关键词：

DRF 权限 频率

• 什么是权限
  • 简单的说就是对某件事情决策的范围和程度，例如对数据的操作，普通用户只能查看，管理员用户可以增删改查

权限组件源码

执行APIView的方法，APIView返回View中的view函数，然后调用的dispatch方法，然后执行initial方法

点击check_permissions

一定要有has_permission方法~否则就会抛出异常这也是框架给我提供的钩子~~

我们先看到在rest_framework.permissions这个文件中~存放了框架给我们提供的所有权限的方法

权限的详细用法

• initial方法初始化这些组件的时候也是有顺序的

• 版本在前面~然后是认证，然后是权限~ 最后是频率

• 所以大家要清楚我们的权限执行的时候~我们的认证已经执行结束了

  前提在model中的UserInfo表中加了一个字段~用户类型的字段做好数据迁移~~

1.定义一个权限类

class MyPermission(BasePermission):
    message = "VIP用户才能访问"

    def has_permission(self, request, view):
        """
        自定义权限只有vip用户能访问，
        注意我们初始化时候的顺序是认证在权限前面的，所以只要认证通过~
        我们这里就可以通过request.user,拿到我们用户信息
        request.auth就能拿到用户对象
        """
        if request.user and request.auth.type == 2:
            return True
        else:
            return False

2 局部注册

class TestAuthView(APIView):
    # 执行认证
    authentication_classes = [MyAuth, ]
    # 执行权限
    permission_classes = [MyPermission, ]

    def get(self, request, *args, **kwargs):
        print(request.user)
        print(request.auth)
        username = request.user
        return Response(username)

2.1 全局注册

REST_FRAMEWORK = 
    # 默认使用的版本控制类
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',
    # 允许的版本
    'ALLOWED_VERSIONS': ['v1', 'v2'],
    # 版本使用的参数名称
    'VERSION_PARAM': 'version',
    # 默认使用的版本
    'DEFAULT_VERSION': 'v1',
    # 配置全局认证
    # 'DEFAULT_AUTHENTICATION_CLASSES': ["BRQP.utils.MyAuth", ]
    # 配置全局权限
    "DEFAULT_PERMISSION_CLASSES": ["BROP.utils.MyPermission"]

DRF的频率

• 频率限制的作用

  • 开放平台的API接口调用需要限制其频率，以节约服务器资源和避免恶意的频繁调用。

• 频率的源码流程和版本，认证，权限都是一样的

• 原理

  • DRF中的频率控制基本原理是基于访问次数和时间的，当然我们可以通过自己定义的方法来实现。

    当我们请求进来，走到我们频率组件的时候，DRF内部会有一个字典来记录访问者的IP，

    以这个访问者的IP为key，value为一个列表，存放访问者每次访问的时间，

    IP1: [第三次访问时间，第二次访问时间，第一次访问时间]，

    把每次访问最新时间放入列表的最前面，记录这样一个数据结构后，通过什么方式限流呢~~

    如果我们设置的是10秒内只能访问5次，

    　　-- 1，判断访问者的IP是否在这个请求IP的字典里

    　　-- 2，保证这个列表里都是最近10秒内的访问的时间

    　　　　　　判断当前请求时间和列表里最早的(也就是最后的)请求时间的查

    　　　　　　如果差大于10秒，说明请求以及不是最近10秒内的，删除掉，

    　　　　　　继续判断倒数第二个，直到差值小于10秒

    　　-- 3，判断列表的长度(即访问次数)，是否大于我们设置的5次，

    　　　　　　如果大于就限流，否则放行，并把时间放入列表的最前面。

频率的详细用法

1.自定义的方法

• 自定义的频率限制类

  VISIT_RECORD = 
  class MyThrottle(object):
  
      def __init__(self):
          self.history = None
  
      def allow_request(self, request, view):
          """
          自定义频率限制60秒内只能访问三次
          """
          # 获取用户IP
          ip = request.META.get("REMOTE_ADDR")
          timestamp = time.time()
          if ip not in VISIT_RECORD:
              VISIT_RECORD[ip] = [timestamp, ]
              return True
          history = VISIT_RECORD[ip]
          self.history = history
          history.insert(0, timestamp)
          while history and history[-1] < timestamp - 60:
              history.pop()
          if len(history) > 3:
              return False
          else:
              return True
  
      def wait(self):
          """
          限制时间还剩多少
          """
          timestamp = time.time()
          return 60 - (timestamp - self.history[-1])

• 配置自定义的频率限制

  REST_FRAMEWORK = 
      # ......
      # 频率限制的配置
      "DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyThrottle"],
      
  

2. 使用自带的频率限制类

• 在settings.py中配置频率限制

  REST_FRAMEWORK = 
      # 频率限制的配置
      # "DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyVisitThrottle"],
      "DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyThrottle"],
      "DEFAULT_THROTTLE_RATES":
          'WD':'5/m',         #速率配置每分钟不能超过5次访问，WD是scope定义的值，
  
      
  

• 定义

from rest_framework.throttling import SimpleRateThrottle


class MyVisitThrottle(SimpleRateThrottle):
    scope = "WD"

    def get_cache_key(self, request, view):
        return self.get_ident(request)

• 使用

  class TestView(APIView):
      throttle_classes = [MyVisitThrottle, ]
  
      def get(self, request, *args, **kwargs):
          # self.dispatch
          print(request.user)
          print(request.auth)
          return Response('GET请求，响应内容')

drf权限频率(代码片段)

DRF的权限 权限是什么大家之前都应该听过权限~那么我们权限到底是做什么用的呢~~大家都有博客~或者去一些论坛~一定知道管理员这个角色~比如我们申请博客的时候~一定要向管理员申请~也就是说管理员会有一些特殊的权利~... 查看详情

drf权限和频率限制(代码片段)

权限viewsfromrest_framework.permissionsimportBasePermissionfromrest_frameworkimportexceptions#权限类操作classMyPermission(BasePermission):#也是一种报错，返回给前端message='code':10001,'error':'你没权限'defhas_permission(self,request,view):""&q... 查看详情

drf-jwt认证组件权限组件频率组件的使用(代码片段)

目录drf-jwt认证组件、权限组件、频率组件的使用认证组件权限组件频率组件drf-jwt签发token源码分析自定义签发token实现多方式登录源码分析多方式登陆签发token实例频率组件自定义频率类drf-jwt认证组件、权限组件、频率组件的使... 查看详情

drf权限频率(代码片段)

DRF权限频率什么是权限简单的说就是对某件事情决策的范围和程度，例如对数据的操作，普通用户只能查看，管理员用户可以增删改查权限组件源码执行APIView的方法，APIView返回View中的view函数，然后调用的dispatch方法，然后执行... 查看详情

drf-认证权限频率过滤排序分页(代码片段)

1.认证组件1.1局部认证1.首先写两个接口，一个查询单个一个查询所有，我们利用视图扩展类和视图子类写在一个视图类上:views.py:fromrest_framework.viewsetsimportViewSetMixinfromrest_framework.genericsimportListAPIViewfromrest_framework.mixinsimportRetrieveMo... 查看详情

drf权限的流程(代码片段)

DRF权限的流程djangorestframework，入口是dispatch，然后依次--->>封装请求--->>处理版本--->>>认证--->>>权限--->>>限制访问频率（1）auth需要通过token唯一标识来认证（2）通过auth认证后得到，用户user信息，但... 查看详情

drf08(代码片段)

目录三大认证流程认证组件权限组件频率组件自定义token的签发三大认证流程由于DRF中,所有的视图类都要直接和间接继承APIView类,也只有APIView类中才有dispatch方法,所以所有的请求都要经过三大认证,认证通过后执行相应请求的视... 查看详情

drf的权限和频率

DRF的权限权限组件源码权限和频率以及版本认证都是在initial方法里初始化的我们的权限类一定要有has_permission方法~否则就会抛出异常~~这也是框架给我提供的钩子~~ 在rest_framework.permissions这个文件中~存放了框架给我们提供的... 查看详情

drf之文档生成和jwt(代码片段)

...能访问3.3控制登录接口返回的数据格式3.4自定义基于jwt的权限类3.5手动签发token（多方式登录）3.6jwt的配置参数1自定制频率#自定制频率类，需要写两个方法 -#判断是否限次：没有限次可以请求True，限次了不可以请求False defallow_r... 查看详情

认证权限频率自定义签发token-多方式登录(代码片段)

目录三大认证流程图路由配置认证组件权限组件自定义权限类配置drf自带的权限类drf-jwt签发token源码分析多方式登录签发tokenVIP用户认证权限例子频率组件自定义频率类三大认证流程图路由配置在应用下新建文件router.py#router.pyfro... 查看详情

drf认证--2019-08-0818:02:57(代码片段)

...法来初始化我们的版本.而在initial方法里有我们的认证、权限、频率组件，如下图：我们再点进去认证组件看看：可以看到，我们的权限组件返回的是request.user，那 查看详情

drf框架(代码片段)

...序列化成后台model对象再入库三大认证组件：认证组件、权限组件(RBAC)、频率组件视图家族：View一系列组件五、群查接口相关组件：搜索、筛选、排序、分页DRF学习目的：必须掌握六大基础接口：单查、群查、单增、单局部改、... 查看详情

drf框架8系统权限类使用用户中心信息自查token刷新机制认证组件项目使用:多方式登录权限组件项目使用:vip用户权限频率组件异常组件项目使用(代码片段)

系统权限类使用图书接口：游客只读，用户可增删改查权限使用fromrest_framework.permissionsimportIsAuthenticatedOrReadOnlyclassBookViewSet(ModelViewSet):#游客只读，用户可增删改查permission_classes=[IsAuthenticatedOrReadOnly]queryset=models.Book.objects.all()seriali... 查看详情

drf--认证，权限，限制(代码片段)

 认证、权限和限制身份验证是将传入请求与一组标识凭据（例如请求来自的用户或其签名的令牌）相关联的机制。然后权限和限制组件决定是否拒绝这个请求。简单来说就是：认证确定了你是谁权限确定你能不能访问某个接... 查看详情

drf--频率组件jwt使用(代码片段)

频率类源码入口#1）APIView的dispath方法中的self.initial(request,*args,**kwargs)点进去#2）self.check_throttles(request)进行频率认证#频率组件核心源码分析defcheck_throttles(self,request):throttle_durations=[]#1）遍历配置的频率认证类，初始化得到一个个... 查看详情

79-drf三大认证的配置及使用方法(代码片段)

...自定义签发token时用)5、自定义签发token及多方式登陆二、权限认证1、权限认证配置2、drf提供的权限认证类3、自定义权限认证类三、节流认证(频率认证)1、节流认证配置2、drf提供的节流认证类3、自定义节流认证类三大认证一、... 查看详情

drf认证权限限制(代码片段)

 认证前提表定义一个用户表和一个保存用户Token的表：classUserInfo(models.Model):username=models.CharField(max_length=16)password=models.CharField(max_length=32)type=models.SmallIntegerField(choices=((1,‘普通用户‘),(2,‘VIP用户 查看详情

drf之自定义权限(代码片段)

1、增加表字段：fromdjango.dbimportmodelsclassUserInfo(models.Model):username=models.CharField(max_length=32)password=models.CharField(max_length=32)email=models.CharField(max_length=64)user_type_choices=((0, 查看详情