DRF的三大认证组件
2024-10-07 22:38:17
DRF的三大认证组件
认证组件
工作原理
首先,认证组件是基于BaseAuthentication类,并重写authenticate方法.
其认证的规则大概分三个方面:
- 如果没有携带认证信息(token),直接返回None,也就是判定登录为游客登录
- 如果携带有认证信息,但是校验失败,则会抛出异常,这种情况通常为非法用户,爬虫就属于这一类
- 如果有认证信息,且通过校验能够查到数据库中相应的数据,那么就判定登录方为合法用户.
实现
在使用认证组件的时候,我们需要新建一个utils文件夹,然后在其下建立对应的认证组件,权限组件和频率组件,
# /utils/authentications.py
from rest_framework.authentication import BaseAuthentication
class TokenAuthentication(BaseAuthentication):
prefix = 'Token'
def authenticate(self, request):
# 这里我们需要通过request来拿到前台传来的的token,字典的key为HTTP_AUTHORIZATION,以get取值
auth = request.META.get('HTTP_AUTHORIZATION')
# 判断拿到的token是否为空,如果为空则返回None
if not auth:
return None
# 如果不为空,切割
auth_list = auth.split()
# 切割完之后判断如果其长度不是2或者第一位的小写不等于之前我们赋予的token字符串,就是非法用户
if not (len(auth_list) == 2 and auth_list[0].lower() == self.prefix.lower()):
raise AuthenticationFailed('非法用户')
# 判断以上两步之后,就是合法用户,我们校验其算法之后,让其登录,或者抛异常
token = auth_list[1]
# 校验算法
user = _get_obj(token)
# 校验失败抛异常,成功返回(user, token)
return (user, token)
权限组件
工作原理
权限组件是基于BasePermission类,且重写has_permission方法,该方法字面意思我们也能看懂,就是是否有此权限的意思.
对于权限的判断也只有常见的两种,返回值为True就是要有权限,返回值为False代表无权限.
实现
权限组件的实现与认证权限相似
# /utils/permissions.py
from rest_framework.permissions import BasePermission
class SuperUserPermission(BasePermission):
# 下面我们重写has_permission方法
def has_permission(self, request, view):
# 这里我们判定的是超级用户,即当登录的用户存在且是超级用户的时候权限存在,如果只是判断普通用户的话把and后面的判断条件取消去掉即可
return request.user and request.user.is_superuser
频率组件
工作原理
频率组件起到的作用是限制同一个用户或者IP在一定时间内访问同一接口的次数,其工作原理如下:
- 频率组件是基于SimpleRateThrottle,重写的是get_cache_key方法,并设置scope类的属性
- scope是一个认证字符串,在配置文件中我们通过配置scope字符串来实现对应的频率设置,scope本身只是一个普通的字符串,只是起到一种提示的作用
- get_cache_key方法的返回值是一个字符串,该字符串就是缓存访问次数的缓存key
实现
# /utils/throttles.py
from rest_framework.throttling import SimpleRateThrottle
class ThreeTimeUserThrottle(SimpleRateThrottle):
# scope本身没有意义,我们将其定义只是为了提示其真正作用,真正设置频率需要在settings.py文件里面配置
scope = 'three'
# 取到当前用户缓存的key
def get_cache_key(self, request, view):
# 这里的返回值注意,要返回一个跟当前用户相关的值,不能返回一个固定的值,除非是针对游客所定义的频率类
return 'throttle:user_%s' % (request.user.id)
三种组件的配置
三种组件的全局配置如下:
# settings.py
REST_FRAMEWORK = {
# 认证模块
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.TokenAuthentication',
],
# 权限模块
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAuthenticated',
],
# 频率设置
'DEFAULT_THROTTLE_RATES': {
# 这里前一个字段时我们在throttles.py文件里定义的scope字段,后面就是真正的频率设置
# 要注意的是,频率设置/后面的部分其实只取到第一个字符,后面的字符都没有作用,只凭第一个字符来从字典里面取值,具体的配置在源码里面,位置为 rest_framework\throttling.py\里面的parse_rate方法,就是解析配置项,默认如下:
# duration_dic = {'s': 1, 'm': 60, 'h': 3600, 'd': 86400},s是每秒秒,m是每分钟,h是每小时,d是每天
'three': '3/min',
},
}
如果需要局部配置的话,只需要在需要使用的views.py文件中相应的方法中加入即可,比如:
class UserCenterAPIView(APIView):
# 认证模块局部配置,为空即是清空配置
authentication_classes = []
# 权限模块局部配置
permission_classes = [IsAuthenticated]
# 频率模块局部配置
throttle_classes = [ThreeTimeUserThrottle]
def get(self, request, *args, **kwargs):
pass
最新文章
- 小萝贝控机大师工具推荐(一款在PC就能控制手机界面的工具)
- java中jdk和jre的区别
- CI3.0控制器下面建文件夹 访问一直404 的解决方法
- SEO基础问题:1. 关于网站的三要素你知道多少?
- SQLserver删除某数据库中所有表 方法 二
- C#生成日期流水账号
- The 2013 ACM-ICPC Asia Changsha Regional Contest - A
- Javascript DOM编程艺术
- onmousedown活用之碰撞效果
- 013-Cookie状态保持
- NIO基础篇(三)
- tkinter打招呼
- Lua学习----零碎知识点
- ibatisNet MERGE INTO ORA-00911: 无效字符
- 脚本解决.NET MVC按钮重复提交问题
- 访问GitLab的PostgreSQL数据库,查询、修改、替换等操作
- Thread-方法以及wait、notify简介
- 转://点评Oracle11g新特性之动态变量窥视
- 开启打印服务Print Spooler
- 调查显示数据分析已取代Web开发成为第一用例