2. 程式人生 > >DAY99 - Rest Framework(四)- 認證元件和許可權元件

DAY99 - Rest Framework(四)- 認證元件和許可權元件

阿新 發佈:2018-12-13

一、認證元件

1.使用

# 模型層
class User(models.Model):
    name = models.CharField(max_length=32)
    pwd = models.CharField(max_length=32)


class UserToken(models.Model):
    user = models.OneToOneField(to='User')
    token = models.CharField(max_length=64)
#myAuth.py
from app01 import models
from rest_framework.exceptions import APIException
from rest_framework.authentication import BaseAuthentication

class Auth(BaseAuthentication):
    def authenticate(self,request):
        # 包裝後的request物件,請求來的所有東西都能拿出來
        token = request.GET.get('token')
        ret = models.UserToken.objects.filter(token=token).first()
        # 如果有值,說明登入過了,而且帶的隨機字串也是正確的
        # 如果認證通過,需要返回東西,如果認證不通過,要拋異常
        if ret:
            # 返回一個元組如果返回None,就會是一個匿名使用者
            return ret.user,ret
        else:
            # 如果沒有值,拋異常
            raise APIException('您沒有登入')
 
from app01.mySer import *
import uuid

# 登陸檢視
class Login(APIView):
    def post(self, request):
        response = {'status': 200, 'msg': '登入成功'}
        name = request.data.get('name')
        pwd = request.data.get('pwd')
        user = models.User.objects.filter(name=name, pwd=pwd).first()
        if user:
            token = uuid.uuid4()
            # 登陸成功後,存入token表
            models.UserToken.objects.create(token=token, user=user)
            response['token'] = token
        else:
            response['status'] = 201
            response['msg'] = '新增失敗'
        return JsonResponse(response, safe=False)
 
# 區域性使用,在所需的視圖裡區域性使用
class Books(APIView):
    # 登入後才能操作
    authentication_classes=[Auth,]
    def get(self, request):
        .......
    def post(self, request):
        .......
class BooksDetail(APIView):
    authentication_classes = [Auth, ]
    def get(self, request):
        .......
    def post(self, request):
        .......
        
        
# 全域性使用
# setting.py
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': ['app01.my_Auth.Auth']
}

# 全域性使用後區域性禁用
# 在所屬的試圖裡寫一個空
authentication_classes=[]

2.原始碼分析

# 第一步
# APIView類
def dispatch(self, request, *args, **kwargs):
    ........
    # 重點是這個,這是認證、頻率相關的
    self.initial(request, *args, **kwargs)
    ........
# 第二步
# APIView類
def initial(self, request, *args, **kwargs):
    ........
    # 這個就是認證
    self.perform_authentication(request)
    
    self.check_permissions(request)
    self.check_throttles(request)
# 第三步
# APIView類
def perform_authentication(self, request):
    # 這個request是已經封裝好後的Request的物件
    request.user
# 第四步
# Request類
@property
def user(self):
    if not hasattr(self, '_user'):
        with wrap_attributeerrors():
            self._authenticate()
    return self._user
# 第五步
# Request類
def _authenticate(self):
    # 從下面回到這裡,就可以知道
    # self.authenticators=authentication_classes
    # 拿上面的例子舉例
    # self.authenticators=[Auth, ];authenticator就是Auth
    for authenticator in self.authenticators:
        try:

# 注意:authenticator.authenticate(self)中的self,由於是在Request類裡,所以這個self就是Request例項化的物件request;
# 所以:authenticator.authenticate(self)=Auth.authenticate(self,request)
            user_auth_tuple = authenticator.authenticate(self)
        except exceptions.APIException:
            self._not_authenticated()
            raise

        if user_auth_tuple is not None:
            self._authenticator = authenticator
            # user_auth_tuple:authenticator.authenticate(self)的返回值,是個元組
            # 這就是一個元組的解壓
            # self.user:request.user
            # self.auth:request.auth
            self.user, self.auth = user_auth_tuple
            return

   self._not_authenticated()


# self.authenticators的來歷
# APIView類
# self.authenticators 是Request例項化的時候傳進來的引數self.get_authenticators()
def initialize_request(self, request, *args, **kwargs):
    parser_context = self.get_parser_context(request)

    return Request(
        request,
        parsers=self.get_parsers(),
        authenticators=self.get_authenticators(),
        negotiator=self.get_content_negotiator(),
        parser_context=parser_context
    )


# self.get_authenticators()的來歷
# APIView類
def get_authenticators(self):
    # self.authentication_classes
    # 從子類找驗證類:authentication_classes = [Auth, ]
    # 從父類APIView裡找驗證類:authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
    # 找到之後,迴圈並加上()執行
    return [auth() for auth in self.authentication_classes]

3.不依靠資料庫的token驗證

import hashlib
# 設定token
def set_token(id, salt='1'):
    md5 = hashlib.md5()
    md5.update(str(id).encode('utf-8'))
    md5.update(salt.encode('utf-8'))
    return md5.hexdigest() + '|' + str(id)

# 校驗token
def check_token(token, salt='1'):
    tk = token.split('|')
    md5 = hashlib.md5()
    md5.update(str(tk[-1]).encode('utf-8'))
    md5.update(salt.encode('utf-8'))
    if tk[0] == md5.hexdigest():
        return True
    else:
        return False
class Auth(BaseAuthentication):
    def authenticate(self, request):
        token = request.GET.get('token')
        # 如果GET裡沒有token,check_token裡的split方法就會報錯
        # 所以這裡try一下異常
        try:
            ret = common.check_token(token)
            if ret:
                return
            else:
                # 拋異常
                raise 
        except Exception as e:
            raise AuthenticationFailed('認證失敗')
class Login(APIView):
    def post(self, request):
        response = {'status': 100, 'msg': '登陸成功', 'token': None}
        name = request.data.get('name')
        pwd = request.data.get('pwd')
        user = models.User.objects.filter(name=name, pwd=pwd).first()
        if user:
            # 傳入使用者id獲得對應的token
            token = common.set_token(user.pk)
            response['token'] = token
        else:
            response['status'] = 200
            response['msg'] = '登入失敗'
        return JsonResponse(response, safe=False)

class Book(APIView):
    authentication_classes = [myAuthentication.Auth, ]
    def get(self, request):
        response = {'status': 100, 'msg': '檢視成功', 'data': None}
        books = models.Book.objects.all()
        ret = mySerializers.BookSerializers(books,many=True)
        response['data']=ret.data
        return JsonResponse(response,safe=False)

4.順序

認證類使用順序:先用檢視類中的驗證類,再用settings裡配置的驗證類,最後用預設的驗證類

二、許可權元件

1.簡單使用

from rest_framework.permissions import BasePermission

class VipPermission(BasePermission):
    message = '不是會員,檢視不了'

    def has_permission(self, request, view):
        user_type = request.user.user_type
        if user_type == '1':
            return True
        else:
            return False
class Book(APIView):
    # 區域性使用
    permission_classes = [myPermission.VipPermission, ]

    def get(self, request):
        response = {'status': 100, 'msg': '檢視成功', 'data': None}
        books = models.Book.objects.all()
        ret = mySerializers.BookSerializers(books, many=True)
        response['data'] = ret.data
        return JsonResponse(response, safe=False)
    
    
# 全域性使用
REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES':['app01.myPermission.VipPermission']
}

# 全域性使用中區域性禁用
class Book(APIView):
    permission_classes = []

2.原始碼分析

# 第一步
# APIView類
def dispatch(self, request, *args, **kwargs):
    ........
    # 重點是這個,這是認證、頻率以及許可權相關的
    self.initial(request, *args, **kwargs)
    ........
# 第二步
# APIView類
def initial(self, request, *args, **kwargs):
    ........
    self.perform_authentication(request)
    # 這就是 許可權方法
    self.check_permissions(request)
    self.check_throttles(request)
# 第三步
# APIView類
def check_permissions(self, request):
    # 這裡的原理與認證類一致
    for permission in self.get_permissions():
        # 有一點不同的是has_permission(request, self)中的self是APIView的self
        if not permission.has_permission(request, self):
            self.permission_denied(request, message=getattr(permission, 'message', None)
            )
            
            
# self.get_permissions()的來歷
def get_permissions(self):
   return [permission() for permission in self.permission_classes]

3.順序

許可權類使用順序:先用檢視類中的許可權類,再用settings裡配置的許可權類,最後用預設的許可權類

相關推薦

DAY99 - Rest Framework(- 認證元件許可權元件

一、認證元件 1.使用 # 模型層 class User(models.Model): name = models.CharField(max_length=32) pwd = models.CharField(max_length=32) class UserToken(models

DAY98 - Rest Framework(三- 序列化元件之HyperlinkedIdentityField初識認證元件

一、序列化元件之HyperlinkedIdentityField HyperlinkedIdentityField可以通過反向解析向前臺返回一個連結 url(r'^Books/(?P<id>\d+)', views.BooksDetail.as_view(),name='test'), #

DAY97 - Rest Framework(二- 序列化元件之SerializerModelSerializer

一、序列化元件之Serializer from django.http import JsonResponse from rest_framework.views import APIView from rest_framework.request import Request from rest_fram

DAY101 - Rest Framework(六- 檢視元件、路由控制響應器初識

一、檢視元件 1.基本檢視 class Books(APIView): def get(self, request, *args, **kwargs): books = models.Book.objects.all() response = {'status': 200, 'msg': '查詢成功', '

Rest Framework天-認證元件許可權元件、頻率元件

                         

Rest-framework之drf認證元件,許可權元件

  Rest-framework之drf認證元件,許可權元件 1.views檢視層 from django.shortcuts import render from rest_framework.views import APIView from app01 import

DAY102 - Rest Framework(七- 手動編寫配置檔案、分頁器版本控制

一、手動編寫配置檔案 # 預設配置 # conf-->global_setting.py DEBUG = None TIME_ZONE = 'America/Chicago' USE_TZ = False # 使用者配置 # usersetting-->setting.py DEBUG

DAY103 - Rest Framework(八- contentType組件Django緩存機制

degree 時間 from doc 數據庫緩存 很大的 out 結構 enca 一、contentType組件 1.項目背景 路飛學城項目,目前暫時有課程表(有各種課程)以及價格策略表(不同的學時,價格不同) 2.數據庫的分析 版本一 ? 課程表 id 課程名 類型

soapui接口性能測試(---- 輸出報告統計

color table repo line src testin edi set diag 好的,您已經運行了LoadTest,現在需要創建一些報告或導出收集的數據以進行更詳細的分析。有幾個選項可供您使用,我們將按順序查看:導出統計表的數據(僅限開源)。從統計圖導出數據。在

Spring入門(— 整合StrutsHibernate

patch pan area src 選擇 roo 們的 void prototype 一、Spring整合Struts 1. 初步整合 只要在項目裏面體現spring和 strut即可,不做任何的優化。 struts 環境搭建 創建action publ

Linux學習筆記(二十管道符作業控制、shell變量、環境變量配置文件

環境變量配置文件 管道符 一、管道符和作業控制cat 1.txt |wc -l ; cat 1.txt |grep ‘aaa‘將前面命令的結果輸入給後面的命令ctrl z 暫停一個任務、這時候任務隱藏到後臺,通過fg可以重新吊起任務到前臺運行jobs查看後臺的任務bg[id]把任務調到後臺fg[id]

flask項目結構(使用sqlalchemyalembic

pri 最簡 map 作者 連接參數 mar pla 維護 self 簡介 其實我不是啥正經人,錯了,不是啥正經程序員,所能想到的估計也就碼農一級吧,高級程序員,搞什麽算法,什麽人工智能,大數據計算…………離我還太遙

Nodejs學習筆記(十—Mongoose介紹入門

tar 字段名 lse number 數組 int 位置 斷開 mongod 簡介   Mongoose是在node.js異步環境下對mongodb進行便捷操作的對象模型工具   那麽要使用它,首先你得裝上node.js和mongodb,關於mongodb的安裝和操作介紹可

Robot Framework (六變量常量

http 變量名 技術 ctr 圖1 true stat 處理 mac系統 018-08-30 08:39:52 一、變量與常量基礎 1.變量標識符   每一個變量都可以用 變量標識符{變量名} 來表示。   Scalar變量 ${var}  單值變量

REST framework組件-認證、權限、限制

style miss sca cat rfi return ria serial quest 認證 定義user表和token表 class UserInfo(models.Model): username = models.CharField(verbose_n

django rest framework 用戶認證

相關 () view 普通 返回 ini class 請求 use BaseAuthentication 類: django rest framework 通過 BaseAuthentication 實現認證功能 無論是自定義的認證類還是 rest fram

多線程(:前臺後臺線程

current pro oid nag 線程 dsta reads reg con class Program11 { private static void ExecuteInForeground() {

servlet學習(請求轉發重定向

一、請求轉發和重定向兩者之間的區別 請求轉發:一次請求,位址列資訊不變。       重定向:兩次請求,位址列資訊會發生改變。 使用時機: 1.如果表單中有資料,而資料又比較重要,不能重複提交,建議使用重定向。 2.如果servlet接受後

深度學習筆記(——神經網路深度學習(淺層神經網路

1.神經網路概覽 神經網路的結構與邏輯迴歸類似,只是神經網路的層數比邏輯迴歸多一層,多出來的中間那層稱為隱藏層或中間層。從計算上來說,神經網路的正向傳播和反向傳播過程只是比邏輯迴歸多了一次重複的計算。正向傳播過程分成兩層,第一層是輸入層到隱藏層,用上標[1]來表示;第二層是隱藏層到輸出層,用上標

ElasticSearch最佳入門實踐(手動建立修改mapping以及定製string型別資料是否分詞

1、如何建立索引 如果想設定 string 為分詞 把它設定為 analyzed not_analyzed 則是 設定為 exact value 全匹配 no 則 是不能被索引和匹配 2、修改mapping 注意事項:只能建立index時手動建立mapp