drf06 认证Authentication 权限Permissions 限流Throttling

最新推荐文章于 2024-12-16 10:03:09 发布
最新推荐文章于 2024-12-16 10:03:09 发布
阅读量201 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/linux985/p/11017198.html
本文详细介绍了在Django REST框架中如何配置权限和限流,包括全局和局部设置,以及自定义权限的方法。同时,文章还提供了如何使用Django内置admin站点和配置认证方案的指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了方便接下来的学习,我们创建一个新的子应用 four

python manage.py startapp four

 

因为接下来的功能中需要使用到登陆功能,所以我们使用django内置admin站点并创建一个管理员.

python manage.py createsuperuser

创建管理员以后,访问admin站点,先修改站点的语言配置

settings.py

 

访问admin 站点效果:

 

 

1. 认证Authentication

rest_framework.settings里面有默认的全局配置,不过我们可以在自己项目的setting.py文件中进行配置覆盖

可以在配置文件中(项目中的setting.py)配置全局默认的认证方案

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',  # session认证
        'rest_framework.authentication.BasicAuthentication',   # 基本认证
    )
}

 

也可以在每个视图中通过设置authentication_classess属性来设置(局部)

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView
​
class ExampleView(APIView):
    # 类属性
    authentication_classes = [SessionAuthentication, BasicAuthentication]
    ...

 

认证失败会有两种可能的返回值:

  • 401 Unauthorized 未认证

  • 403 Permission Denied 权限被禁止

 

 

 

2. 权限Permissions

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

  • 在执行视图的dispatch()方法前,会先进行视图访问权限的判断

  • 在通过get_object()获取具体对象时,会进行模型对象访问权限的判断

使用

可以在配置文件(项目中的setting.py)中全局设置默认的权限管理类,如

REST_FRAMEWORK = {
    ....
    
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

 

如果未指明,则采用如下(rest_framework.settings默认配置

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)

 

也可以在具体的视图中通过permission_classes属性来设置(局部),如

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
​
class ExampleView(APIView):
    permission_classes = (IsAuthenticated,)
    ...

 

提供的权限

  • AllowAny 允许所有用户

  • IsAuthenticated 仅通过认证的用户

  • IsAdminUser 仅管理员用户

  • IsAuthenticatedOrReadOnly 已经登陆认证的用户可以对数据进行增删改操作,没有登陆认证的只能查看数据。

举例

from rest_framework.response import Response
from rest_framework.views import APIView
from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import AllowAny,IsAdminUser,IsAuthenticated

class ExampleAPIView(APIView):
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsAuthenticated]
    def get(self,request):
        print( type( request.user ) )
        return Response({"message":"ok"})

 

 

自定义权限

如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部

  • .has_permission(self, request, view)

    是否可以访问视图, view表示当前视图对象

  • .has_object_permission(self, request, view, obj)

    是否可以访问数据对象, view表示当前视图, obj为数据对象

例如:

在当前子应用下,创建一个权限文件permissions.py中声明自定义权限类:

from rest_framework.permissions import BasePermission
​
class IsXiaoMingPermission(BasePermission):
    def has_permission(self, request, view):
        if( request.user.username == "xiaoming" ):
            return True
from rest_framework.response import Response
from rest_framework.views import APIView
from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import AllowAny,IsAdminUser,IsAuthenticated

from .permissions import IsXiaoMingAuthentication

class ExampleAPIView(APIView):
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsXiaoMingAuthentication]
    def get(self,request):
        print( type( request.user ) )
        return Response({"message":"ok"})

3. 限流Throttling

可以对接口访问的频次进行限制,以减轻服务器压力。

一般用于付费购买次数,投票等场景使用.

使用

可以在配置文件中,使用DEFAULT_THROTTLE_CLASSESDEFAULT_THROTTLE_RATES进行全局配置,

REST_FRAMEWORK = {
    # 限流[全局]
    'DEFAULT_THROTTLE_CLASSES': (
        'rest_framework.throttling.AnonRateThrottle', # 匿名用户,游客
        'rest_framework.throttling.UserRateThrottle'  # 已经经过认证的用户
    ),
    'DEFAULT_THROTTLE_RATES': {
        'anon': '300/minute',
        'user': '1000/minute'
    },
}

 

DEFAULT_THROTTLE_RATES 可以使用 second, minute, hourday来指明周期。

也可以在具体视图中通过throttle_classess属性来配置,如

from rest_framework.throttling import UserRateThrottle
from rest_framework.views import APIView
​
class ExampleView(APIView):
    throttle_classes = (UserRateThrottle,)
    ...

 

可选限流类

1) AnonRateThrottle

限制所有匿名未认证用户,使用IP区分用户。

使用DEFAULT_THROTTLE_RATES['anon'] 来设置频次

2)UserRateThrottle

限制认证用户,使用User id 来区分。

使用DEFAULT_THROTTLE_RATES['user'] 来设置频次

3)ScopedRateThrottle

限制用户对于每个视图的访问频次,使用ip或user id。

例如:

class ContactListView(APIView):
    throttle_scope = 'contacts'
    ...
​
class ContactDetailView(APIView):
    throttle_scope = 'contacts'
    ...
​
class UploadView(APIView):
    throttle_scope = 'uploads'
    ...
REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES': (
        'rest_framework.throttling.ScopedRateThrottle',
    ),
    'DEFAULT_THROTTLE_RATES': {
        'contacts': '1000/day',
        'uploads': '20/day'
    }
}

 

实例

全局配置中设置访问频率

 'DEFAULT_THROTTLE_RATES': {
        'anon': '3/minute',
        'user': '10/minute'
    }
 

from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.generics import RetrieveAPIView
from rest_framework.throttling import UserRateThrottle
​
class StudentAPIView(RetrieveAPIView):
    queryset = Student.objects.all()
    serializer_class = StudentSerializer
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsAuthenticated]
    throttle_classes = (UserRateThrottle,)

 

 

 

转载于:https://www.cnblogs.com/linux985/p/11017198.html

Django--011 DRF-认证和授权
qq_25672165的博客
09-14 456
DRF. 权限管理
DRF-JWT认证权限限流
XueDaJing030409的博客
06-04 883
主要以 Django+DRF + Vue的开发模式,简单介绍以 jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
DRF认证组件
diaolouan9546的博客
09-23 282
1.DRF认证组件之视图注册用法(自定义简单使用)   settings.py配置   INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', ...
drf 认证组件
go|Python的个人博客
03-11 386
文章目录drf 认证组件认证的写法认证的源码分析认证组件的使用 drf 认证组件 认证的写法 写一个类,继承BaseAuthentication,重写authenticate,认证的逻辑写在里面,返回两个,一个最终给了Request对象的user,认证失败,抛异常: APIException或者AuthenticationFailed 可以全局使用或局部使用 认证的源码分析 查看源码步骤: APIVIew---->dispatch方法—>self.initial(reques
DRF认证组件
2404_89710001的博客
12-16 521
从使用案例和源码角度介绍了DRF框架中的认证组件
Django restframework 框架认证权限限流用法示例
09-18
它提供了许多功能,包括认证权限限流,使得构建RESTful API变得更加简单和规范。 **认证Authentication)** 认证是验证用户身份的过程DRF提供多种认证方式,包括: 1. **BasicAuthentication**:基于HTTP...
python-DRF_限流Throttling_自定义频率类_内置频率类使用_过滤排序功能
qq_31455841的博客
11-10 392
authentication
Django REST Framework——6. 认证权限限流、过滤、排序及异常处理
花城的博客
12-21 2122
文章目录一、认证Authentication)1.1 身份认证的流程1.2 自定义认证类1.3 设置认证方案二、权限Permissions)2.1 权限检查流程2.2 对象级别的权限2.3 自定义权限补充说明2.4 设置权限三、限流Throttling)3.1 限流检查流程3.2 内置限流3.2.1 AnonRateThrottle3.2.2 UserRateThrottle3.3 设置限流四、过滤(Filtering)4.1 根据当前用户进行过滤4.2 根据URL进行过滤4.3 使用第三方djang
DRF-源码解析-4.2-限流的流程:drf限流源码,drf流量控制流程,drf如何流量控制
weixin_46371752的博客
01-08 537
drf流量控制源码,drf限流源码,drf实现流量控制,drf实现限流,django流量控制,django限流drf源码解析
统一权限组件
06-01
NULL 博文链接:https://13813962825.iteye.com/blog/2113369
drf认证组件
m0_56210511的博客
10-12 420
在开发api的时候,有些功能需要登陆才能访问,有些需要登录即可访问,认证组件主要就是来实现此功能。
drf框架 - 三大认证组件 | 认证组件 | 权限组件 | 频率组件
Waller_的博客
10-21 497
RBAC 基于用户权限访问控制的认证 - Role-Based Access Control Django框架采用的是RBAC认证规则,RBAC认证规则通常会分为 三表规则、五表规则,Django采用的是六表规则 # 三表:用户表、角色表、权限表 # 五表:用户表、角色表、权限表、用户角色关系表、角色权限关系表 # 六表:用户表、角色表、权限表、用户角色关系表、角色权限关系...
drf 权限组件
go|Python的个人博客
03-12 505
文章目录drf 权限组件权限Permissions权限源码分析自定义权限的使用内置权限 drf 权限组件 权限Permissions 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行模型对象访问权限的判断 权限源码分析 源码路径: APIView---->dispatch---->initial—>self.check_permissions(r
drf权限组件
weixin_30773135的博客
12-22 130
1.简介 设置哪种用户的权限可以做什么事 2.用法 在MyAuth文件编写权限类, from rest_framework.permissions import BasePermission 代码如下 注意:这里view变量是把视图传进去了,可以用print查看一下。 from rest_framework.permissions import BasePe...
DRF-认证-权限-限流组件使用和源码精读
少年工地与砖
10-18 300
【代码】DRF-认证-权限-限流组件使用和源码精读。
DRF从入门到精通五(路由组件、认证组件、权限组件、频率组件及认证权限源码分析)
Mchen的博客
12-26 1978
DRF中,我们要进行登录认证的话需要使用DRF内部的认证组件,为什么用auth组件?,我们除了可以自己手动指明请求方式与动作action之间的对应关系外,还可以使用Routers来帮助我们快速实现路由信息。此时上面代码就可以自动生成路由了,完成了增、删、改、查(一条或多条数据)的接口了,但是包括在视图集里面自定义的方法。在视图集中,如果想要让Router自动帮助我们为自定义的方法生成路由信息,需要使用。如果要给我们自定义的方法也加上路由,那么则需要使用action装饰器来声明。
DRF认证权限频率组件
weixin_30871293的博客
12-11 147
一.DRF认证组件 token   学习过使用cookie和session两种方式可以保存用户信息,这两种方式同的是cookie保存在客户端浏览器中,而session保存在服务器中,他们各有优缺点,配合起来使用,可将重要的敏感的信息存储在session中,而在cookie中可以存储太敏感的数据。 token认证的大致步骤: 用户登录,服务器端获取用户名密码,查询用户表,如果存在该...
drf自定义认证系统
kylinxjd的博客
06-18 978
目录自定义认证方法配置使用自己的验证方法配置URL 自定义认证方法 from django.contrib.auth.backends import ModelBackend class UserPhoneEmailAuthBackend(ModelBackend): """ 定义自定义认证方法(认证号码,邮箱,密码) """ def authenticate(s...
前后端分离drf 限流
最新发布
03-26
<think>好的,我现在需要帮助用户了解在前后端分离架构中使用Django Rest Framework(DRF)实现限流功能的方案。首先,我得回顾一下DRF限流机制,确保自己理解正确。限流主要是为了防止API被滥用,确保服务的稳定性,这在前后端分离的项目中尤为重要,因为前端可能频繁调用API。 首先,用户提到的是前后端分离的情况,所以需要确保限流设置会影响到前端正常的请求,同时能有效阻止恶意或过量的请求。根据引用[2],DRF提供了内置的限流组件,包括AnonRateThrottle和UserRateThrottle,分别用于匿名用户和认证用户。这可能是一个起点。 接下来,我需要考虑如何配置这些限流类。在settings.py中,应该添加DEFAULT_THROTTLE_CLASSES和DEFAULT_THROTTLE_RATES。例如,设置匿名用户每分钟10次,认证用户每分钟100次。同时,要确保已经配置了认证权限,因为限流通常在认证之后处理。引用[3]提到了使用JWT进行认证,可能需要结合djangorestframework-simplejwt包,但限流本身直接依赖JWT,而是依赖DRF认证机制。 然后,可能需要自定义限流策略。比如,针对同的视图或API端点设置同的频率限制。例如,关键API限制严格一些,其他则宽松。这里需要覆盖视图的throttle_classes属性,或者使用ScopedRateThrottle,根据作用域来设置。 另外,用户可能需要了解如何测试限流是否生效。可以通过频繁发送请求并检查返回的429状态码来验证。此外,处理限流时的响应信息也很重要,需要友好地提示用户,比如返回JSON数据包含错误信息和重试时间。 还需要注意DRF限流是基于缓存机制的,所以必须配置缓存后端,比如使用Memcached或Redis,而是默认的本地内存缓存,特别是在生产环境中。引用[2]中提到限流技术防止API滥用,所以正确的缓存配置是关键。 可能用户会遇到的常见问题包括限流配置未生效,这时候需要检查中间件的顺序,确保认证权限类已正确配置,以及缓存是否正常工作。另外,如果使用多个限流类,DRF会取所有限流中最严格的那个,这点需要注意。 最后,应该提到监控和日志记录,帮助追踪限流事件,分析流量模式,进一步优化限流策略。例如,使用Django的日志模块记录被限流的请求,或者集成监控工具如Prometheus。 总结一下,实现步骤应该是:安装必要包,配置认证权限,设置限流类和频率,可选自定义策略,测试验证,处理响应,配置缓存,以及监控。确保每一步都清晰,并参考DRF文档和引用中的信息来确保正确性。</think>在前后端分离架构中,使用Django Rest Framework (DRF) 实现API限流功能可通过以下步骤完成: ### 一、DRF限流核心配置 1. **安装依赖** 确保已安装`djangorestframework`和缓存依赖(如Redis): ```bash pip install djangorestframework redis ``` 2. **基础配置** 在`settings.py`中添加限流配置: ```python REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES': [ 'rest_framework.throttling.AnonRateThrottle', # 匿名用户限流 'rest_framework.throttling.UserRateThrottle' # 认证用户限流 ], 'DEFAULT_THROTTLE_RATES': { 'anon': '10/minute', # 匿名用户每分钟10次 'user': '100/minute' # 认证用户每分钟100次 } } ``` 需确保`rest_framework`已加入`INSTALLED_APPS`[^2]。 ### 二、结合认证机制 1. **配置JWT认证** 若使用JWT(推荐方案),需安装`djangorestframework-simplejwt`并配置: ```python REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_simplejwt.authentication.JWTAuthentication', ) } ``` 通过JWT令牌中的用户信息实现精准限流[^3]。 ### 三、自定义限流策略 1. **视图级限流** 在特定视图中覆盖默认配置: ```python from rest_framework.throttling import ScopedRateThrottle class SensitiveAPIView(APIView): throttle_classes = [ScopedRateThrottle] throttle_scope = 'sensitive' # 自定义作用域 ``` 在`settings.py`中补充速率: ```python 'DEFAULT_THROTTLE_RATES': { 'sensitive': '3/minute' # 敏感接口每分钟3次 } ``` 2. **动态频率控制** 通过继承`SimpleRateThrottle`实现基于请求参数的动态限流: ```python class IPThrottle(throttling.SimpleRateThrottle): scope = 'ip' def get_cache_key(self, request, view): return self.get_ident(request) # 基于客户端IP限流 ``` ### 四、生产环境优化 1. **缓存配置** 使用Redis作为限流计数器存储(需安装`django-redis`): ```python CACHES = { "default": { "BACKEND": "django_redis.cache.RedisCache", "LOCATION": "redis://127.0.0.1:6379/1", } } ``` 2. **限流响应优化** 自定义超过频率限制时的响应格式: ```python class CustomThrottle(throttling.UserRateThrottle): def wait(self): return self.num_requests / self.duration # 返回剩余等待时间 def throttle_failure(self): data = { "code": 429, "message": f"请求过快,请{self.wait():.1f}秒后重试" } raise throttling.Throttled(detail=data) ``` ### 五、验证与测试 1. **使用DRF测试客户端** ```python from rest_framework.test import APIClient client = APIClient() for _ in range(11): response = client.get('/api/sensitive-data/') print(response.status_code) # 第11次应返回429 ``` 2. **监控限流日志** 在`settings.py`中添加日志记录: ```python LOGGING = { 'loggers': { 'django.throttle': { 'handlers': ['file'], 'level': 'INFO', 'propagate': True, } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值