drf6 權限和頻率控制組件

對某件事情決策的範圍和程度，咱們叫作權限，權限是咱們在項目開發中很是經常使用到的。

DRF框架給咱們提供的權限組件

權限組件

 

以前DRF的版本和認證，知道了權限和頻率跟版本認證都是在initial方法裏初始化的

權限類必定要有has_permission方法~不然就會拋出異常~~這也是框架給我提供的鉤子~~

咱們先看到在rest_framework.permissions這個文件中~存放了框架給咱們提供的全部權限的方法~~

 

權限的用法

版本-> 認證-> 權限 –> 頻率

執行initial方法初始化這些組件的時候，是有順序的，咱們的版本在前面，而後是認證，而後是權限，最後是頻率

咱們的權限執行的時候，咱們的認證已經執行結束了。

前提在model中的UserInfo表中加了一個字段用戶類型的字段

 

權限控制類，根據request 中數據處理權限

utils/permission.py

from rest_framework.permissions import BasePermission

class MyPermission(BasePermission):
    message = "您沒有權限"

    def has_permission(self, request, view):
        # 判斷用戶是否有權限
        user_obj = request.user
        if user_obj.type == 3:
            return False
        else:
            return True

第一步 寫權限類

from utils.auth import MyAuth
from utils.permission import MyPermission
class TestView(APIView):
    authentication_classes = [MyAuth,]  # 先登陸，再判斷權限
    permission_classes = [MyPermission, ]  # 指明權限控制類

    def get(self, request):
        print(request.user)
        print(request.auth)
        user_id = request.user.id
        return Response("認證測試")

局部視圖註冊 authDemo/views.py

REST_FRAMEWORK = {
    # 默認使用的版本控制類
    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',
    # 容許的版本
    'ALLOWED_VERSIONS': ['v1', 'v2'],
    # 版本使用的參數名稱
    'VERSION_PARAM': 'version',
    # 默認使用的版本
    'DEFAULT_VERSION': 'v1',
    # 配置全局認證
    # 'DEFAULT_AUTHENTICATION_CLASSES': ["BRQP.utils.MyAuth", ]
    # 配置全局權限
    "DEFAULT_PERMISSION_CLASSES": ["BROP.utils.MyPermission"]
}

全局註冊 settings.py

 

 

頻率控制

 

開放平臺的API接口調用須要限制其頻率，以節約服務器資源和避免惡意的頻繁調用。

咱們的DRF提供了一些頻率限制的方法，咱們看一下。

 

頻率組件原理

DRF中的頻率控制基本原理是基於訪問次數和時間的，固然咱們能夠經過本身定義的方法來實現。

當咱們請求進來，走到咱們頻率組件的時候，DRF內部會有一個字典來記錄訪問者的IP，

以這個訪問者的IP爲key，value爲一個列表，存放訪問者每次訪問的時間，

{  IP1: [第三次訪問時間，第二次訪問時間，第一次訪問時間]，}

把每次訪問最新時間放入列表的最前面，記錄這樣一個數據結構後，經過什麼方式限流呢

若是咱們設置的是10秒內只能訪問5次，

　　-- 1，判斷訪問者的IP是否在這個請求IP的字典裏

　　-- 2，保證這個列表裏都是最近10秒內的訪問的時間

　　　　　　判斷當前請求時間和列表裏最先的(也就是最後的)請求時間的查

　　　　　　若是差大於10秒，說明請求以及不是最近10秒內的，刪除掉，

　　　　　　繼續判斷倒數第二個，直到差值小於10秒

　　-- 3，判斷列表的長度(即訪問次數)，是否大於咱們設置的5次，

　　　　　　若是大於就限流，不然放行，並把時間放入列表的最前面。

頻率組件的詳細用法

頻率組件的配置方式其實跟上面的組件都同樣，咱們看下頻率組件的使用。

單位時間段內限制IP的訪問次數

 

60s內訪問不得大於3次

from rest_framework.throttling import BaseThrottle, SimpleRateThrottle
import time

VISIT_RECORD = {}   # ip地址字典


class MyThrottle(BaseThrottle):

    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        # 實現限流的邏輯
        # 以IP限流
        # 訪問列表 {IP: [time1, time2, time3]}
        # 1, 獲取請求的IP地址
        ip = request.META.get("REMOTE_ADDR")
        # 2，判斷IP地址是否在訪問列表
        now = time.time()
        if ip not in VISIT_RECORD:
            # --1， 不在 須要給訪問列表添加key，value
            VISIT_RECORD[ip] = [now,]
            return True
            # --2 在 須要把這個IP的訪問記錄 把當前時間加入到列表
        history = VISIT_RECORD[ip]
        history.insert(0, now)
        # 3， 確保列表裏最新訪問時間以及最老的訪問時間差 是1分鐘
        while history and history[0] - history[-1] > 60:
            history.pop()
        self.history = history  # 更新訪問列表
        print(history,print(VISIT_RECORD[ip]))
        # 4，獲得列表長度，判斷是不是容許的次數。      60s秒內不得超過三次請求
        if len(history) > 3:
            return False
        else:
            return True

    def wait(self):
        # 返回須要再等多久才能訪問
        time = 60 - (self.history[0] - self.history[-1])
        return time

自定義的頻率限制類

REST_FRAMEWORK = {
    # ......
    # 頻率限制的配置
    "DEFAULT_THROTTLE_CLASSES": ["Throttle.throttle.MyThrottle"],
    }
}

配置自定義頻率限制

class TestView(APIView):
    authentication_classes = [MyAuth,]
    permission_classes = [MyPermission, ]
    throttle_classes = [MyThrottle, ]

    def get(self, request):
        print(request.META)
        print(request.user)
        print(request.auth)
        user_id = request.user.id
        return Response("認證測試")

使用自定義頻率限制

 

框架實現的限流類

from rest_framework.throttling import SimpleRateThrottle


class MyVisitThrottle(SimpleRateThrottle):
    scope = "WD"

    def get_cache_key(self, request, view):
        return self.get_ident(request)

使用框架自帶的頻率限制類

配置

REST_FRAMEWORK = {
    # "DEFAULT_VERSIONING_CLASS": "utils.version.MyVersion",
    "DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.QueryParameterVersioning",
    "DEFAULT_VERSION": "v1",
    "ALLOWED_VERSIONS": "v1, v2",
    "VERSION_PARAM": "ver",
    # "DEFAULT_AUTHENTICATION_CLASSES": ["utils.auth.MyAuth", ],
    "DEFAULT_THROTTLE_RATES": {
        "WD": "3/m"  # 一分鐘三次
    }
}

6