Django Rest Framework --用户访问频率限制

自定义访问频率控制类结构

views.py

from rest_framework.throttling import BaseThrottle
import time
# 节流
visit_dict={}

class Visitthrottle(BaseThrottle):
    #通过IP做唯一标识符
    #问题：非登陆用户一分钟内只允许访问3次
    def __init__(self):
        self.history=None

    def allow_request(self,request, view):
        #获取IP地址
        remote_addr = self.get_ident(request)
        ctime=time.time()
        if remote_addr not in visit_dict:
            visit_dict[remote_addr]=[ctime,]
            return True
        self.history = visit_dict.get(remote_addr)
        while self.history and self.history[-1] <ctime - 60:
            self.history.pop()
        if len(self.history)<3:
            self.history.insert(0,ctime)
            return True

    def wait(self):
        ctime=time.time()
        return 60-(ctime-self.history[-1])

class TestThrottle(APIView):
    throttle_classes = [VisitThrottle,]
     
    def get(self, request, *args, **kwargs):
        pass
        '''
        等等一系列的视图功能方法
        '''

实现原理分析：

• 需要使用用户IP地址作为唯一标识符，如果使用用户登陆账号作为唯一标识符，一个用户可能拥有多个账号，则达不到节流的目的，但使用IP地址也不是说一定不能改变，但相比于登陆账号，使用IP地址更能达到节流的作用。
•  以IP地址作为KEY键，多个访问时间形参列表作为value存入字典中，用户每次访问读取字典，判断最后一次访问时间与这次访问时间相差时间，相差时间大于60秒，删除时间列表中最后元素，然后判断列表长度是否小于3，如果小于3，表示一分钟内未访问3次，允许继续访问。
• 如果不允许访问，会执行wait函数，返回需要等待时间。
• 但是在项目开发中不使用自定义节流类，是因为drf中已经实现了节流方法。内置接口代码基本结构，内置节流类的实现原理与自定义节流类原理相同。

内置节流类结构

settings.py:

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES':['api.utils.mythrottle.UserThrottle',]
    'DEFAULT_THROTTLE_RATES': {
        '未认证用户': '10/m',
        '已认证用户': '100/h',
    },
}

mythrottle.py:

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import exceptions
from rest_framework.throttling import SimpleRateThrottle
 
 
class VisitThrottle(SimpleRateThrottle):
    scope = "未认证用户"
 
    def get_cache_key(self, request, view):
        return  self.get_ident(request)
       
 
class UserThrottle(SimpleRateThrottle):
    scope = "已认证用户"
 
    def get_cache_key(self, request, view):
        return  request.user  # 认证通过后，认证方法authenticate的返回值之一<br><br>


class TestThrottle(APIView):<br>　　# 这样设置后，节流功能就会使用VisitThrottle类，而不会使用UserThrottle类
    throttle_classes = [VisitThrottle,]
     
    def get(self, request, *args, **kwargs):
        pass
        '''
        等等一系列的视图功能方法
        '''

　　这里使用的节流类是继承了SimplePateThrottle类，而这个类利用了django内置的缓存来存储访问记录。通过全局节流设置，所有的视图类默认是使用UserThrottle类进行节流，如果不想使用默认的类就自定义给throttle_classes属性变量赋值，如：“throttle_classes = [VisitThrottle,]”。看到内置节流类的使用，可能一脸懵逼，下面进行源码分析。

源码分析

与之前认证，权限控制的源码分析方法一致，先进入函数入口dispatch方法，封装完新的request对象后，进入initialize_request方法，我们会发现还有一个函数调用我们没有分析，所以这就是我们的节流函数。

1.为什么会使用scope属性变量，有什么用？

进入check_throttles函数，是否觉得很熟悉？没错在get_throttles方法中肯定也是一个列表生产式，返回一个有节流类实例组成的列表。

  

 在列表生成式中，先对内置类SimplePateThrottle进行实例化，在实例化中去拿到scope的值，并且根据值作为key值去配置文件中拿到对应value值。在parse_rate方法中可以看出value是又‘/’分隔的一个字符串。

  

2.为什么会使用‘get_cache_key’方法，该方法的返回值是什么？

实例化完成后，执行allow_request方法，首先执行的是get_cache_key’方法

 

在get_cache_key’方法中里面什么都没写，所以就是说我们在使用内置节流类时，必须重构get_cacha_key方法，否则会抛出异常，因为内置节流类是通过django缓存实现，所以需要给它一个唯一标识符，在这里我选择的是选择用户的IP地址进行唯一确认，所以这里的返回值为一个唯一标识符。

 

接下来的操作与我们自定义节流类的原理一致。最后如果返回false，调用wait方法，抛出异常

3.为什么使用‘throttle_classes’属性变量，它有什么用？

get_throttles方法返回的是一个列表生成式，而这里的throttle_classes就是在视图类TestThrottle中使用的，该变量就保存节流类对象。

 4.‘DEFAULT_THROTTLE_CLASSES’从那里来，有什么用？

通过throttle_classes属性变量，跳转到该图，可以看到配置文件中说的“DEFAULT_THROTTLE_CLASSES”，它是用来通过配置文件settings来对全局节流类进行配置，功能等价于throttle_classes属性变量。

 5.‘DEFAULT_THROTTLE_RATES’从那里来，有什么用？

由SimpleRateThrottle类和上文对scope属性变量的分析可知，DEFAULT_THROTTLE_RATES就是为了存储在配置文件中设置的不同的节流方法的。

 

综上所述，可以看出，在利用内置节流接口时，通过配置文件settings的设置和提供该接口所需的用户唯一标识外，不需要我们做再多的操作，这就形成了我们上文写的内置接口代码基本结构的样式。