6 drf-认证权限解析频率

一. 认证组件

1. 流程

1. 写一个类,继承BaseAuthentication,重写authenticate,认证的逻辑写在里面.
    认证通过,返回两个值,一个值最终给了包装以后的request对象, 视图中就可以通过request.user获取,
    认证失败,抛异常:APIException 或者 AuthenticationFailed
        注意: 本质抛出的异常只是AuthenticationFailed, 而AuthenticationFailed又继承了APIException, 因此源码中只需要捕获父类异常, 在属性查找时必然会找到其子类AuthenticationFailed
        class AuthenticationFailed(APIException):
            status_code = status.HTTP_401_UNAUTHORIZED
            default_detail = _('Incorrect authentication credentials.')
            default_code = 'authentication_failed'            
        
        
    提示: BaseAuthentication可以不继承, BaseAuthentication作用仅仅是对继承它的子类必须要定义authentication方法
        本质采用的就是通过抛出异常的形式去规范认证的方法名写法.
        def authenticate(self, request):
            raise NotImplementedError(".authenticate() must be overridden.")        
2. 全局使用认证,局部使用认证

2. 认证的源码分析

# 1. APIVIew --> dispatch方法 --> self.initial(request, *args, **kwargs) -->有认证,权限,频率

# 2. 只读认证源码: self.perform_authentication(request)

# 3. self.perform_authentication(request)就一句话:request.user,需要去drf的Request类中找user属性(方法) 

# 4. Request类中的user方法,刚开始来,没有_user,走 self._authenticate()

# 5. 核心,就是Request类的 _authenticate(self):
    def _authenticate(self):
        # 遍历拿到一个个认证器,进行认证
        # self.authenticators配置的一堆认证类产生的认证类对象组成的 list
        # self.authenticators 你在视图类中配置的一个个的认证类:authentication_classes=[认证类1,认证类2],对象的列表
        for authenticator in self.authenticators:
            try:
                # 认证器(对象)调用认证方法authenticate(认证类对象self, request请求对象)
                # 返回值:登陆的用户与认证的信息组成的 tuple
                # 该方法被try包裹,代表该方法会抛异常,抛异常就代表认证失败
                user_auth_tuple = authenticator.authenticate(self)
            except exceptions.APIException:
                self._not_authenticated()
                raise

            # 返回值的处理
            if user_auth_tuple is not None:
                self._authenticator = authenticator
                # 如何有返回值,就将 登陆用户 与 登陆认证 分别保存到 request.user、request.auth
                self.user, self.auth = user_auth_tuple
                return
        # 如果返回值user_auth_tuple为空,代表认证通过,但是没有 登陆用户 与 登陆认证信息,代表游客
        self._not_authenticated()

3. 自定义认证功能实现

1) models.py

from django.db import models


# Create your models here.
class User(models.Model):
    username = models.CharField(max_length=64)
    password = models.CharField(max_length=64)


class DjangoToken(models.Model):
    user = models.OneToOneField(to='User')
    token = models.CharField(max_length=255)

    class Meta:
        db_table = 'django_token'

3) 新建序列化.py文件: serializer.py

from rest_framework import serializers

from app01.models import Book


class BookModelSerializer(serializers.ModelSerializer):
    class Meta:
        model = Book
        fields = '__all__'

4) 新建认证.py文件: app_auth.py

from rest_framework.exceptions import APIException
from .models import DjangoToken
from rest_framework.authentication import BaseAuthentication


class TokenAuthentication(BaseAuthentication):
    # 注意1: 这里的request是APIView中包装以后的request对象.
    # 注意2: 这里面的异常不会被exception_handler捕获, 因为这里是在Request中完成的, perform_authentication进行是request.user操作
    def authenticate(self, request):   
        token = request.META.get("HTTP_TOKEN")
        print('token:', token)
        if token:
            token_obj = Token.objects.filter(token=token).first()
            if token_obj:
                '''
                # 如果返回值不是元组或者直接抛出的异常那么response的返回结果是: Authentication credentials were not provided
                APIView -> dispatch  -> initial -> check_permissions -> permission_denied -> raise exceptions.NotAuthenticated()
                
                {
                    "detail": "Authentication credentials were not provided."
                }
                '''
                # return
                return token_obj.user, token
            else:
                raise AuthenticationFailed('校验失败, token值不匹配!')
        raise AuthenticationFailed('请求头中需要携带token!')

5) views.py

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.viewsets import ModelViewSet

from rest_framework.decorators import action

from .models import User
from .models import DjangoToken
from app01.models import Book
from app01.serializer import BookModelSerializer


class SelfResponse(Response):
    """继承Response封装的自定义类"""

    def __init__(self, status=1000, messages='登录成功',
                 error=None, results=None, headers=None,
                 *args, **kwargs):
        data = {
            'status': status,
            'messages': messages,
        }
        if results:
            data['results'] = results
        elif error:
            data['error'] = error
        super().__init__(data=data, headers=headers, *args, **kwargs)


class LoginView(APIView):
    """
    登录功能
    """
    authentication_classes = []

    def post(self, request):
        """
        注意: request.META的格式
        请求头中指定的格式是: token: 随机字符串
        获取时:
            print(request.META)  
            'HTTP_TOKEN': '6da7c382-c1ec-11ea-8971-48ba4e4e6384',
        """
        username = request.data.get('username')
        password = request.data.get('password')
        user_obj = User.objects.filter(username=username).first()
        # 判断用户账号
        if user_obj:
            # 判断用户密码
            if user_obj.password == password:
                import uuid
                token_uuid = uuid.uuid1()
                # 利用update_or_create有就更新数据, 无就新增数据
                DjangoToken.objects.update_or_create(defaults={'token': token_uuid}, user=user_obj)
                obj = SelfResponse(headers={'token': token_uuid})
            else:
                obj = SelfResponse(2000, '登陆失败, 用户密码错误', error={'username': username, 'password': password})
        else:
            obj = SelfResponse(3000, '登陆失败, 用户名不存在', error={'username': username, 'password': password})
        return obj


class BookModelViewSet(ModelViewSet):
    queryset = Book.objects.all()  # 具体这里为什么还需要.all()老刘也没说
    serializer_class = BookModelSerializer
    lookup_url_kwarg = 'num'       # 修改默认的又名分组,  让视图中关键字参数必须pk接收

    # 使用detail=True为路由中新增一条可获取一下自定义方法的路由, 并且格式是^books/(?P<num>[^/.]+)/get/$ [name='book-get']. 
    @action(detail=True)
    def get(self, request, num):
        book_queryset = self.get_queryset()[:int(num)]  # 这里使用num可以动态获取想要的数据条数
        serializer = self.serializer_class(instance=book_queryset, many=True)
        return SelfResponse(results=serializer.data)

6) urls.py

Copyfrom django.conf.urls import url

from rest_framework import routers

from .views import LoginView
from .views import BookModelViewSet

router = routers.SimpleRouter()

router.register('books', BookModelViewSet)

urlpatterns = [
    url(r'^login/', LoginView.as_view())
]
urlpatterns += router.urls
print('router.urls:', router.urls)

4. 内置认证类配置

# 配置文件中配置
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',  # session认证
        'rest_framework.authentication.BasicAuthentication',    # 基本认证
    )
}


# 视图中设置authentication_classess属性来设置
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView

class ExampleView(APIView):
    # 类属性
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    ...

二. 权限组件

1. 自定义权限

1) 源码分析

# 位置: APIView的对象方法

# 流程: APIView --> dispatch --> initial --> self.check_permissions(request)

# 源码
def check_permissions(self, request):
    for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

# 源码分析步骤:
    self.get_permissions()表示的是权限对象列表.
    permission.has_permission(request, self)表示调用permission对象中的has_permission方法,
    意思就是如果你自定义了权限类, 并且配置了全局或者局部的配置. 就会将你自定义的权限类中的has_permission方法,
    执行完毕该方法中, 通过你的返回值来确定是否抛出异常.
        如果返回结果的布尔值是True:  权限认证就通过了
        如果返回结果的布尔值是False: 就会指定self.permission_denied中的方法抛出异常
            抛出的异常默认有2种情况:
            第一种情况: exceptions.NotAuthenticated()
            第二种情况: exceptions.PermissionDenied(detail=message)
        注意: 需要注意的是, 一旦抛出异常, dispatch中try中之下的代码就不会执行 (之下的代码包含: 频率校验, 反射执行视图类中的方法)
            接着就会直接响应客户端请求, 返回response了. 此时整个这次客户端的交互就结束了.

2) 实现步骤

# 实现权限控制思路: 关键点就取决于自定义的权限类中定义的has_permission的方法的返回值来控制权限的返回

#  实现步骤:
    第一步: 新建.py文件. 书写权限类
    第二步: 权限类中必须要重写has_permission方法
        注意: 重写的has_permission方法的参数
        request: APIView中dispatch方法中包装过后的request, 不是原生的了.
        self: 继承了APIView的自定义类实例化的对象
    第三步: 因为权限前面就是认证, 而认证如果通过了request.user是可以获取到认证通过的用户对象的
        注意: 有二种情况下request.user获取的是匿名用户.
        第一种: 没有自定义书写认证类
        第二种: 最后一个认证类中定义的认证方法的返回值结果是None.
    第四步: 全局 或者 局部配置
        查找: APIView -> api_settings -> DEFAULTS ->
        全局:
            'DEFAULT_PERMISSION_CLASSES': [
                    'app01.app_permission.UserPermission',  # 配置你自定义认证类的路径
                ],
        局部: permission_classes = [UserPermission, ]
        禁用: permission_classes = []

3) 编写权限类

from rest_framework.permissions import BasePermission

class USerPermission(BasePermission):
    def has_permission(self, request, view):
        """
        可能的错误一:
            AttributeError at /app01/superuser/
            'AnonymousUser' object has no attribute 'get_user_type_display'
        可能的错误二:
            AttributeError: 'AnonymousUser' object has no attribute 'user_type'
        权限认证失败返回False时:  You do not have permission to perform this action
            APIView -> dispatch  -> initial -> check_permissions -> permission_denied -> raise exceptions.PermissionDenied(detail=message)
        """
        """
        try:
            print('request.user.get_user_type_display():', request.user.get_user_type_display())
            return True if request.user.user_type == 1 else False
        except AttributeError:
            return False
        """
        # 现在这你可能出现的异常交给exception_handler捕获
        return True if request.user.user_type == 1 else False

4) 全局配置

REST_FRAMEWORK={
    'DEFAULT_PERMISSION_CLASSES': [
        'app01.app_permission.UserPermission',  # 配置你自定义认证类的路径
    ],
}

5) 局部配置

# 局部使用只需要在视图类里加入
permission_classes = [UserPermission, ]

6) 总结

1. 新建.py文件书写权限控制类, 继承 BasePermission
    from rest_framework.permissions import BasePermission
2. 新建的类中重写 has_permission 方法
    三个参数: self, request, view
    self: 自定义认证类的丢下
    request: APIView中的dispatch中封装过后的request对象
    view: 自定义视图类实例化过后的对象
3. 根据has_permission的返回布尔值是否是True 或者 False进行判断
    True:  权限通过
    False: 权限不通过, 抛出异常(抛出2种不同类型异常, 根据实际情况分析)
4. 全局配置  或者  局部配置

2. 内置权限类

1) 内置权限类

from rest_framework.permissions import AllowAny,IsAuthenticated,IsAdminUser,IsAuthenticatedOrReadOnly
- AllowAny 允许所有用户
- IsAuthenticated 仅通过认证的用户
- IsAdminUser 仅管理员用户
- IsAuthenticatedOrReadOnly 已经登陆认证的用户可以对数据进行增删改操作,没有登陆认证的只能查看数据。

2) 全局配置 和 局部配置

# 全局配置
    REST_FRAMEWORK = {
        'DEFAULT_PERMISSION_CLASSES': [
                rest_framework.permissions.AllowAny',  # 内置
            ],
    }

# 局部配置
    '''
    # IsAdminUser
        return bool(request.user and request.user.is_staff)

    # SessionAuthentication
        user = getattr(request._request, 'user', None)
            if not user or not user.is_active:
                return None
        SessionAuthentication源码控制的是user 和 user.is_active
            控制情况: 匿名用户user.is_action布尔值是False
            1. 原生的request对象中时候有user属性
            2. user中is_active的布尔值为True.
    '''
    from rest_framework.authentication import SessionAuthentication
    from rest_framework.permissions import IsAdminUser
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsAdminUser]

3) 代码实例

# 内置局部认证+内置局部权限控制: is_active控制认证 is_staff控制权限
from rest_framework.response import Response
from rest_framework.views import APIView
from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import IsAdminUser


class TextView2(APIView):
    """
    SessionAuthentication认证的判断依据: is_active
        if not user or not user.is_active:
            return None
        失败返回:
            Authentication credentials were not provided.

    IsAdminUser权限的判断依据:  is_staff
        return bool(request.user and request.user.is_staff)
        失败返回: You do not have permission to perform this action.
    """
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsAdminUser]

    def get(self, request):
        return Response('这是活跃的工作

4) 总结

内置认证: 
    from rest_framework.authentication import SessionAuthentication
    控制的是is_active
内置权限:  
    from rest_framework.permissions import isAdminUser
    控制的是is_staff

三. 频率组件

1. 自定义频率类

1) 编写频率类

# 自定义的逻辑
#(1)取出访问者ip
#(2)判断当前ip不在访问字典里,添加进去,并且直接返回True,表示第一次访问,在字典里,继续往下走
#(3)循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,把这种数据pop掉,这样列表中只有60s以内的访问时间,
#(4)判断,当列表小于3,说明一分钟以内访问不足三次,把当前时间插入到列表第一个位置,返回True,顺利通过
#(5)当大于等于3,说明一分钟内访问超过三次,返回False验证失败
class MyThrottles():
    VISIT_RECORD = {}
    def __init__(self):
        self.history=None
    def allow_request(self,request, view):
        #(1)取出访问者ip
        # print(request.META)
        ip=request.META.get('REMOTE_ADDR')
        import time
        ctime=time.time()
        # (2)判断当前ip不在访问字典里,添加进去,并且直接返回True,表示第一次访问
        if ip not in self.VISIT_RECORD:
            self.VISIT_RECORD[ip]=[ctime,]
            return True
        self.history=self.VISIT_RECORD.get(ip)
        # (3)循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,把这种数据pop掉,这样列表中只有60s以内的访问时间,
        while self.history and ctime-self.history[-1]>60:
            self.history.pop()
        # (4)判断,当列表小于3,说明一分钟以内访问不足三次,把当前时间插入到列表第一个位置,返回True,顺利通过
        # (5)当大于等于3,说明一分钟内访问超过三次,返回False验证失败
        if len(self.history)<3:
            self.history.insert(0,ctime)
            return True
        else:
            return False
    def wait(self):
        import time
        ctime=time.time()
        return 60-(ctime-self.history[-1])

2) 全局配置

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES':['app01.utils.MyThrottles',],
}

3) 局部配置

#在视图类里使用
throttle_classes = [MyThrottles,]

2. 根据用户ip限制

# 写一个类,继承自SimpleRateThrottle,(根据ip限制)
from rest_framework.throttling import SimpleRateThrottle
class VisitThrottle(SimpleRateThrottle):
    scope = 'luffy'
    def get_cache_key(self, request, view):
        return self.get_ident(request)  # get_ident中就是通过获取请求用户ip来进行限制的逻辑
    
#在setting里配置:(一分钟访问三次)
REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_RATES':{
        'luffy':'3/m'  # key要跟类中的scop对应
    }
}

3. 限制匿名用户每分钟访问5次, 限制登陆用户每分钟访问10次

# 全局配置:
    REST_FRAMEWORK = {
        'DEFAULT_THROTTLE_CLASSES': [
            'rest_framework.throttling.AnonRateThrottle',
            'rest_framework.throttling.UserRateThrottle',
        ],
        'DEFAULT_THROTTLE_RATES': {
            'user': '10/m',            # 对登录用户的频率控制:   每分钟10次
            'anon': '5/m',             # 对未登录用户的频率控制: 每分钟5次
            # 'anon': '5/mqweasdzxc',  # 提示: 这样也识别, 因为默认只会取5/m
        },
    }

# 局部配置:
    # 控制未登录用户的频率访问
        from rest_framework.throttling import AnonRateThrottle
        throttle_classes = [AnonRateThrottle]

    # 控制登录用户的频率访问:
        from rest_framework.throttling import UserRateThrottle
        throttle_classes = [UserRateThrottle]

视图中代码展示

from rest_framework.response import Response
from rest_framework.views import APIView


# 禁用认证+禁用权限控制+禁用频率校验: 未登录用户访问评频率不做限制
class TextView3(APIView):
    authentication_classes = []
    permission_classes = []
    throttle_classes = []

    def get(self, request, *args, **kwargs):

        return Response('我是未登录用户 TextView3')


# 禁用认证+禁用权限控制+匿名用户局部频率校验: 控制未登录用户的访问频率 -> 每分钟访问5次
from rest_framework.throttling import AnonRateThrottle


class TextView4(APIView):
    """
    当访问次数超出时抛出异常:
    Request was throttled. Expected available in 54 seconds.
    """
    authentication_classes = []
    permission_classes = []
    throttle_classes = [AnonRateThrottle]

    def get(self, request, *args, **kwargs):
        return Response('我是未登录用户. TextView4')


# 局部内置认证+禁用权限控制+内置用户全局频率校验: 控制登录用户的访问频率 -> 每分钟访问10次
from rest_framework.authentication import SessionAuthentication


class TextView5(APIView):
    """
    注意: 这里是内置认证以后的频率校验, 如果使用的自定义的认证, request.user是没有is_authenticated属性的
    抛出异常: 'User' object has no attribute 'is_authenticated'

    """
    authentication_classes = [SessionAuthentication]  # 认证依据is_active
    permission_classes = []

    def get(self, request, *args, **kwargs):
        return Response('我是未登录用户. TextView5')

4. 拓展: 错误信息中文显示

class Course(APIView):
    authentication_classes = [TokenAuth, ]
    permission_classes = [UserPermission, ]
    throttle_classes = [MyThrottles,]

    def get(self, request):
        return HttpResponse('get')

    def post(self, request):
        return HttpResponse('post')
    def throttled(self, request, wait):
        from rest_framework.exceptions import Throttled
        class MyThrottled(Throttled):
            default_detail = '傻逼啊'
            extra_detail_singular = '还有 {wait} second.'
            extra_detail_plural = '出了 {wait} seconds.'
        raise MyThrottled(wait)
posted @ 2020-11-15 13:24  为了等  阅读(294)  评论(0编辑  收藏  举报