view)

9、路由

10、渲染器