Token 认证的来龙去脉,DRF认证,DRF权限,DRF限制
APIView和ModelViewSet,該如何取舍。看需求。如果用ModelViewSet,只能按照它要求的格式來走
如果想加入一點(diǎn)個(gè)性化的數(shù)據(jù),比如{"code":0,"msg":None}還是得需要使用APIView
一、Token 認(rèn)證的來龍去脈
摘要
Token 是在服務(wù)端產(chǎn)生的。如果前端使用用戶名/密碼向服務(wù)端請(qǐng)求認(rèn)證,服務(wù)端認(rèn)證成功,那么在服務(wù)端會(huì)返回 Token 給前端。前端可以在每次請(qǐng)求的時(shí)候帶上 Token 證明自己的合法地位
為什么要用 Token?
而要回答這個(gè)問題很簡(jiǎn)單——因?yàn)樗芙鉀Q問題!
可以解決哪些問題呢?
Token 完全由應(yīng)用管理,所以它可以避開同源策略
Token 可以避免 CSRF 攻擊
Token 可以是無狀態(tài)的,可以在多個(gè)服務(wù)間共享
Token 是在服務(wù)端產(chǎn)生的。如果前端使用用戶名/密碼向服務(wù)端請(qǐng)求認(rèn)證,服務(wù)端認(rèn)證成功,那么在服務(wù)端會(huì)返回 Token 給前端。前端可以在每次請(qǐng)求的時(shí)候帶上 Token 證明自己的合法地位。如果這個(gè) Token 在服務(wù)端持久化(比如存入數(shù)據(jù)庫),那它就是一個(gè)永久的身份令牌。
時(shí)序圖表示
使用 Token 的時(shí)序圖如下:
1)登錄
2)業(yè)務(wù)請(qǐng)求
關(guān)于token的詳細(xì)信息,請(qǐng)參考鏈接:
https://blog.csdn.net/maxushan001/article/details/79222271
?
二、DRF 認(rèn)證
前提
表
還是依然使用昨天的項(xiàng)目about_drf3
定義一個(gè)用戶表和一個(gè)保存用戶Token的表,models.py完整代碼下:
from django.db import models# Create your models here.# 文章表 class Article(models.Model):title = models.CharField(max_length=32, unique=True, error_messages={"unique": "文章標(biāo)題不能重復(fù)"})# 文章發(fā)布時(shí)間# auto_now每次更新的時(shí)候會(huì)把當(dāng)前時(shí)間保存create_time = models.DateField(auto_now_add=True)# auto_now_add 第一次創(chuàng)建的時(shí)候把當(dāng)前時(shí)間保存update_time = models.DateField(auto_now=True)# 文章的類型type = models.SmallIntegerField(choices=((1, "原創(chuàng)"), (2, "轉(zhuǎn)載")),default=1)# 來源school = models.ForeignKey(to='School', on_delete=models.CASCADE)# 標(biāo)簽tag = models.ManyToManyField(to='Tag')# 文章來源表 class School(models.Model):name = models.CharField(max_length=16)# 文章標(biāo)簽表 class Tag(models.Model):name = models.CharField(max_length=16)# 評(píng)論表 class Comment(models.Model):content = models.CharField(max_length=128)article = models.ForeignKey(to='Article', on_delete=models.CASCADE)# 用戶信息表 class UserInfo(models.Model):username = models.CharField(max_length=16, unique=True)password = models.CharField(max_length=32)type = models.SmallIntegerField(choices=((1, '普通用戶'), (2, 'VIP用戶')),default=1)# token class Token(models.Model):token = models.CharField(max_length=128)user = models.OneToOneField(to='UserInfo')token單獨(dú)分一個(gè)表,是因?yàn)樗窃谠杏脩舯淼墓δ軘U(kuò)展。不能對(duì)一個(gè)表無限的增加字段,否則會(huì)導(dǎo)致表原來越臃腫
在前后端分離的架構(gòu)中,前端使用ajax請(qǐng)求發(fā)送給后端,它不能使用cookie/session。那么后端怎么知道這個(gè)用戶是否登錄了,是否是VIP用戶呢?使用token就可以解決這個(gè)問題!
?
使用2個(gè)命令生成表。
makemigrations 將models.py的變更做記錄
migrate 將變更記錄轉(zhuǎn)換為sql語句,并執(zhí)行
增加2條記錄,使用navicast軟件打開sqlite數(shù)據(jù)庫,執(zhí)行以下sql
INSERT INTO app01_userinfo ("id", "username", "password", "type") VALUES (1, 'zhang', 123, 1); INSERT INTO app01_userinfo ("id", "username", "password", "type") VALUES (2, 'wang', 123, 2);app01_token表用來存放token的,它永久的身份令牌。在服務(wù)器自動(dòng)生成的!
?
視圖
修改views.py,完整代碼如下:
from django.shortcuts import render, HttpResponse
from app01 import models
from app01 import app01_serializers # 導(dǎo)入自定義的序列化
from rest_framework.viewsets import ModelViewSet
from rest_framework.views import APIView
from rest_framework.response import Response
# Create your views here.
# 生成Token的函數(shù)
def get_token_code(username):
"""
根據(jù)用戶名和時(shí)間戳生成用戶登陸成功的隨機(jī)字符串
:param username: 字符串格式的用戶名
:return: 字符串格式的Token
"""
import time
import hashlib
timestamp = str(time.time()) # 當(dāng)前時(shí)間戳
m = hashlib.md5(bytes(username, encoding='utf8'))
m.update(bytes(timestamp, encoding='utf8')) # update必須接收一個(gè)bytes
return m.hexdigest()
# 登陸視圖
class LoginView(APIView):
"""
登陸檢測(cè)視圖
1. 接收用戶發(fā)過來(POST)的用戶名和密碼數(shù)據(jù)
2. 校驗(yàn)用戶名密碼是否正確
- 成功就返回登陸成功(發(fā)Token)
- 失敗就返回錯(cuò)誤提示
"""
def post(self, request): # POST請(qǐng)求
res = {"code": 0}
# 從post里面取數(shù)據(jù)
username = request.data.get("username")
password = request.data.get("password")
# 去數(shù)據(jù)庫查詢
user_obj = models.UserInfo.objects.filter(
username=username,
password=password,
).first()
if user_obj:
# 登陸成功
# 生成Token
token = get_token_code(username)
# 將token保存
# 用user=user_obj這個(gè)條件去Token表里查詢
# 如果有記錄就更新defaults里傳的參數(shù), 沒有記錄就用defaults里傳的參數(shù)創(chuàng)建一條數(shù)據(jù)
models.Token.objects.update_or_create(defaults={"token": token}, user=user_obj)
# 將token返回給用戶
res["token"] = token
else:
# 登錄失敗
res["code"] = 1
res["error"] = '用戶名或密碼錯(cuò)誤'
return Response(res)
class CommentViewSet(ModelViewSet):
queryset = models.Comment.objects.all()
serializer_class = app01_serializers.CommentSerializer
路由
修改app01_urls.py,刪除多余的代碼
from django.conf.urls import url
from app01 import views
urlpatterns = [
url(r'login/$', views.LoginView.as_view()),
]
from rest_framework.routers import DefaultRouter
router = DefaultRouter()
# 注冊(cè)路由,表示路徑comment對(duì)應(yīng)視圖函數(shù)CommentViewSet
router.register(r'comment', views.CommentViewSet)
urlpatterns += router.urls
使用postman發(fā)送post登錄
查看返回結(jié)果,code為0表示登錄成功,并返回一個(gè)token
查看表app01_token,就會(huì)多一條記錄
?
postman訪問評(píng)論,它是可以任意訪問的
?
DRF認(rèn)證源碼流程
DRF認(rèn)證源碼流程,請(qǐng)參考鏈接:
https://www.cnblogs.com/haiyan123/p/8419872.html? (后半段沒有寫)
https://www.cnblogs.com/derek1184405959/p/8712206.html? (后半段寫了)
?
執(zhí)行流程圖解
圖片來源:?https://www.cnblogs.com/renpingsheng/p/7897192.html
?
定義一個(gè)認(rèn)證類
現(xiàn)在有一個(gè)需求,只有登錄的用戶,才能對(duì)評(píng)論做修改
在app01(應(yīng)用名)目錄下創(chuàng)建目錄utils,在此目錄下創(chuàng)建auth.py
""" 自定義的認(rèn)證類都放在這里 """ from rest_framework.authentication import BaseAuthentication from app01 import models from rest_framework.exceptions import AuthenticationFailedclass MyAuth(BaseAuthentication):def authenticate(self, request): # 必須要實(shí)現(xiàn)此方法if request.method in ['POST', 'PUT', 'DELETE']:token = request.data.get("token")# 去數(shù)據(jù)庫查詢有沒有這個(gè)tokentoken_obj = models.Token.objects.filter(token=token).first()if token_obj:# token_obj有2個(gè)屬性,詳見models.py中的Token。# return后面的代碼,相當(dāng)于分別賦值。例如a=1,b=2等同于a,b=1,2# return多個(gè)值,返回一個(gè)元組#在rest framework內(nèi)部會(huì)將這兩個(gè)字段賦值給request,以供后續(xù)操作使用return token_obj.user, token # self.user, self.token = token_obj.user, tokenelse:raise AuthenticationFailed('無效的token')else:return None, None視圖級(jí)別認(rèn)證
修改views.py,完整代碼如下:
from django.shortcuts import render, HttpResponse
from app01 import models
from app01 import app01_serializers # 導(dǎo)入自定義的序列化
from rest_framework.viewsets import ModelViewSet
from rest_framework.views import APIView
from rest_framework.response import Response
from app01.utils.auth import MyAuth # app01.utils.auth表示app01目錄下的utils下的auth.py
# Create your views here.
# 生成Token的函數(shù)
def get_token_code(username):
"""
根據(jù)用戶名和時(shí)間戳生成用戶登陸成功的隨機(jī)字符串
:param username: 字符串格式的用戶名
:return: 字符串格式的Token
"""
import time
import hashlib
timestamp = str(time.time()) # 當(dāng)前時(shí)間戳
m = hashlib.md5(bytes(username, encoding='utf8'))
m.update(bytes(timestamp, encoding='utf8')) # update必須接收一個(gè)bytes
return m.hexdigest()
# 登陸視圖
class LoginView(APIView):
"""
登陸檢測(cè)視圖
1. 接收用戶發(fā)過來(POST)的用戶名和密碼數(shù)據(jù)
2. 校驗(yàn)用戶名密碼是否正確
- 成功就返回登陸成功(發(fā)Token)
- 失敗就返回錯(cuò)誤提示
"""
def post(self, request): # POST請(qǐng)求
res = {"code": 0}
# 從post里面取數(shù)據(jù)
username = request.data.get("username")
password = request.data.get("password")
# 去數(shù)據(jù)庫查詢
user_obj = models.UserInfo.objects.filter(
username=username,
password=password,
).first()
if user_obj:
# 登陸成功
# 生成Token
token = get_token_code(username)
# 將token保存
# 用user=user_obj這個(gè)條件去Token表里查詢
# 如果有記錄就更新defaults里傳的參數(shù), 沒有記錄就用defaults里傳的參數(shù)創(chuàng)建一條數(shù)據(jù)
models.Token.objects.update_or_create(defaults={"token": token}, user=user_obj)
# 將token返回給用戶
res["token"] = token
else:
# 登錄失敗
res["code"] = 1
res["error"] = '用戶名或密碼錯(cuò)誤'
return Response(res)
class CommentViewSet(ModelViewSet):
queryset = models.Comment.objects.all()
serializer_class = app01_serializers.CommentSerializer
authentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuth
?發(fā)送一個(gè)空的post請(qǐng)求,返回結(jié)果如下:
發(fā)送一個(gè)錯(cuò)誤的token
返回結(jié)果:
發(fā)送正確的token
返回結(jié)果,出現(xiàn)以下信息,說明已經(jīng)通過了認(rèn)證
全局級(jí)別認(rèn)證
要想讓每一個(gè)視圖都要認(rèn)證,可以在settings.py中配置
REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類"DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ] }修改views.py,注釋掉CommentViewSet中的authentication_classes
class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializer# authentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuth再次測(cè)試上面的3種請(qǐng)求方式,效果同上!
二、DRF權(quán)限
權(quán)限源碼流程
請(qǐng)參考鏈接:
http://www.cnblogs.com/derek1184405959/p/8722212.html
?
舉例1
只有VIP用戶才能看的內(nèi)容。
?
自定義一個(gè)權(quán)限類
has_permission
在目錄app01-->utils下面新建文件permission.py
""" 自定義的權(quán)限類 """ from rest_framework.permissions import BasePermissionclass MyPermission(BasePermission):def has_permission(self, request, view):"""判斷該用戶有沒有權(quán)限"""# 判斷用戶是不是VIP用戶# 如果是VIP用戶就返回True# 如果是普通用戶就返回Falseprint('我要進(jìn)行自定義的權(quán)限判斷啦....')print(request)print(request.user)return True視圖級(jí)別配置
修改views.py,指定permission_classes
from django.shortcuts import render, HttpResponse from app01 import models from app01 import app01_serializers # 導(dǎo)入自定義的序列化 from rest_framework.viewsets import ModelViewSet from rest_framework.views import APIView from rest_framework.response import Response from app01.utils.auth import MyAuth # app01.utils.auth表示app01目錄下的utils下的auth.py from app01.utils.permission import MyPermission# Create your views here.# 生成Token的函數(shù) def get_token_code(username):"""根據(jù)用戶名和時(shí)間戳生成用戶登陸成功的隨機(jī)字符串:param username: 字符串格式的用戶名:return: 字符串格式的Token"""import timeimport hashlibtimestamp = str(time.time()) # 當(dāng)前時(shí)間戳m = hashlib.md5(bytes(username, encoding='utf8'))m.update(bytes(timestamp, encoding='utf8')) # update必須接收一個(gè)bytesreturn m.hexdigest()# 登陸視圖 class LoginView(APIView):"""登陸檢測(cè)視圖1. 接收用戶發(fā)過來(POST)的用戶名和密碼數(shù)據(jù)2. 校驗(yàn)用戶名密碼是否正確- 成功就返回登陸成功(發(fā)Token)- 失敗就返回錯(cuò)誤提示"""def post(self, request): # POST請(qǐng)求res = {"code": 0}# 從post里面取數(shù)據(jù)username = request.data.get("username")password = request.data.get("password")# 去數(shù)據(jù)庫查詢user_obj = models.UserInfo.objects.filter(username=username,password=password,).first()if user_obj:# 登陸成功# 生成Tokentoken = get_token_code(username)# 將token保存# 用user=user_obj這個(gè)條件去Token表里查詢# 如果有記錄就更新defaults里傳的參數(shù), 沒有記錄就用defaults里傳的參數(shù)創(chuàng)建一條數(shù)據(jù)models.Token.objects.update_or_create(defaults={"token": token}, user=user_obj)# 將token返回給用戶res["token"] = tokenelse:# 登錄失敗res["code"] = 1res["error"] = '用戶名或密碼錯(cuò)誤'return Response(res)class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializer# authentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuthpermission_classes = [MyPermission, ] # 局部使用權(quán)限方法發(fā)送get請(qǐng)求
查看Pycharm控制臺(tái)輸出:
我要進(jìn)行自定義的權(quán)限判斷啦.... <rest_framework.request.Request object at 0x000002576A780FD0> None發(fā)現(xiàn)用戶為None
?
普通用戶
發(fā)送post請(qǐng)求,寫一個(gè)正確的token,用zhang用戶的token
查看Pycharm控制臺(tái)輸出:
我要進(jìn)行自定義的權(quán)限判斷啦.... <rest_framework.request.Request object at 0x000002576A9852B0> UserInfo object此時(shí)得到了一個(gè)用戶對(duì)象
修改permission.py,獲取用戶名以及用戶類型
""" 自定義的權(quán)限類 """ from rest_framework.permissions import BasePermissionclass MyPermission(BasePermission):def has_permission(self, request, view):"""判斷該用戶有沒有權(quán)限"""# 判斷用戶是不是VIP用戶# 如果是VIP用戶就返回True# 如果是普通用戶就返回Falseprint('我要進(jìn)行自定義的權(quán)限判斷啦....')print(request)print(request.user.username)print(request.user.type)return True再次發(fā)送同樣的post請(qǐng)求,再次查看pycharm控制臺(tái)輸出
<rest_framework.request.Request object at 0x000001D893AC4048> zhang 1居然得到了zhang和1。為什么呢?為什么request.user.username就能得到用戶名呢?
我來大概解釋一下,先打開這篇文章:
https://www.cnblogs.com/derek1184405959/p/8712206.html
我引用里面幾句話
Request有個(gè)user方法,加 @property 表示調(diào)用user方法的時(shí)候不需要加括號(hào)“user()”,可以直接調(diào)用:request.user在rest framework內(nèi)部會(huì)將這兩個(gè)字段賦值給request,以供后續(xù)操作使用
return (token_obj.user,token_obj)上面的return的值,來源于app01\utils\auth.py?里面的MyAuth類中的return?token_onj.user , token?簡(jiǎn)單來說,通過認(rèn)證之后,它會(huì)request進(jìn)行再次封裝,所以調(diào)用request.user時(shí),得到了一個(gè)對(duì)象,這個(gè)對(duì)象就是執(zhí)行models.Token.objects.filter(token=token).first()結(jié)果
如果ORM沒有查詢出結(jié)果,它就是一個(gè)匿名用戶!
?
修改permission.py ,如果VIP返回True,否則返回False
""" 自定義的權(quán)限類 """ from rest_framework.permissions import BasePermissionclass MyPermission(BasePermission):def has_permission(self, request, view):"""判斷用戶有沒有權(quán)限:param request::param view::return:"""#判斷用戶是不是VIP用戶#如果是VIP用戶就返回True#如果是普通用戶就返回Falseprint('我要進(jìn)行自定義的權(quán)限判斷....')print(request.user.username)print(request.user.type)if request.user.type == 2: #是VIP用戶return Trueelse:return False修改settings.py,關(guān)閉全局級(jí)別認(rèn)證
REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類# "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ] } REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類# "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ] }
?
使用VIP用戶wang登錄
使用VIP用戶wang登錄
查看返回結(jié)果,它返回wang的token
查看表app01_token,它現(xiàn)在有2個(gè)記錄了
?
復(fù)制zhang的token,發(fā)送一條評(píng)論
查看返回結(jié)果,提示您沒有執(zhí)行此操作的權(quán)限
英文看不懂,沒關(guān)系,定義成中文就行了
修改permission.py,定義message
""" 自定義的權(quán)限類 """ from rest_framework.permissions import BasePermissionclass MyPermission(BasePermission):message = '您沒有執(zhí)行此操作的權(quán)限!'def has_permission(self, request, view):"""判斷該用戶有沒有權(quán)限"""# 判斷用戶是不是VIP用戶# 如果是VIP用戶就返回True# 如果是普通用戶就返回Falseprint('我要進(jìn)行自定義的權(quán)限判斷啦....')# print(request)print(request.user.username)print(request.user.type)if request.user.type == 2: # 是VIP用戶return Trueelse:return FalseVIP用戶
將token改成VIP用戶測(cè)試
查看返回結(jié)果
?
修改permission.py,定義發(fā)送類型
修改permission.py,定義發(fā)送類型
"""
自定義的權(quán)限類
"""
from rest_framework.permissions import BasePermission
class MyPermission(BasePermission):
message = '您沒有執(zhí)行此操作的權(quán)限!'
def has_permission(self, request, view):
"""
判斷該用戶有沒有權(quán)限
"""
# 判斷用戶是不是VIP用戶
# 如果是VIP用戶就返回True
# 如果是普通用戶就返回False
print('我要進(jìn)行自定義的權(quán)限判斷啦....')
if request.method in ['POST', 'PUT', 'DELETE']:
print(request.user.username)
print(request.user.type)
if request.user.type == 2: # 是VIP用戶
return True
else:
return False
else:
return True
發(fā)送正確的值
查看返回結(jié)果
查看表app01_comment記錄
?
全局級(jí)別設(shè)置
修改settings.py,增加一行
REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類# "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ]"DEFAULT_PERMISSION_CLASSES": ["app01.utils.permission.MyPermission", ] }修改views.py,注釋局部的
from django.shortcuts import render, HttpResponse from app01 import models from app01 import app01_serializers # 導(dǎo)入自定義的序列化 from rest_framework.viewsets import ModelViewSet from rest_framework.views import APIView from rest_framework.response import Response from app01.utils.auth import MyAuth # app01.utils.auth表示app01目錄下的utils下的auth.py from app01.utils.permission import MyPermission# Create your views here.# 生成Token的函數(shù) def get_token_code(username):"""根據(jù)用戶名和時(shí)間戳生成用戶登陸成功的隨機(jī)字符串:param username: 字符串格式的用戶名:return: 字符串格式的Token"""import timeimport hashlibtimestamp = str(time.time()) # 當(dāng)前時(shí)間戳m = hashlib.md5(bytes(username, encoding='utf8'))m.update(bytes(timestamp, encoding='utf8')) # update必須接收一個(gè)bytesreturn m.hexdigest()# 登陸視圖 class LoginView(APIView):"""登陸檢測(cè)視圖1. 接收用戶發(fā)過來(POST)的用戶名和密碼數(shù)據(jù)2. 校驗(yàn)用戶名密碼是否正確- 成功就返回登陸成功(發(fā)Token)- 失敗就返回錯(cuò)誤提示"""def post(self, request): # POST請(qǐng)求res = {"code": 0}# 從post里面取數(shù)據(jù)username = request.data.get("username")password = request.data.get("password")# 去數(shù)據(jù)庫查詢user_obj = models.UserInfo.objects.filter(username=username,password=password,).first()if user_obj:# 登陸成功# 生成Tokentoken = get_token_code(username)# 將token保存# 用user=user_obj這個(gè)條件去Token表里查詢# 如果有記錄就更新defaults里傳的參數(shù), 沒有記錄就用defaults里傳的參數(shù)創(chuàng)建一條數(shù)據(jù)models.Token.objects.update_or_create(defaults={"token": token}, user=user_obj)# 將token返回給用戶res["token"] = tokenelse:# 登錄失敗res["code"] = 1res["error"] = '用戶名或密碼錯(cuò)誤'return Response(res)class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializerauthentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuth# permission_classes = [MyPermission, ] # 局部使用權(quán)限方法
驗(yàn)證
使用普通用戶測(cè)試
?查看返回結(jié)果
?
舉例2
只要評(píng)論的作者是自己,就可以刪除,否則不行!
只要評(píng)論的作者是自己,就可以刪除,否則不行!
表結(jié)構(gòu)
修改models.py,在評(píng)論表中,增加一個(gè)字段user
class Comment(models.Model):content = models.CharField(max_length=128)article = models.ForeignKey(to='Article', on_delete=models.CASCADE)user = models.ForeignKey(to='UserInfo', on_delete=models.CASCADE, null=True) class Comment(models.Model):content = models.CharField(max_length=128)article = models.ForeignKey(to='Article', on_delete=models.CASCADE)user = models.ForeignKey(to='UserInfo', on_delete=models.CASCADE, null=True)使用2個(gè)命令生成表。
python manage.py makemigrations python manage.py migrate修改表,增加2個(gè)user_id
has_object_permission
修改permission.py,增加has_object_permission
它比上面的has_permission方法多了一個(gè)obj
它是操作的對(duì)象,比如評(píng)論對(duì)象
"""
自定義的權(quán)限類
"""
from rest_framework.permissions import BasePermission
class MyPermission(BasePermission):
message = '您沒有執(zhí)行此操作的權(quán)限!'
def has_permission(self, request, view):
"""
判斷該用戶有沒有權(quán)限
"""
# 判斷用戶是不是VIP用戶
# 如果是VIP用戶就返回True
# 如果是普通用戶就返回False
print('我要進(jìn)行自定義的權(quán)限判斷啦....')
return True
# if request.method in ['POST', 'PUT', 'DELETE']:
# print(request.user.username)
# print(request.user.type)
# if request.user.type == 2: # 是VIP用戶
# return True
# else:
# return False
# else:
# return True
def has_object_permission(self, request, view, obj):
"""
判斷當(dāng)前評(píng)論用戶的作者是不是你當(dāng)前的用戶
只有評(píng)論的作者才能刪除自己的評(píng)論
"""
print('這是在自定義權(quán)限類中的has_object_permission')
print(obj.id)
if request.method in ['PUT', 'DELETE']:
if obj.user == request.user:
# 當(dāng)前要?jiǎng)h除的評(píng)論的作者就是當(dāng)前登陸的用戶
return True
else:
return False
else:
return True
?使用普通用戶的token發(fā)送delete類型的請(qǐng)求
查看返回結(jié)果?
?使用VIP用戶的token發(fā)送
?查看返回結(jié)果,為空,表示刪除成功
?
?查看表app01_comment,發(fā)現(xiàn)少了一條記錄
?
四、DRF限制
限制也稱之為節(jié)流
DRF節(jié)流源碼分析
請(qǐng)參考鏈接:
http://www.cnblogs.com/derek1184405959/p/8722638.html
自定義限制類
對(duì)IP做限制,60秒只能訪問3次
?
在about_drf\app01\utils下面創(chuàng)建throttle.py
"""
自定義的訪問限制類
"""
from rest_framework.throttling import BaseThrottle, SimpleRateThrottle
import time
D = {} # {'127.0.0.1': [1533302442, 1533302439,...]}
class MyThrottle(BaseThrottle):
def allow_request(self, request, view):
"""
返回True就放行,返回False表示被限制了...
"""
# 1. 獲取當(dāng)前訪問的IP
ip = request.META.get("REMOTE_ADDR")
print('這是自定義限制類中的allow_request')
print(ip)
# 2. 獲取當(dāng)前的時(shí)間
now = time.time()
# 判斷當(dāng)前ip是否有訪問記錄
if ip not in D:
D[ip] = [] # 初始化一個(gè)空的訪問歷史列表
# 高端騷操作
history = D[ip]
while history and now - history[-1] > 10:
history.pop()
# 判斷最近一分鐘的訪問次數(shù)是否超過了閾值(3次)
if len(history) >= 3:
return False
else:
# 把這一次的訪問時(shí)間加到訪問歷史列表的第一位
D[ip].insert(0, now)
return True
代碼解釋:
request.META.get("REMOTE_ADDR")? 獲取遠(yuǎn)程IP
D? 存儲(chǔ)的值,類似于
"192.168.1.2":["17:06:45","12:04:03","12:04:01"]最后一個(gè)元素,就是最先開始的時(shí)間
for循環(huán)列表,不能對(duì)列表做更改操作!所以使用while循環(huán)
while history and now - history[-1] > 10:history.pop()history是歷史列表,history[-1] 表示列表最后一個(gè)元素
history and now - history[-1] > 10 表示當(dāng)歷史列表中有元素,并且當(dāng)前時(shí)間戳減去最后一個(gè)元素的時(shí)間戳大于10的時(shí)候,執(zhí)行history.pop(),表示刪除最后一個(gè)元素
當(dāng)歷史列表為空時(shí),或者小于差值小于10的時(shí)候,結(jié)束循環(huán)。
?
視圖使用
修改views.py
修改views.py
from django.shortcuts import render, HttpResponse
from app01 import models
from app01 import app01_serializers # 導(dǎo)入自定義的序列化
from rest_framework.viewsets import ModelViewSet
from rest_framework.views import APIView
from rest_framework.response import Response
from app01.utils.auth import MyAuth # app01.utils.auth表示app01目錄下的utils下的auth.py
from app01.utils.permission import MyPermission
from app01.utils.throttle import MyThrottle
# Create your views here.
# 生成Token的函數(shù)
def get_token_code(username):
"""
根據(jù)用戶名和時(shí)間戳生成用戶登陸成功的隨機(jī)字符串
:param username: 字符串格式的用戶名
:return: 字符串格式的Token
"""
import time
import hashlib
timestamp = str(time.time()) # 當(dāng)前時(shí)間戳
m = hashlib.md5(bytes(username, encoding='utf8'))
m.update(bytes(timestamp, encoding='utf8')) # update必須接收一個(gè)bytes
return m.hexdigest()
# 登陸視圖
class LoginView(APIView):
"""
登陸檢測(cè)視圖
1. 接收用戶發(fā)過來(POST)的用戶名和密碼數(shù)據(jù)
2. 校驗(yàn)用戶名密碼是否正確
- 成功就返回登陸成功(發(fā)Token)
- 失敗就返回錯(cuò)誤提示
"""
def post(self, request): # POST請(qǐng)求
res = {"code": 0}
# 從post里面取數(shù)據(jù)
username = request.data.get("username")
password = request.data.get("password")
# 去數(shù)據(jù)庫查詢
user_obj = models.UserInfo.objects.filter(
username=username,
password=password,
).first()
if user_obj:
# 登陸成功
# 生成Token
token = get_token_code(username)
# 將token保存
# 用user=user_obj這個(gè)條件去Token表里查詢
# 如果有記錄就更新defaults里傳的參數(shù), 沒有記錄就用defaults里傳的參數(shù)創(chuàng)建一條數(shù)據(jù)
models.Token.objects.update_or_create(defaults={"token": token}, user=user_obj)
# 將token返回給用戶
res["token"] = token
else:
# 登錄失敗
res["code"] = 1
res["error"] = '用戶名或密碼錯(cuò)誤'
return Response(res)
class CommentViewSet(ModelViewSet):
queryset = models.Comment.objects.all()
serializer_class = app01_serializers.CommentSerializer
authentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuth
# permission_classes = [MyPermission, ] # 局部使用權(quán)限方法
throttle_classes = [MyThrottle, ] # 局部使用限制方法
使用postman發(fā)送GET請(qǐng)求
瘋狂的點(diǎn)擊SEND按鈕,多發(fā)送幾次
提示請(qǐng)求達(dá)到了限制
?等待十幾秒,就可以訪問了
全局使用
修改settings.py
REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類# "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ],#"DEFAULT_PERMISSION_CLASSES": ["app01.utils.permission.MyPermission", ],"DEFAULT_THROTTLE_CLASSES": ["app01.utils.throttle.MyThrottle", ] } REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類# "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ],#"DEFAULT_PERMISSION_CLASSES": ["app01.utils.permission.MyPermission", ],"DEFAULT_THROTTLE_CLASSES": ["app01.utils.throttle.MyThrottle", ] }修改views.py,注釋掉代碼
class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializerauthentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuthpermission_classes = [MyPermission, ] # 局部使用權(quán)限方法# throttle_classes = [MyThrottle, ] # 局部使用限制方法 class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializerauthentication_classes = [MyAuth, ] # 局部使用認(rèn)證方法MyAuthpermission_classes = [MyPermission, ] # 局部使用權(quán)限方法# throttle_classes = [MyThrottle, ] # 局部使用限制方法再次測(cè)試,效果同上!
?
使用內(nèi)置限制類
修改about_drf\app01\utils\throttle.py
"""
自定義的訪問限制類
"""
from rest_framework.throttling import BaseThrottle, SimpleRateThrottle
# import time
#
# D = {} # {'127.0.0.1': [1533302442, 1533302439,...]}
#
#
# class MyThrottle(BaseThrottle):
#
# def allow_request(self, request, view):
#
# """
# 返回True就放行,返回False表示被限制了...
# """
# # 1. 獲取當(dāng)前訪問的IP
# ip = request.META.get("REMOTE_ADDR")
# print('這是自定義限制類中的allow_request')
# print(ip)
# # 2. 獲取當(dāng)前的時(shí)間
# now = time.time()
# # 判斷當(dāng)前ip是否有訪問記錄
# if ip not in D:
# D[ip] = [] # 初始化一個(gè)空的訪問歷史列表
# # 高端騷操作
# history = D[ip]
# while history and now - history[-1] > 10:
# history.pop()
# # 判斷最近一分鐘的訪問次數(shù)是否超過了閾值(3次)
# if len(history) >= 3:
# return False
# else:
# # 把這一次的訪問時(shí)間加到訪問歷史列表的第一位
# D[ip].insert(0, now)
# return True
class MyThrottle(SimpleRateThrottle):
scope = "rate" # rate是名字,可以隨便定義!
def get_cache_key(self, request, view):
return self.get_ident(request)
注意:scope是關(guān)鍵字參數(shù)
get_cache_key 的名字不能變動(dòng)
self.get_ident(request)? 表示遠(yuǎn)程IP地址
?
全局配置
修改settings.py
REST_FRAMEWORK = {# 表示app01-->utils下的auth.py里面的MyAuth類# "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.auth.MyAuth", ]"DEFAULT_PERMISSION_CLASSES": ["app01.utils.permission.MyPermission", ],"DEFAULT_THROTTLE_CLASSES": ["app01.utils.throttle.MyThrottle", ],"DEFAULT_THROTTLE_RATES": {"rate": "3/m",} }注意:rate對(duì)應(yīng)的是throttle.py里面MyThrottle定義的scope屬性的值
3/m 表示1分鐘3次
?
再次測(cè)試,效果如下:
它還會(huì)返回倒計(jì)時(shí)的時(shí)間!
轉(zhuǎn)載于:https://www.cnblogs.com/haowen980/p/9416531.html
總結(jié)
以上是生活随笔為你收集整理的Token 认证的来龙去脉,DRF认证,DRF权限,DRF限制的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PAT-A1002
- 下一篇: 二、抽象层的Builder模式