04，认证、权限、频率

时间：2019-01-03 23:08:41 阅读：204 评论：0 收藏：0 [点我收藏+]

标签：ble line splay animate fat table The dom vsc

认证组件

Django原生的authentic组件为我们的用户注册与登录提供了认证功能，十分的简介与强大。同样DRF也为我们提供了认证组件，一起来看看DRF里面的认证组件是怎么为我们工作的！

models.py

<wiz_code_mirror>

 
# 定义一个用户表和一个保存用户Token的表
class UserInfo(models.Model):
    username = models.CharField(max_length=16)
    password = models.CharField(max_length=32)
    type = models.SmallIntegerField(
        choices=((1, ‘普通用户‘), (2, ‘VIP用户‘)),
        default=1
    )
class Token(models.Model):
    user = models.OneToOneField(to=‘UserInfo‘)
    token_code = models.CharField(max_length=128)

url

<wiz_code_mirror>

 
    path(‘login/‘, views.LoginView.as_view()),

views.py

# 视图主要处理用户名、密码是否正确，用户每一次请求都要带着专有token来！
import hashlib, time
from rest_framework.response import Response
from rest_framework.views import APIView

def get_random_token(username):
    """
    根据用户名和时间戳生成随机token
    :param username:
    :return:
    """
    timestamp = str(time.time())
    m = hashlib.md5(bytes(username, encoding="utf8"))
    m.update(bytes(timestamp, encoding="utf8"))
    return m.hexdigest()

class LoginView(APIView):
    """
    校验用户名密码是否正确从而生成token的视图
    """
    def post(self, request):
        res = {"code": 0}
        print(request.data)
        username = request.data.get("username")
        password = request.data.get("password")

user = models.UserInfo.objects.filter(username=username, password=password).first()
        if user:
            # 如果用户名密码正确
            token = get_random_token(username)
            models.Token.objects.update_or_create(defaults={"token_code": token}, user=user)
            res["token"] = token
        else:
            res["code"] = 1
            res["error"] = "用户名或密码错误"
        return Response(res)

<wiz_code_mirror>

 
 
 
 
 
 
# 视图主要处理用户名、密码是否正确，用户每一次请求都要带着专有token来！
import hashlib, time
from rest_framework.response import Response
from rest_framework.views import APIView
def get_random_token(username):
    """
    根据用户名和时间戳生成随机token
    :param username:
    :return:
    """
    timestamp = str(time.time())
    m = hashlib.md5(bytes(username, encoding="utf8"))
    m.update(bytes(timestamp, encoding="utf8"))
    return m.hexdigest()
class LoginView(APIView):
    """
    校验用户名密码是否正确从而生成token的视图
    """
    def post(self, request):
        res = {"code": 0}
        print(request.data)
        username = request.data.get("username")
        password = request.data.get("password")
        user = models.UserInfo.objects.filter(username=username, password=password).first()
        if user:
            # 如果用户名密码正确
            token = get_random_token(username)
            models.Token.objects.update_or_create(defaults={"token_code": token}, user=user)
            res["token"] = token
        else:
            res["code"] = 1
            res["error"] = "用户名或密码错误"
        return Response(res)
 
 

定义认证类model_serializer.py

<wiz_code_mirror>

 
 
 
 
 
 
# 这一步是要对着源码才能写出来
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
class MyAuth(BaseAuthentication):
    def authenticate(self, request):
        if request.method in ["POST", "PUT", "DELETE"]:
            request_token = request.data.get("token", None)
            if not request_token:
                raise AuthenticationFailed(‘缺少token‘)
            token_obj = models.Token.objects.filter(token_code=request_token).first()
            if not token_obj:
                raise AuthenticationFailed(‘无效的token‘)
            return token_obj.user.username, None
        else:
            return None, None
 
 

全局配置

<wiz_code_mirror>

 
# 在settings.py中配置
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ]
}

权限组件

只有vip才能看的内容

自定义权限类

<wiz_code_mirror>

 
 
 
 
 
 
# 自定义权限类
from rest_framework.permissions import BasePermission
class MyPermission(BasePermission):
    message = ‘VIP用户才能访问‘
    def has_permission(self, request, view):
        """
        自定义权限只有VIP用户才能访问
        """
        # 因为在进行权限判断之前已经做了认证判断，所以这里可以直接拿到request.user
        if request.user and request.user.type == 2:  # 如果是VIP用户
            return True
        else:
            return False
 
 

视图级别配置

<wiz_code_mirror>

 
class CommentViewSet(ModelViewSet):
    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    authentication_classes = [MyAuth, ]
    permission_classes = [MyPermission, ]

全局配置

<wiz_code_mirror>

 
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
}

频率组件

频率：限制用户访问网站的频率

自定义限制类

<wiz_code_mirror>

 
 
 
 
 
 
VISIT_RECORD = {}
# 自定义限制
class MyThrottle(object):
    def __init__(self):
        self.history = None
    def allow_request(self, request, view):
        """
        自定义频率限制60秒内只能访问三次
        """
        # 获取用户IP
        ip = request.META.get("REMOTE_ADDR")
        timestamp = time.time()
        if ip not in VISIT_RECORD:
            VISIT_RECORD[ip] = [timestamp, ]
            return True
        history = VISIT_RECORD[ip]
        self.history = history
        history.insert(0, timestamp)
        while history and history[-1] < timestamp - 60:
            history.pop()
        if len(history) > 3:
            return False
        else:
            return True
    def wait(self):
        """
        限制时间还剩多少
        """
        timestamp = time.time()
        return 60 - (timestamp - self.history[-1])
 
 

视图级别配置

<wiz_code_mirror>

 
x
 
class CommentViewSet(ModelViewSet):
    queryset = models.Comment.objects.all()
    serializer_class = app01_serializers.CommentSerializer
    throttle_classes = [MyThrottle, ]

全局配置

<wiz_code_mirror>

 
# 在settings.py中设置rest framework相关配置项
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],
    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]
    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]
}