django身份认证、权限认证、频率校验使用及源码分析
一. 身份认证源码分析
1.1 APIView源码的分析
APIView源码之前分析过https://www.cnblogs.com/maoruqiang/p/11135335.html,里面主要将request对象进行了封装,提供了额外的方法与属性,同时让装饰的CBV中方法忽略CSRF校验,最后还提供了身份认证、权限认证、频率校验等功能。
二. 身份认证源码分析及使用
2.1 身份认证源码分析
在APIView中的dispatch方法中提供了三大校验:
进入self.perform_authentication(request)方法
返回APIView的dispatch方法中:
进入self.initialize_request(request, *args, **kwargs)
进入self.get_authenticators()
此时继承APIView的类中没有定义该属性,所以看看APIView中有没有
这里进入api_settings,搜索身份认证相关的配置
我们将其复制到django项目中的settings.py中:
REST_FRAMEWORK = { # 身份认证配置,实际上这是全局配置 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ) }
随后回到requst.user,因为request是Request的对象,所以只需的是Request的user方法
点击进入self._authenticate()
这就意味着我们要重写authenticate方法,那么要继承什么类吗,去之前复制到settings.py中默认的两个身份认证类中看看(将字符串复制出来改成导包的形式即可点击进入),随后进入其父类BaseAuthentication
在应用文件夹下新建myauthenticate.py文件,其中书写如下:
from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions import AuthenticationFailed from django.contrib import auth # 身份认证组件 class AuthenticateSybil(BaseAuthentication): def authenticate(self, request): username = request.data.get('username') pwd = request.data.get('password') print('身份认证开始', username, pwd) user_obj = auth.authenticate(username=username, password=pwd) if user_obj: # 分别可以使用request.user, request.auth取到 return user_obj, '认证通过' else: # 用于认证失败时返回信息给前端 raise AuthenticationFailed('认证失败')
随便可以全局配置settings.py:
REST_FRAMEWORK = { # 身份认证配置 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', 'app02.myauthticate.AuthenticateSybil' ) }
区部配置,在视图类中写即可
from rest_framework.views import APIView from rest_framework.response import Response from app02.myauthticate import AuthenticateSybil # Create your views here. class Test(APIView): authentication_classes = [AuthenticateSybil] #复制列表为空则是局部忽略校验 authentication_classes = [] def post(self, *args, **kwargs): print('成功进入视图函数') return Response({"name": "sybil"})
2.2 权限校验源码分析及使用
进入self.check_permissions(request)
老样子,去api_settings中搜索权限校验类,看看他们怎么写的
同时看看permission_denied
同样在myauthenticate.py中书写该认证
from rest_framework.permissions import BasePermission # 权限认证组件 class PermissionSybil(BasePermission): message = '' def has_permission(self, request, view): print('权限认证开始') user_obj = request.user if not user_obj.is_superuser: self.message = '权限不足' else: return True
全局配置:
REST_FRAMEWORK = { # 身份认证配置 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', 'app02.myauthticate.AuthenticateSybil' ), # 权限校验全局配置 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.AllowAny', 'app02.myauthticate.PermissionSybil' ) }
局部配置
class Test(APIView): authentication_classes = [AuthenticateSybil] #局部配置,如果想忽略校验则将值改为空[] permission_classes = [PermissionSybil] def post(self, *args, **kwargs): print('成功进入视图函数') return Response({"name": "sybil"})
2.3 频率校验源码分析及使用
进入self.check_throttles(request)
所以我们需要重写allow_request方法,点击进入频率校验的父类:
父类方法如下:
为了方便,我们使用SimpleRateThrottle
该类实例化时会执行__init__
先看看get_rate()方法
那么THROTTLE_RATES是啥,我们看看
去api_settings中查看
接下来看看self.parse_rate(self.rate)方法
然后看看频率组件需要重写的allow_request
看看throttle_success
自定义频率组件,这里同样写在myauthenticate.py中
from rest_framework.throttling import SimpleRateThrottle # 频率校验 class ThrottleSybil(SimpleRateThrottle): scope = 'Isybil' def get_cache_key(self, request, view): # 这里可以直接调用父类的get_ident获取唯一标识 return super(ThrottleSybil, self).get_ident(request)
全局配置:
REST_FRAMEWORK = { # 身份认证配置 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', 'app02.myauthticate.AuthenticateSybil' ), # 权限认证全局配置 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.AllowAny', 'app02.myauthticate.PermissionSybil' ), # 频率校验全局配置 'DEFAULT_THROTTLE_CLASSES': ( 'app02.myauthticate.ThrottleSybil', ), 'DEFAULT_THROTTLE_RATES': { # 用户Isybil的频率限制,类中scope = 'Isybil'可以获取该限制 'Isybil': '3/m', }, }
局部配置
from rest_framework.views import APIView from rest_framework.response import Response from app02.myauthticate import AuthenticateSybil, PermissionSybil, ThrottleSybil # Create your views here. class Test(APIView): authentication_classes = [AuthenticateSybil] permission_classes = [PermissionSybil] throttle_classes = [ThrottleSybil] def post(self, *args, **kwargs): print('成功进入视图函数') return Response({"name": "sybil"})