url:

url(r'books/$',views.BookView.as_view({'get':'list','post':'create'})) 为例

当django启动的时候,会调用执行view.BookView.as_view()方法,拿到as_view的返回值view

url(r'books/$',View.view)

当用户访问books/的时候,会执行View.view(). 执行APIView.dispatch()

当用户访问books/时,django拿到request,然后对request进行了重新封装
并且进行用户认证
url(r'books/$',View.view) --->  执行 self.dispatch()

APIView.dispatch()

    def dispatch(self, request, *args, **kwargs):

       ...

        request = self.initialize_request(request, *args, **kwargs)

        self.request = request

        try:

            self.initial(request, *args, **kwargs)

        ....

request = self.initialize_request(request, *args, **kwargs)

def initialize_request(self, request, *args, **kwargs):

        #返回一个Request对象

        return Request(

            ...

            authenticators=self.get_authenticators(),

            ...

        )    

def get_authenticators(self):

         # 循环视图类authentication_classes

         # 使用列表推导式,生成每一个实例对象

        return [auth() for auth in self.authentication_classes]

回到dispatch()中,继续向下执行self.inital(request,*args,**kwags)

def initial(self, request, *args, **kwargs):

          ...

        # 认证

        self.perform_authentication(request)

        # 权限

        self.check_permissions(request)

        # 访问频率限制

        self.check_throttles(request)

对于用户认证,我们主要看 self.perform_authentication(request) 干了什么

def perform_authentication(self, request):

        # 调用了request.user    属性方法

        request.user
@property

def user(self):

        if not hasattr(self, '_user'):

            with wrap_attributeerrors():

                # 调用  _authenticate  此时的self是request对象

                self._authenticate()

        return self._user

def _authenticate(self):

            # 此时的self是request ,authenticator每一个验证类对象

            for authenticator in self.authenticators:

                try:

                    # 使用authenticator调用它的authenticate() 返回一个元组

                    #元组的第一个值是request.user,第二个值是request.auth

                    user_auth_tuple = authenticator.authenticate(self)

                except exceptions.APIException:

                    # 如果没有验证通过,抛出异常

                    self._not_authenticated()

                    raise

                # 如果 user_auth_tuple  不为空的话,证明authenticator.authenticate(self) 返回了数据

                #  **** 有多个验证类的话,最后一个认证类返回值,其他验证类不要返回

                # 否则,这个验证类之后的所有验证类都不会被执行

                # 如果返回值不为None,赋值后 将会跳出循环

                if user_auth_tuple is not None:

                    self._authenticator = authenticator

                    # 进行赋值

                    self.user, self.auth = user_auth_tuple

                    # 跳出for循环, 验证通过

                    return

            self._not_authenticated()

认证执行流程:

1. 查看settings.py中是否配置了作用于全局的REST_FRAMEWORK配置,如果有,就是用全局

2. 如果settings.py没有配置,就去视图类中(本例是BookView)查看是否配置了authentication_classes

3. 以上都没有配置,就是用默认的,在APIView中配置

自定义一个认证

class BookAuthen():

    def authenticate(self,request):

        #获取token,检验token是否正确,如果正确则,验证通过

        #否则抛出异常

        token_val = request.GET.get('token')

        user_obj = models.User.objects.filter(token__token=token_val).first()

        if user_obj:

            return user_obj.name,token_val

        else:

            raise exceptions.AuthenticationFailed

    def authenticate_header(self,request):

        pass

class BookView(ModelViewSet):

    # 如果提供,就执行BookAuthen,如果没有提供,使用APIView提供的

    authentication_classes = [BookAuthen,]

    queryset = models.Book.objects.all()

    serializer_class = BookModelSerializer

全局配置(settings.py):

REST_FRAMEWORK= {

        'DEFAULT_AUTHENTICATION_CLASSES': (

            'bookmanage.auth.authen.BookAuthen',

            'rest_framework.authentication.SessionAuthentication',

            'rest_framework.authentication.BasicAuthentication'

        )

    }

默认配置(APIView):

class APIView(View):

        ...

        # 首先api_settings没有DEFAULT_AUTHENTICATION_CLASSES  所以会调用apisetting.__getattr__()

        authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES

        ...

二、访问频率限制

访问频率限制和用户认证流程几乎相同

首先看url

url(r'books/$',views.BookView.as_view({'get':'list','post':'create'})) 为例


django启动时


    去执行BookView.as_view()方法--->APIView.as_view()-->最终返回的是APIView.view

    url(r'books/$',views.BookView.as_view({'get':'list','post':'create'}))

    url(r'books/$',APIView.view)

用户访问时
    执行APIView.view(),其中它调用了父类的as_view(),实际上什么都没做
    执行self.dispatch(),执行的是APIView.dispatch()

    self.initial(request, *args, **kwargs)
        调用了 --> self.check_throttles(request)  #此时的self是BookView视图类

dispatch()中,self.inital(request,*args,**kwags)  -->  self.check_throttles(request)

def get_throttles(self):

     """

      遍历视图类中的throttle_classes

       拿到每一个自定义访问频率限制类的实例对象

      """

      return [throttle() for throttle in self.throttle_classes]

 def check_throttles(self, request):

    for throttle in self.get_throttles():

         # 拿到自定义访问频率限制类的实例对象,调用allow_request()

          if not throttle.allow_request(request, self):

                 # 如果没有通过验证,执行self.throttled()抛出异常

                  self.throttled(request, throttle.wait())

自定义访问频率限制类

# 限制IP频繁访问

    class VisitThrottle(object):

        detail = "访问频率不正常"

        def allow_request(self,request, obj):

            now_time = str(time.time())

            if request.session.get('visittime'):

                visited = request.session.get('visittime')

                visited.append(now_time)

                request.session['visittime'] = visited

                if len(visited) >= 20:

                    first = visited[-2]

                    last = visited[-1]

                    time_ = time.gmtime(float(last) - float(first))

                    print(time_)

                    if time_.tm_min > 1:

                        request.session['visittime'] = []

                        return True

                    elif time_.tm_min <= 1:

                        raise exceptions.Throttled(detail=self.detail)

            else:

                request.session['visittime'] = [now_time,]

            print(request.META.get('REMOTE_ADDR'))

            return True

    class BookView(ModelViewSet):

        #在视图类中配置自定义频率访问组件

        throttle_classes = [VisitThrottle]

        queryset = models.Book.objects.all()

        serializer_class = BookModelSerializer

默认访问频率限制

由于每一个视图类都是继承自APIView,

如果配置throttle_classes,就使用自定义的

如果没配置throttle_classes,APIView配置了默认的
class APIView(View):

        ....

        # 由于api_settings没有DEFAULT_THROTTLE_CLASSES,会调用api_setting的__getattr__()

        throttle_classes = api_settings.DEFAULT_THROTTLE_CLASSES

        ....

    api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)

    class APISettings(object):

        def __init__(self, user_settings=None, defaults=None, import_strings=None):

            #不会进入

            if user_settings:

                self._user_settings = self.__check_user_settings(user_settings)

            # 将DEFAULTS 复制给  self.defaults

            self.defaults = defaults or DEFAULTS

        @property

        def user_settings(self):

            if not hasattr(self, '_user_settings'):

                self._user_settings = getattr(settings, 'REST_FRAMEWORK', {})

            return self._user_settings

        def __getattr__(self, attr):

            if attr not in self.defaults:

                raise AttributeError("Invalid API setting: '%s'" % attr)

            try:

                # self.user_settings : 它从settings.py中取找 是否存在 REST_FRAMEWORK配置项

                # 如果有,因为他是一个字典,取[DEFAULT_THROTTLE_CLASSES]对应的路径自定义访问频率类

                val = self.user_settings[attr]

            except KeyError:

                # 如果没有,就使用默认的

                # self.defaults[DEFAULT_THROTTLE_CLASSES]

                val = self.defaults[attr]

            ....

            return val

全局配置

1. 此时,应该将自定义的访问频率组件提取出来单独放在一个py文件中
2. 指定路径类
3. 所有的url访问都会进行访问频率限制
 REST_FRAMEWORK= {

        'DEFAULT_AUTHENTICATION_CLASSES': (

            'bookmanage.auth.authen.BookAuthen',

        ),

        'DEFAULT_THROTTLE_CLASSES':(

            'bookmanage.auth.throttle.VisitThrottle'

        )

    }

django Rest Framework----认证/访问权限控制/访问频率限制 执行流程 Authentication/Permissions/Throttling 源码分析的更多相关文章

  1. Django Rest Framework(认证、权限、限制访问频率)

    阅读原文Django Rest Framework(认证.权限.限制访问频率) django_rest_framework doc django_redis cache doc

  2. 04 Django REST Framework 认证、权限和限制

    目前,我们的API对谁可以编辑或删除代码段没有任何限制.我们希望有更高级的行为,以确保: 代码片段始终与创建者相关联. 只有通过身份验证的用户可以创建片段. 只有代码片段的创建者可以更新或删除它. 未 ...

  3. c/c++再学习:C++中public、protect、private的访问权限控制

    C++中public.protect.private的访问权限控制 访问权限 一个类的public成员变量.成员函数,可以通过类的成员函数.类的实例变量进行访问 一个类的protected成员变量.成 ...

  4. ASP.NET Core[源码分析篇] - 认证

    追本溯源,从使用开始 首先看一下我们的通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务,这里通过JWT的认证方式讲解 public void ConfigureServ ...

  5. ASP.NET Core[源码分析篇] - Authentication认证

    原文:ASP.NET Core[源码分析篇] - Authentication认证 追本溯源,从使用开始 首先看一下我们通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务 ...

  6. Django REST framework认证权限和限制和频率

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  7. MongoDB 安全和访问权限控制

    MongoDB的访问控制能够有效保证数据库的安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录 一,访问控制的参数 1,绑定IP地址 mongod 参数:-- ...

  8. IAM:亚马逊访问权限控制

    IAM的策略.用户->服务器(仓库.业务体) IAM:亚马逊访问权限控制(AWS Identity and Access Management )IAM使您能够安全地控制用户对 AWS 服务和资 ...

  9. (转)浅析Java中的访问权限控制

    原文地址: http://www.cnblogs.com/dolphin0520/p/3734915.html 今天我们来一起了解一下Java语言中的访问权限控制.在讨论访问权限控制之前,先来讨论一下 ...

随机推荐

  1. 学习Spring Boot:(四)应用日志

    前言 应用日志是一个系统非常重要的一部分,后来不管是开发还是线上,日志都起到至关重要的作用.这次使用的是 Logback 日志框架. 正文 Spring Boot在所有内部日志中使用Commons L ...

  2. 20165218 《网络对抗技术》Exp0 Kali安装 Week1

    Kali Linux安装 下载 在Kali官网下载Kali Linux 64 Bit版本 打开VM,选择文件->新建虚拟机,一直点击下一步,注意这里选择稍后安装操作系统 版本中找不到Kali,可 ...

  3. Android ProgressBar的使用

    Android 基础教程之-------Android ProgressBar的使用http://blog.csdn.net/Android_Tutor/article/details/5695170 ...

  4. MySQL 第二篇:库操作

    一 系统数据库 information_schema: 虚拟库,不占用磁盘空间,存储的是数据库启动后的一些参数,如用户表信息.列信息.权限信息.字符信息等performance_schema: MyS ...

  5. oracle 视图views

    SELECT * FROM DBA_VIEWS WHERE VIEW_NAME='你的视图名'; SELECT * FROM USER_VIEWS WHERE VIEW_NAME='你的视图名'; S ...

  6. sql 事务的四种隔离级别

    在 SQL 标准中定义了四种隔离级别,每一种级别都规定了一个事务中所做的修改,哪些在事务内和事务间是可见的,哪些是不可见的.较低级别的隔离通常可以执行更高的并发,系统的开销也更低. read unco ...

  7. UVALive 7505 Hungry Game of Ants (2015Ecfinal)

    题意: 长度是n的线段上点的编号从1~n,每个点有一只蚂蚁蚂蚁的体重等于该点的编号,最初每只蚂蚁可以选择向右走或者向左走两只蚂蚁相遇时体重大的吃掉体重小的并且体重增加为两只的体重和,走到边界时掉头,问 ...

  8. Redis 创建多个端口 链接redis端口

    默认的是6379 可以用6380,6381开启多个 1.开启 ./redis-server ../etc/redis.6380.conf & 2.链接 redis-cli -p 6380 查看 ...

  9. linux命令总结之lsof命令

    简介 lsof(list open files)是一个列出当前系统打开文件的工具.在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件.所以如传输控 ...

  10. Python 函数01

    Python 函数 函数是组织好的,可重复使用的,用来实现单一,或相关联功能的代码段. 函数能提高应用的模块性,和代码的重复利用率.你已经知道Python提供了许多内建函数,比如print().但你也 ...