老程序员博客

编程生涯的最后一舞

当前位置:首页 > 技术 > 正文内容

深入理解Django REST Framework的认证、权限与频率控制机制

访客 技术 2026年6月20日 1

认证、权限与频率控制的层级关系

在Django REST Framework中,认证、权限和频率控制形成了层层递进的安全机制:

  • 权限验证:认证 + 权限检查
  • 频率控制:认证 + 权限检查 + 频率限制

局部认证实现

URL配置 (urls.py)


from django.conf.urls import url, include
from api import views

urlpatterns = [
    url(r'^login/', views.LoginView.as_view()),
    url(r'^products/', views.ProductView.as_view()),
    url(r'^products_detail/(\d+)/$', views.ProductDetail.as_view()),
    url(r'^order_info/$', views.OrderInfoView.as_view()),
]

视图实现 (views.py)


from rest_framework.views import APIView
from api.models import *
import uuid
from django.http import JsonResponse
from rest_framework.response import Response
from api.serializers import ProductSerializer
from rest_framework import exceptions
from rest_framework.generics import GenericAPIView

USER_ORDERS = {
    1: {
        'customer': "张三",
        'age': 28,
        'gender': '男',
        'details': '购买商品A'
    },
    2: {
        'customer': "李四",
        'age': 32,
        'gender': '女',
        'details': '购买商品B'
    },
}

class LoginView(APIView):
    def post(self, request):
        result = {'status': 0, 'message': None}
        
        try:
            username = request._request.POST.get('username')
            password = request._request.POST.get('password')
            
            user = User.objects.filter(username=username, password=password).first()
            
            if not user:
                result['status'] = 1
                result['message'] = '用户名或密码错误'
            else:
                token = str(uuid.uuid4())
                UserToken.objects.update_or_create(user=user, defaults={'token': token})
                result['token'] = token
                
        except Exception as e:
            result['status'] = 2
            result['message'] = '请求异常'
            
        return JsonResponse(result)

class CustomAuthentication(object):
    def authenticate(self, request):
        token = request._request.GET.get('token')
        token_obj = UserToken.objects.filter(token=token).first()
        
        if not token_obj:
            raise exceptions.AuthenticationFailed('认证失败')
            
        return (token_obj.user, token_obj)
    
    def authenticate_header(self, request):
        pass

class OrderInfoView(APIView):
    authentication_classes = [CustomAuthentication,]
    
    def get(self, request):
        result = {'status': 0, 'message': None, 'data': None}
        result['data'] = USER_ORDERS
        return JsonResponse(result)

模型定义 (models.py)


from django.db import models

class User(models.Model):
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=32)
    user_types = ((1, "普通用户"), (2, "VIP用户"), (3, "SVIP用户"))
    user_type = models.IntegerField(choices=user_types, default=1)

class UserToken(models.Model):
    user = models.OneToOneField("User")
    token = models.CharField(max_length=128)
    
    def __str__(self):
        return self.token

全局认证配置

settings.py 配置


REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'app.service.auth.CustomAuthentication',
    ]
}

认证服务模块 (app.service.auth.py)


from app.models import *
from rest_framework import exceptions

class CustomAuthentication(object):
    def authenticate(self, request):
        token = request._request.GET.get('token')
        token_obj = UserToken.objects.filter(token=token).first()
        
        if not token_obj:
            raise exceptions.AuthenticationFailed('认证失败')
            
        return (token_obj.user, token_obj)

    def authenticate_header(self, request):
        pass

认证流程源码分析

REST Framework的认证流程如下:

  1. 请求进入视图前,会依次执行所有认证类
  2. 每个认证类调用authenticate方法
  3. 如果认证失败,抛出AuthenticationFailed异常
  4. 如果认证成功,将(user, auth)元组赋值给request.user和request.auth

权限控制


class VIPPermission(object):
    def has_permission(self, request, view):
        # 只有VIP用户可以访问
        if request.user.user_type == 2:
            return True
        return False

class OrderInfoView(APIView):
    permission_classes = [VIPPermission,]
    
    def get(self, request):
        result = {'status': 0, 'message': None, 'data': None}
        
        if request.user.user_type == 2:
            result['data'] = USER_ORDERS
            
        return JsonResponse(result)

频率控制


import time
VISIT_LOG = {}  # 格式: {ip: [timestamp1, timestamp2, ...]}

class RateThrottle(object):
    """60秒内最多访问5次"""
    def __init__(self):
        self.history = None

    def allow_request(self, request, view):
        # 获取客户端IP
        client_ip = request.META.get('REMOTE_ADDR')
        current_time = time.time()
        
        if client_ip not in VISIT_LOG:
            VISIT_LOG[client_ip] = [current_time]
            return True
            
        history = VISIT_LOG.get(client_ip)
        self.history = history
        
        # 移除60秒前的记录
        while history and history[-1] < current_time - 60:
            history.pop()
            
        # 检查访问次数是否超过限制
        if len(history) < 5:
            history.insert(0, current_time)
            return True
            
        # 超过限制,返回False
        return False
        
    def wait(self):
        """计算还需等待多少秒才能再次访问"""
        current_time = time.time()
        return 60 - (current_time - self.history[-1])
标签: django-rest-frameworkAuthenticationpermissionsthrottling
返回列表

上一篇:HTTP与HTTPS的区别解析

下一篇:Kubernetes 核心命令与配置详解

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.