url:

url(r'books/$',views.BookView.as_view({'get':'list','post':'create'})) 为例

当django启动的时候,会调用执行view.BookView.as_view()方法,拿到as_view的返回值view

url(r'books/$',View.view)

当用户访问books/的时候,会执行View.view(). 执行APIView.dispatch()

当用户访问books/时,django拿到request,然后对request进行了重新封装
并且进行用户认证
url(r'books/$',View.view) --->  执行 self.dispatch()

APIView.dispatch()

    def dispatch(self, request, *args, **kwargs):

       ...

        request = self.initialize_request(request, *args, **kwargs)

        self.request = request

        try:

            self.initial(request, *args, **kwargs)

        ....

request = self.initialize_request(request, *args, **kwargs)

def initialize_request(self, request, *args, **kwargs):

        #返回一个Request对象

        return Request(

            ...

            authenticators=self.get_authenticators(),

            ...

        )    

def get_authenticators(self):

         # 循环视图类authentication_classes

         # 使用列表推导式,生成每一个实例对象

        return [auth() for auth in self.authentication_classes]

回到dispatch()中,继续向下执行self.inital(request,*args,**kwags)

def initial(self, request, *args, **kwargs):

          ...

        # 认证

        self.perform_authentication(request)

        # 权限

        self.check_permissions(request)

        # 访问频率限制

        self.check_throttles(request)

对于用户认证,我们主要看 self.perform_authentication(request) 干了什么

def perform_authentication(self, request):

        # 调用了request.user    属性方法

        request.user
@property

def user(self):

        if not hasattr(self, '_user'):

            with wrap_attributeerrors():

                # 调用  _authenticate  此时的self是request对象

                self._authenticate()

        return self._user

def _authenticate(self):

            # 此时的self是request ,authenticator每一个验证类对象

            for authenticator in self.authenticators:

                try:

                    # 使用authenticator调用它的authenticate() 返回一个元组

                    #元组的第一个值是request.user,第二个值是request.auth

                    user_auth_tuple = authenticator.authenticate(self)

                except exceptions.APIException:

                    # 如果没有验证通过,抛出异常

                    self._not_authenticated()

                    raise

                # 如果 user_auth_tuple  不为空的话,证明authenticator.authenticate(self) 返回了数据

                #  **** 有多个验证类的话,最后一个认证类返回值,其他验证类不要返回

                # 否则,这个验证类之后的所有验证类都不会被执行

                # 如果返回值不为None,赋值后 将会跳出循环

                if user_auth_tuple is not None:

                    self._authenticator = authenticator

                    # 进行赋值

                    self.user, self.auth = user_auth_tuple

                    # 跳出for循环, 验证通过

                    return

            self._not_authenticated()

认证执行流程:

1. 查看settings.py中是否配置了作用于全局的REST_FRAMEWORK配置,如果有,就是用全局

2. 如果settings.py没有配置,就去视图类中(本例是BookView)查看是否配置了authentication_classes

3. 以上都没有配置,就是用默认的,在APIView中配置

自定义一个认证

class BookAuthen():

    def authenticate(self,request):

        #获取token,检验token是否正确,如果正确则,验证通过

        #否则抛出异常

        token_val = request.GET.get('token')

        user_obj = models.User.objects.filter(token__token=token_val).first()

        if user_obj:

            return user_obj.name,token_val

        else:

            raise exceptions.AuthenticationFailed

    def authenticate_header(self,request):

        pass

class BookView(ModelViewSet):

    # 如果提供,就执行BookAuthen,如果没有提供,使用APIView提供的

    authentication_classes = [BookAuthen,]

    queryset = models.Book.objects.all()

    serializer_class = BookModelSerializer

全局配置(settings.py):

REST_FRAMEWORK= {

        'DEFAULT_AUTHENTICATION_CLASSES': (

            'bookmanage.auth.authen.BookAuthen',

            'rest_framework.authentication.SessionAuthentication',

            'rest_framework.authentication.BasicAuthentication'

        )

    }

默认配置(APIView):

class APIView(View):

        ...

        # 首先api_settings没有DEFAULT_AUTHENTICATION_CLASSES  所以会调用apisetting.__getattr__()

        authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES

        ...

二、访问频率限制

访问频率限制和用户认证流程几乎相同

首先看url

url(r'books/$',views.BookView.as_view({'get':'list','post':'create'})) 为例


django启动时


    去执行BookView.as_view()方法--->APIView.as_view()-->最终返回的是APIView.view

    url(r'books/$',views.BookView.as_view({'get':'list','post':'create'}))

    url(r'books/$',APIView.view)

用户访问时
    执行APIView.view(),其中它调用了父类的as_view(),实际上什么都没做
    执行self.dispatch(),执行的是APIView.dispatch()

    self.initial(request, *args, **kwargs)
        调用了 --> self.check_throttles(request)  #此时的self是BookView视图类

dispatch()中,self.inital(request,*args,**kwags)  -->  self.check_throttles(request)

def get_throttles(self):

     """

      遍历视图类中的throttle_classes

       拿到每一个自定义访问频率限制类的实例对象

      """

      return [throttle() for throttle in self.throttle_classes]

 def check_throttles(self, request):

    for throttle in self.get_throttles():

         # 拿到自定义访问频率限制类的实例对象,调用allow_request()

          if not throttle.allow_request(request, self):

                 # 如果没有通过验证,执行self.throttled()抛出异常

                  self.throttled(request, throttle.wait())

自定义访问频率限制类

# 限制IP频繁访问

    class VisitThrottle(object):

        detail = "访问频率不正常"

        def allow_request(self,request, obj):

            now_time = str(time.time())

            if request.session.get('visittime'):

                visited = request.session.get('visittime')

                visited.append(now_time)

                request.session['visittime'] = visited

                if len(visited) >= 20:

                    first = visited[-2]

                    last = visited[-1]

                    time_ = time.gmtime(float(last) - float(first))

                    print(time_)

                    if time_.tm_min > 1:

                        request.session['visittime'] = []

                        return True

                    elif time_.tm_min <= 1:

                        raise exceptions.Throttled(detail=self.detail)

            else:

                request.session['visittime'] = [now_time,]

            print(request.META.get('REMOTE_ADDR'))

            return True

    class BookView(ModelViewSet):

        #在视图类中配置自定义频率访问组件

        throttle_classes = [VisitThrottle]

        queryset = models.Book.objects.all()

        serializer_class = BookModelSerializer

默认访问频率限制

由于每一个视图类都是继承自APIView,

如果配置throttle_classes,就使用自定义的

如果没配置throttle_classes,APIView配置了默认的
class APIView(View):

        ....

        # 由于api_settings没有DEFAULT_THROTTLE_CLASSES,会调用api_setting的__getattr__()

        throttle_classes = api_settings.DEFAULT_THROTTLE_CLASSES

        ....

    api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)

    class APISettings(object):

        def __init__(self, user_settings=None, defaults=None, import_strings=None):

            #不会进入

            if user_settings:

                self._user_settings = self.__check_user_settings(user_settings)

            # 将DEFAULTS 复制给  self.defaults

            self.defaults = defaults or DEFAULTS

        @property

        def user_settings(self):

            if not hasattr(self, '_user_settings'):

                self._user_settings = getattr(settings, 'REST_FRAMEWORK', {})

            return self._user_settings

        def __getattr__(self, attr):

            if attr not in self.defaults:

                raise AttributeError("Invalid API setting: '%s'" % attr)

            try:

                # self.user_settings : 它从settings.py中取找 是否存在 REST_FRAMEWORK配置项

                # 如果有,因为他是一个字典,取[DEFAULT_THROTTLE_CLASSES]对应的路径自定义访问频率类

                val = self.user_settings[attr]

            except KeyError:

                # 如果没有,就使用默认的

                # self.defaults[DEFAULT_THROTTLE_CLASSES]

                val = self.defaults[attr]

            ....

            return val

全局配置

1. 此时,应该将自定义的访问频率组件提取出来单独放在一个py文件中
2. 指定路径类
3. 所有的url访问都会进行访问频率限制
 REST_FRAMEWORK= {

        'DEFAULT_AUTHENTICATION_CLASSES': (

            'bookmanage.auth.authen.BookAuthen',

        ),

        'DEFAULT_THROTTLE_CLASSES':(

            'bookmanage.auth.throttle.VisitThrottle'

        )

    }

django Rest Framework----认证/访问权限控制/访问频率限制 执行流程 Authentication/Permissions/Throttling 源码分析的更多相关文章

  1. Django Rest Framework(认证、权限、限制访问频率)

    阅读原文Django Rest Framework(认证.权限.限制访问频率) django_rest_framework doc django_redis cache doc

  2. 04 Django REST Framework 认证、权限和限制

    目前,我们的API对谁可以编辑或删除代码段没有任何限制.我们希望有更高级的行为,以确保: 代码片段始终与创建者相关联. 只有通过身份验证的用户可以创建片段. 只有代码片段的创建者可以更新或删除它. 未 ...

  3. c/c++再学习:C++中public、protect、private的访问权限控制

    C++中public.protect.private的访问权限控制 访问权限 一个类的public成员变量.成员函数,可以通过类的成员函数.类的实例变量进行访问 一个类的protected成员变量.成 ...

  4. ASP.NET Core[源码分析篇] - 认证

    追本溯源,从使用开始 首先看一下我们的通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务,这里通过JWT的认证方式讲解 public void ConfigureServ ...

  5. ASP.NET Core[源码分析篇] - Authentication认证

    原文:ASP.NET Core[源码分析篇] - Authentication认证 追本溯源,从使用开始 首先看一下我们通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务 ...

  6. Django REST framework认证权限和限制和频率

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  7. MongoDB 安全和访问权限控制

    MongoDB的访问控制能够有效保证数据库的安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录 一,访问控制的参数 1,绑定IP地址 mongod 参数:-- ...

  8. IAM:亚马逊访问权限控制

    IAM的策略.用户->服务器(仓库.业务体) IAM:亚马逊访问权限控制(AWS Identity and Access Management )IAM使您能够安全地控制用户对 AWS 服务和资 ...

  9. (转)浅析Java中的访问权限控制

    原文地址: http://www.cnblogs.com/dolphin0520/p/3734915.html 今天我们来一起了解一下Java语言中的访问权限控制.在讨论访问权限控制之前,先来讨论一下 ...

随机推荐

  1. thread 学习

    #include <thread> #include <cstdio> #include <utility> #include <iostream> v ...

  2. 51nod 1678 lyk与gcd | 容斥原理

    51nod 200题辣ψ(`∇´)ψ !庆祝! 51nod 1678 lyk与gcd | 容斥原理 题面 这天,lyk又和gcd杠上了. 它拥有一个n个数的数列,它想实现两种操作. 1:将 ai 改为 ...

  3. uoj35 后缀排序

    题目链接:http://uoj.ac/problem/35 这是一道模板题. 读入一个长度为 n 的由小写英文字母组成的字符串,请把这个字符串的所有非空后缀按字典序从小到大排序,然后按顺序输出后缀的第 ...

  4. BZOJ2437 [Noi2011]兔兔与蛋蛋 【博弈论 + 二分图匹配】

    题目链接 BZOJ2437 题解 和JSOI2014很像 只不过这题动态删点 如果我们把空位置看做\(X\)的话,就会发现我们走的路径是一个\(OX\)交错的路径 然后将图二分染色,当前点必胜,当且仅 ...

  5. P3320 [SDOI2015]寻宝游戏 解题报告

    P3320 [SDOI2015]寻宝游戏 题目描述 小B最近正在玩一个寻宝游戏,这个游戏的地图中有\(N\)个村庄和\(N-1\)条道路,并且任何两个村庄之间有且仅有一条路径可达.游戏开始时,玩家可以 ...

  6. 【spoj SUBST1】 New Distinct Substrings

    http://www.spoj.com/problems/SUBST1/ (题目链接) 题意 求字符串的不相同的子串个数 Solution 后缀数组论文题. 每个子串一定是某个后缀的前缀,那么原问题等 ...

  7. bzoj3839【Pa2013】Działka

    题目描述 平面上有n个不重复的点.每次询问一个边平行坐标轴的矩形内(包含边界)的点组成的凸包的面积.. 输入格式 第一行两个整数k,n(1<=k<=1000000,3<=n<= ...

  8. D. Vitya and Strange Lesson Codeforces Round #430 (Div. 2)

    http://codeforces.com/contest/842/problem/D 树 二进制(路径,每个节点代表一位) #include <cstdio> #include < ...

  9. 团体程序设计天梯赛 L1-006. 连续因子

    Two ways: 1.接近O(n) #include <stdio.h> #include <stdlib.h> #include <math.h> int ma ...

  10. python【数据类型:列表与元组】

    python列表: 定义一个列表:cities=['北京','上海','广州','深圳'] 注意:列表的下标0表示第一个元素,下标-1表示最后一个元素 列表增加元素 在列表末尾添加一个元素:citie ...