前言:
Django REST framework,是1个基于Django搭建 REST风格API的框架;
1、什么是API呢?
API就是访问即可获取数据的url地址,下面是一个最简单的 Django API,访问http://127.0.0.1:8000/,返回用户列表;
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^user/', views.user),
]
from django.shortcuts import render,HttpResponse
from django.http import JsonResponse
users=['大波','张开','人间' ]
def user(request):
return JsonResponse(users,safe=False)
2、什么是restfunAPI呢?
如果新增增加用户功能,再向用户暴露1个API接口 http://127.0.0.1:8000/useradd/?new_user='A'
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^user/', views.user),
url(r'^useradd/', views.user_add), #增加用户功能
]
from django.shortcuts import render,HttpResponse
from django.http import JsonResponse
users=['大波','张开','人间' ]
def user(request):
return JsonResponse(users,safe=False)
def user_add(request): #增加用户功能
new_user=request.GET.get('new_user')
users.append(new_user)
return JsonResponse(users,safe=False)
在增加用户功能上再添加删除、编辑用户功能 向用户暴露 4个api接口
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^user/', views.user), #显示用户列表
url(r'^useradd/$', views.user_add), #增加用户功能
url(r'^userdelete/d+/$', views.user_delete), # 删除用户功能
url(r'^useredit/d+/$', views.user_edit), #编辑用户信息
]
如果按照这种开发模式,随着项目功能的完善,弊端也会暴露出来,维护的API接口也会越来越多,在协作开发中出现种种问题;
于是一种API编写规范出现了,他就是RESTful规范;
在1个视图中通过判断用户的请求method不同(get/post/put/delete),后台做不同的操作;这样就可以只暴露1个API给用户并且维护了代码的整洁,这就是restful 规范之一;
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^user/', views.user), #显示用户列表
url(r'^user/(?P<pk>d+)/$',views.user), #编辑和删除需要一个PK 在URL中
]
from django.shortcuts import render,HttpResponse
from django.http import JsonResponse
users=['大波','张开','人间' ]
def user(request,*args,**kwargs):
if request.method=='GET':
#如果请求方法为 GET 获取数据列表
return JsonResponse(users,safe=False)
elif request.method=='POST':
# 如果请求方法为 POST 添加列表数据
return JsonResponse(users, safe=False)
elif request.method=='PUT':
# 如果请求方法为 PUT,更新操作
pk=kwargs.get('pk')
return JsonResponse(users, safe=False)
elif request.method=='DELETE':
pk=kwargs.get('pk')
# 如果请求方法为 DELETE,删除操作
return JsonResponse(users, safe=False)
restful 风格API有很多规范,接下来我们介绍一下它都有哪些规范?
3、REST framework 请求的生命周期
一、RESTful API设计规范
RESTful API的设计需要遵循很多规范,但是只是建议,如果不遵守这种规范也是可以的,以下是 它部分规范介绍;
1、面向资源
面向资源指得是把网络中可以访问到的任何url都想象成1个资源,这个资源可以是1个文件、 1张图片、1个视频....。
例如:
http://www.le.com/videos/
http://www.le.com/files/
http://www.le.com/pictures/
注意 1级域名后边(videos、files、pictures)都是名词
2、版本号
我们的API不是一成不变的,如果版本迭代也需要体现在url上,以供用户选择不同版本;
例如:
http://www.le.com/v1/files/ 访问版本1API资源
http://www.le.com/v2/files/ 访问版本2API资源
3、返回值
API在放回数据的同时也返回请求的状态码;
例如:
return HttpRespose(josn.dumps(ret),status=200) 访问成功
return HttpRespose(josn.dumps(ret),status=3XX) 权限错误
return HttpRespose(josn.dumps(ret),status=4XX) 资源存在
return HttpRespose(josn.dumps(ret),status=5XX) 服务器错误
详细:
OK - [GET]:服务器成功返回用户请求的数据,该操作是幂等的(Idempotent)。 CREATED - [POST/PUT/PATCH]:用户新建或修改数据成功。 Accepted - [*]:表示一个请求已经进入后台排队(异步任务) NO CONTENT - [DELETE]:用户删除数据成功。 INVALID REQUEST - [POST/PUT/PATCH]:用户发出的请求有错误,服务器没有进行新建或修改数据的操作,该操作是幂等的。 Unauthorized - [*]:表示用户没有权限(令牌、用户名、密码错误)。 Forbidden - [*] 表示用户得到授权(与401错误相对),但是访问是被禁止的。 NOT FOUND - [*]:用户发出的请求针对的是不存在的记录,服务器没有进行操作,该操作是幂等的。 Not Acceptable - [GET]:用户请求的格式不可得(比如用户请求JSON格式,但是只有XML格式)。 Gone -[GET]:用户请求的资源被永久删除,且不会再得到的。 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时,发生一个验证错误。 INTERNAL SERVER ERROR - [*]:服务器发生错误,用户将无法判断发出的请求是否成功。 更多看这里:http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html 常用状态码列表
4、API与用户的通信协议,总是使用https协议
5、域名规范
例如:
前端Vue使用:https://www.le.com
后端Django:https://api.le.com 注意会出现跨域问题
6、过滤,通过在url上传参的形式传递搜索条件
- https://api.example.com/v1/zoos?limit=10:指定返回记录的数量
- https://api.example.com/v1/zoos?offset=10:指定返回记录的开始位置
- https://api.example.com/v1/zoos?page=2&per_page=100:指定第几页,以及每页的记录数
- https://api.example.com/v1/zoos?sortby=name&order=asc:指定返回结果按照哪个属性排序,以及排序顺序
- https://api.example.com/v1/zoos?animal_type_id=1:指定筛选条件
7、返回结果: 根据用户不同的操作,服务器放过的结果应该符合以下规范
GET /collection:返回资源对象的列表(数组) GET /collection/resource:返回单个资源对象 POST /collection:返回新生成的资源对象 PUT /collection/resource:返回完整的资源对象 PATCH /collection/resource:返回完整的资源对象 DELETE /collection/resource:返回一个空文档
8、Hypermedia API,RESTful API最好做到Hypermedia,即返回结果中提供链接,连向其他API方法,使得用户不查文档,也知道下一步应该做什么。
[
{
'name':'alex',
'age':'18',
'user_type': 'http://www.le.com/api/v1/usergroups/1/'
},
{
'name':'alex',
'age':'18',
'user_type': 'DS'
},
{
'name':'alex1',
'age':'18',
'user_type': 'DS'
},
{
'name':'alex2',
'age':'18',
'user_type': 'DS'
}
]
三. 基于DjangoRest Framework框架实现 restful API
如果自己去实现1个restful api需要遵循以上很多restful API规则,实现起来比较困难,
于是Django的 Rest framework框架出现了,通过它就可以无需关注众多restful规范, 快速实现restful API;
0、安装 djangorestframwork pip install djangorestframework -i https://pypi.douban.com/simple/ 1、安装 virtual env(虚拟环境,相当于做了环境隔离) pip install virtualenv 2、创建1个存放虚拟环境的目录 mkdir virtualenv cd virtualenv 3、创建1个干净的虚拟环境(--no-site-packaes) virtualenv --no-site-package Using base prefix 'd:\python3.6.1' New python executable in D:virtualenvven Installing setuptools, pip, wheel...done. 4、激活虚拟环境 linux source venv/bin/activate DOS cdvirtualenvvenv1Scripts activate 安装Django >>> exit() (venv1) D:virtualenvvenv1Scripts>pip install django 5、退出虚拟环境 deactivate
Django framework源码分析
想要深入了解 Rest framework框架是如何实现restful API的就要分析它的源码;
Django framework源码入口
由于所有CBV首先要执行dispatch方法,所有它就是Django framework源码的入口
from django.shortcuts import render,HttpResponse
from rest_framework.views import APIView #导入 APIView
#类继承了APIView就是 restfulAPI了,但是APIView继承了Django的view本质是对Django view的一种二次封装;
class UsersView(APIView):
def dispatch(self, request, *args, **kwargs):
"""
`.dispatch()` is pretty much the same as Django's regular dispatch,
but with extra hooks for startup, finalize, and exception handling.
"""
self.args = args
self.kwargs = kwargs
#1.二次封装request(原request,parsers=解析用户请求的数据,authenticators=认证相关, negotiator=选择相关, parser_context='封装的self和参数')
request = self.initialize_request(request, *args, **kwargs)
self.request = request
#2、request被更换为封装完毕的request
self.headers = self.default_response_headers # deprecate?
#3、执行initial 获取版本信息、 认证、权限、节流
try:
self.initial(request, *args, **kwargs)
# Get the appropriate handler method
if request.method.lower() in self.http_method_names:
handler = getattr(self, request.method.lower(),
self.http_method_not_allowed)
else:
handler = self.http_method_not_allowed
response = handler(request, *args, **kwargs)
except Exception as exc:
response = self.handle_exception(exc)
self.response = self.finalize_response(request, response, *args, **kwargs)
return self.response
def get(self,request,*args,**kwargs):
self.dispatch() # 执行APIView的 dispatch 也是 framwork的源码入口
return HttpResponse('...')
#
Django framework分析结果
经过对Django framework分析得知 Django restframework的生命周期
1、中间件 2、路由系统 3、CBV/FBV(视图) 4、执行dispath方法 二次封装request(原request,解析用户请求的数据,authenticators=认证相关, negotiator=选择相关, parser_context='封装的self和参数') try 获取版本信息 认证 权限 节流 respose=执行 GET/POST/PUT/DELETE方法 except respose = 异常 finally 处理响应内容
1、版本号设置
我们的API不是一成不变的,如果版本迭代就需要以版本号加以区别,让用户选择不同的版本;
1.1 版本控制源码分析
View Code1.2 配置使用
视图配置
方式1: http://127.0.0.1:8000/users/?version=v1
from django.shortcuts import render,HttpResponse
from rest_framework.views import APIView #导入 APIView
from rest_framework.versioning import QueryParameterVersioning
from rest_framework.versioning import URLPathVersioning
class UsersView(APIView):
versioning_class=QueryParameterVersioning #http://127.0.0.1:8000/users/?version=v1
def get(self,request,*args,**kwargs):
print(request.version)
return HttpResponse('...')
方式2:http://127.0.0.1:8000/v3/users/
from rest_framework.views import APIView #导入 APIView
from rest_framework.versioning import QueryParameterVersioning
from rest_framework.versioning import URLPathVersioning
class UsersView(APIView):
versioning_class = URLPathVersioning #http://127.0.0.1:8000/v3/users/
def get(self,request,*args,**kwargs):
print(request.version)
return HttpResponse('...')
全局配置
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'app01.apps.App01Config',
'rest_framework' #组册 rest_framework APP
]
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] #设置允许的版本
}
获取和反向生成url
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^(?P<version>w+)/users/$', views.UsersView.as_view(),name='xxxxx'),
# url(r'^(?P<version>w+)/users/$', views.UsersView.as_view()),
]
from django.shortcuts import render,HttpResponse
from rest_framework.views import APIView #导入 APIView
# from rest_framework.versioning import QueryParameterVersioning
# from rest_framework.versioning import URLPathVersioning
class UsersView(APIView):
# versioning_class=QueryParameterVersioning #http://127.0.0.1:8000/users/?version=v1
# versioning_class = URLPathVersioning #http://127.0.0.1:8000/v3/users/
def get(self,request,*args,**kwargs):
print(request.versioning_scheme.reverse(viewname='xxxxx',request=request)) #反向生成URL
return HttpResponse('...')
2、用户身份认证
根据用户请求(tocken)做用户身份认证,成功request.user能获取到用户名,否则AnonymousUser /none;
2.1 认证源码分析
APIView 设置认证相关功能
Request类调用认证功能
class UsersView(APIView):
def get(self,request,*args,**kwargs):
self.dispatch()
print(self.authentication_classes )
return HttpResponse('...')
class APIView(View):
'''1.3 去系统配置文件,获取认证相关的类s [BasicAuthentication(),SessionAuthentication()]
'''
authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
def dispatch(self, request, *args, **kwargs):
self.args = args
self.kwargs = kwargs
#1 二次封装 request(self.initialize_request)
request = self.initialize_request(request, *args, **kwargs)
self.request = request
#替换成新的request
self.headers = self.default_response_headers # deprecate?
try:
#2、执行认证功能
self.initial(request, *args, **kwargs)
except Exception as exc:
pass
return self.response
def initialize_request(self, request, *args, **kwargs):
'''1.1 执行initialize_reques,执行authenticators=self.get_authenticators()
调用get_authenticators()获取[auth对象,auth对象]
'''
return Request(
request,
authenticators=self.get_authenticators(),
)
def get_authenticators(self):
'''1.2 get_authenticators 去系统配置文件中获取 认证相关的类,
返回列表'''
return [auth() for auth in self.authentication_classes]
#2.1 认证功能调用perform_authentication方法
def initial(self, request, *args, **kwargs):
self.perform_authentication(request)
#2.2 perform_authentication调用了 request类的user方法
def perform_authentication(self, request):
request.user
#2、调用request的user方法,执行认证功能
class Request():
def __init__(request,authenticators=None):
self._request = request
self.authenticators = authenticators or () #or 元祖
#2.1 request.user方法调用了 _authenticat方法
@property
def user(self):
if not hasattr(self, '_user'):
self._authenticate()
return self._user
def _authenticate(self):
# 2.2遍历 self.authenticators,request初始环节封装的[认证对象,认证对象 ],并执行认证对象的authenticate方法
for authenticator in self.authenticators:
'''
异常终止整个循环
返回元祖,整个循环终止
返回None,进入下一次循环
'''
try:
user_auth_tuple = authenticator.authenticate(self)
except exceptions.APIException:
self._not_authenticated()
raise
if user_auth_tuple is not None:
self._authenticator = authenticator
self.user, self.auth = user_auth_tuple
return
self._not_authenticated()
#2.3 如果循环出现 异常,则设置 request.user = 匿名用户
def _not_authenticated(self):
self._authenticator = None
if api_settings.UNAUTHENTICATED_USER:
self.user = api_settings.UNAUTHENTICATED_USER()
else:
self.user = None
if api_settings.UNAUTHENTICATED_TOKEN:
self.auth = api_settings.UNAUTHENTICATED_TOKEN()
else:
self.auth = None
2.2 使用配置
通过对 APIView 认证环节的源码分析,得知认证环节本质就是执行 BasicAuthentication、SessionAuthentication类中的authenticate方法;
如果authenticate方法执行成功 return (username,None ) ,则设置 request.user属性为username,否则设置为AnonymousUser匿名用户;
如果authenticate方法执行成功 return None ,则继续执行 下一个认证类的authenticate方法;
如果authenticate方法 raise exceptions.AuthenticationFailed('认证失败')抛出异常,则整个认证环节终止;
局部视图使用认证功能
# 源码中api_settings都代指 Django setings配置文件中的REST_FRAMEWORK 里的东西
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] , #设置允许的版本
# 设置为 None,没有通过认证的用户,request.user匿名用户 =None
"UNAUTHENTICATED_USER":None,
# 设置为UNAUTHENTICATED_TOKEN tocken =None
'UNAUTHENTICATED_TOKEN':None
}
视图自定制认证失败错误信息
from rest_framework.authentication import SessionAuthentication
from rest_framework.request import Request
from rest_framework import exceptions
class CustomAuthentication(BasicAuthentication):
def authenticate(self, request):
#自定义认证失败异常信息
raise exceptions.AuthenticationFailed('认证失败')
def authenticate_header(self, request):
pass
class UsersView(APIView):
authentication_classes =[CustomAuthentication ]
def get(self,request,*args,**kwargs):
print(request.user)
return HttpResponse('...')
全局视图使用认证功能
from rest_framework.authentication import BasicAuthentication
from rest_framework.authentication import SessionAuthentication
class CustomAuthentication(BasicAuthentication):
def authenticate(self, request):
return ('alex',None)
def authenticate_header(self, request):
pass
# 源码中api_settings都代指 Django setings配置文件中的REST_FRAMEWORK 里的东西
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] , #设置允许的版本
# 设置为 None,没有通过认证的用户,request.user匿名用户 =None
"UNAUTHENTICATED_USER":None,
# 设置为UNAUTHENTICATED_TOKEN tocken =None
'UNAUTHENTICATED_TOKEN':None,
"DEFAULT_AUTHENTICATION_CLASSES":(
"app01.utils.CustomAuthentication",
),
}
from rest_framework.authentication import SessionAuthentication
from rest_framework import exceptions
class UsersView(APIView):
def get(self,request,*args,**kwargs):
print(request.user)
# print(self.dispatch())
return HttpResponse('...')
2.3 扩展
基于token的用户认证
token:服务端动态生成的1串用来检验用户身份的字符串,可以放在header、cokies、url参数(安全性较差)、请求体(CSRF token);
token和session类似,不同于 session的是token比较灵活,不仅仅可以cokies里;
from django.shortcuts import render,HttpResponse
from rest_framework.views import APIView #导入 APIView
from rest_framework.authentication import BasicAuthentication
from rest_framework.authentication import SessionAuthentication
from rest_framework import exceptions
from rest_framework.request import Request
from rest_framework.response import Response
from app01 import models
from django.http import JsonResponse
def gen_tcoken(username):
import random,hashlib,time
ctime=str(time.time())
hash=hashlib.md5(username.encode('utf-8'))
hash.update(ctime.encode('utf-8'))
return hash.hexdigest()
class CustomAuthentication(BasicAuthentication): #认证类
def authenticate(self, request):
#从 url的参数中获取客户端携带的tocken
tocken=request.query_params.get('tocken')
#去数据库中检查tocken是否存在?
tocken_obj=models.Token.objects.filter(token=tocken).first()
#如果存在
if tocken_obj:
#注意还可以返回对象
return (tocken_obj.user,tocken_obj)
#否则 自定义错误信息 认证失败
raise exceptions.AuthenticationFailed('认证失败')
def authenticate_header(self, request):
pass
class ZhanggenAuthentication():
'''
局部使用认证功能的情况下,优先继承该类
'''
authentication_classes = [CustomAuthentication]
class LoginView(APIView): #允许匿名用户访问
def post(self, request, *args, **kwargs):
ret = {'coede': 1000, 'msg': ''}
username = request.data.get('username')
pwd = request.data.get('password')
user = models.Userinfo.objects.filter(user=username, pwd=pwd)
if user:
# 根据user=user去查找,如果找到更新 如果没有找到创建defaults={} 中的数据
tk = gen_tcoken(username)
models.Token.objects.update_or_create(user=user, defaults={'token': tk})
ret['coede'] = 1001
ret['token'] = tk
else:
ret['msg'] = '用户名或者密码错误'
return JsonResponse(ret)
class IndexView(ZhanggenAuthentication,APIView): #不允许匿名用户访问
def get(self,request,*args,**kwargs):
print(request.user)
print(request.user.user)
return Response('通过认证!')
from django.db import models
class Userinfo(models.Model):
user=models.CharField(max_length=32)
pwd=models.CharField(max_length=64)
email=models.CharField(max_length=64)
user_type_choices=(
(1,'普通用户'),
(2,'文艺用户'),
(3,'其他用户'),
)
user_type_id=models.IntegerField(choices=user_type_choices,default=1)
#设置 one to one 1个用户不能在不同设备上登录
#设置 Freikey 支持1个用户 在不同设备上同时登录
class Token(models.Model):
user=models.OneToOneField(Userinfo)
token=models.CharField(max_length=64)
def gen_tcoken(username):
import random,hashlib,time
ctime=str(time.time())
hash=hashlib.md5(username.encode('utf-8'))
hash.update(ctime.encode('utf-8'))
return hash.hexdigest()
class LoginView(APIView): #允许匿名用户访问
def post(self, request, *args, **kwargs):
ret = {'coede': 1000, 'msg': ''}
username = request.data.get('username')
pwd = request.data.get('password')
user = models.Userinfo.objects.filter(user=username, pwd=pwd)
if user:
# 根据user=user去查找,如果找到更新 如果没有找到创建defaults={} 中的数据
tk = gen_tcoken(username)
models.Token.objects.update_or_create(user=user, defaults={'token': tk})
ret['coede'] = 1001
ret['token'] = tk
else:
ret['msg'] = '用户名或者密码错误'
return JsonResponse(ret)
class CustomAuthentication(BasicAuthentication): #认证类
def authenticate(self, request):
#从 url的参数中获取客户端携带的tocken
tocken=request.query_params.get('tocken')
#去数据库中检查tocken是否存在?
tocken_obj=models.Token.objects.filter(token=tocken).first()
#如果存在
if tocken_obj:
#注意还可以返回对象
return (tocken_obj.user,tocken_obj)
#否则 自定义错误信息 认证失败
raise exceptions.AuthenticationFailed('认证失败')
def authenticate_header(self, request):
pass
class ZhanggenAuthentication():
'''
局部使用认证功能的情况下,优先继承该类
'''
authentication_classes = [CustomAuthentication]
class IndexView(ZhanggenAuthentication,APIView): #不允许匿名用户访问
def get(self,request,*args,**kwargs):
print(request.user)
print(request.user.user)
return Response('通过认证!')
认证失败后定制响应头
def authenticate_header(self, request):
return 'Basic realm=api'
#设置响应头,认证失败后,浏览器弹窗,再向server发送请求
使用RestAPI认证功能小结
1、创建2张表userinfo 和token表
2、认证类的authenticate方法去请求头中获取token信息,然后去token表中查询token是否存在;
3、查询到token 是正常用户(返回 用户名)否则为匿名用户(raise异常终止认证、或者 return none进行下一个认证)
4、局部应用
方式1::哪个CBV需要认证在类中定义authentication_classes =[CustomAuthentication ]
方式2:额外定义1个类,CBV多继承
方式3:全局配置使用认证功能,那个CBV不使用authentication_classes =[ ]
5、全局使用 在配置文件中配置 ,注意重新创建一个模块,把认证类放里面;
3、权限相关
社会3、6、9,如何实现对API接口的访问权限设置呢?基于IP ?和用户名?
需求:普通用户对UserGroupView视图无访问权限
局部使用:
from django.db import models
class Userinfo(models.Model):
user=models.CharField(max_length=32)
pwd=models.CharField(max_length=64)
email=models.CharField(max_length=64)
user_type_choices=(
(1,'普通用户'),
(2,'文艺用户'),
(3,'其他用户'),
)
user_type_id=models.IntegerField(choices=user_type_choices,default=1)
#设置 one to one 1个用户不能在不同设备上登录
#设置 Freikey 支持1个用户 在不同设备上同时登录
class Token(models.Model):
user=models.OneToOneField(Userinfo)
token=models.CharField(max_length=64)
#权限相关
from rest_framework.permissions import BasePermission,AllowAny
class CustomPermission(BasePermission):
def has_permission(self, request, view):
#view代指那个视图
#如果用户为普通用户,访问的视图是UserGroupView,没有权限拒绝访问
if request.user.user_type_id==1 and isinstance(view,UserGroupView) :
return False #返回False 代表没有权限访问
return True # return True #返回True 代表都有权限访问
class UserGroupView(APIView):
permission_classes=[CustomPermission]
def get(self, request, *args, **kwargs):
# print(request.user)
print(self.permission_classes)
print(request.user.user)
return Response('通过认证!')
全局使用:
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] , #设置允许的版本
# 设置为 None,没有通过认证的用户,request.user匿名用户 =None
"UNAUTHENTICATED_USER":None,
# 设置为UNAUTHENTICATED_TOKEN tocken =None
'UNAUTHENTICATED_TOKEN':None,
"DEFAULT_AUTHENTICATION_CLASSES":(
"utils.auth.auth1.CustomAuthentication",
),
'DEFAULT_PERMISSION_CLASSES':[ "utils.permission.per1.CustomPermission",],
}
#权限相关
from rest_framework.permissions import BasePermission,AllowAny
from app01 import views
class CustomPermission(BasePermission):
message='无权限访问' #定制错误信息
def has_permission(self, request, view):
#view代指那个视图
#如果用户为普通用户,访问的视图是UserGroupView,没有权限拒绝访问
if request.user.user_type_id==1 and isinstance(view,views.UserGroupView) :
return False #返回False 代表没有权限访问
return True # return True #返回True 代表都有权限访问
class UserGroupView(APIView):
def get(self, request, *args, **kwargs):
# print(request.user)
print(self.permission_classes)
print(request.user.user)
return Response('通过认证!')
RestApi访问权限使用小结:
创建权限的类,类中has_permission(self, request, view) return flase代表没有权限访问,return True代表有权限访问,request代指请求信息、view参数代指视图
RestApi的访问权限控制工作在视图层 dispatch方法,RBAC工作在中间件;
4、限制用户访问频率
Django Rest Framework 对用户的访问频率是通过在Django缓存中记录每位用户访问时间,进行访问频率限制的;
用户访问时间记录:以用户唯一标识(IP/token)做键,访问时间戳列表做值,列表的长度为用户访问次数;
{
用户A:[ 访问时间戳1,访问时间戳2],
用户B:[ 访问时间戳1,访问时间戳2]
}
当用户A请求到来:
根据用户的唯一标识(IP/Token/用户名)获取用户A的所有访问记录时间戳列表;
获取当前时间,根据当前时间戳和访问记录列表中的时间戳、列表中时间戳个数,做对比来决定用户A是否可以继续访问;
#根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
#获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
# Drop any requests from the history which have now passed the
# throttle duration
#做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop()#控制用户访问记录列表的中的访问记录,最后1个在配置时间范围内
#超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
#访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
4.1、局部应用(基于用户对单个视图进行访问频率限制self.key = request.user.user+view.__class__.__name__)
{
用户A视图1:[ 访问时间戳1,访问时间戳2],
用户A视图2:[ 访问时间戳1,访问时间戳2]
}
# 限制访问次数相关
from rest_framework.throttling import BaseThrottle,AnonRateThrottle,SimpleRateThrottle
#根据IP
class CustomAnonThrottle(SimpleRateThrottle):
# 代指配置文件中定义的访问频率的类 {'anon':'5/m'}
scope = 'anon'
def allow_request(self, request, view):
# 已经登录管不着
if request.user:
return True
# 获取当前访问用户的唯一标识 get_cache_key是抽象方法 ip+字符串格式化
self.key = self.get_cache_key(request, view)
# 根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
# 获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
# 做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop() # 根据配置文件 次数/时间,中的时间控制用户访问记录列表在合理的时间区间内
# 根据根据配置文件次数/时间中的次数,和列表长度决定用户是否可继续访问
# 超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
# 访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
def get_cache_key(self, request, view):
return self.cache_format % {
'scope': self.scope,
'ident': self.get_ident(request)
}
#根据用户名
class CustomUserThrottle(SimpleRateThrottle):
#代指配置文件中定义的访问频率的类 {'anon':'5/m'}
scope = 'user'
def allow_request(self, request, view):
#已经登录管不着
if not request.user:
return True
#获取当前访问用户的唯一标识 用户名
#self.key = request.user.user#用户对所页面进行访问频率限制
#用户对单个视图 进行访问频率限制
self.key = request.user.user+view.__class__.__name__
#根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
#获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
#做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop()#根据配置文件 次数/时间,中的时间控制用户访问记录列表在合理的时间区间内
#根据根据配置文件次数/时间中的次数,和列表长度决定用户是否可继续访问
# 超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
#访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
4.1、全局应用(基于用户对每个视图进行访问频率限制self.key = request.user.user)
{
用户A:[ 访问时间戳1,访问时间戳2],
}
url(r'^(?P<version>w+)/usergroup/$', views.UserGroupView.as_view(), name='xxxxx'), #登录用户 4/m
url(r'^(?P<version>w+)/test/$', views.TestView.as_view(), name='xxxxx'), #匿名用户5/m
# 源码中api_settings都代指 Django setings配置文件中的REST_FRAMEWORK 里的东西
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] , #设置允许的版本
# 设置为 None,没有通过认证的用户,request.user匿名用户 =None
"UNAUTHENTICATED_USER":None,
# 设置为UNAUTHENTICATED_TOKEN tocken =None
'UNAUTHENTICATED_TOKEN':None,
#认证相关配置
"DEFAULT_AUTHENTICATION_CLASSES":(
"utils.auth.auth1.CustomAuthentication",
),
#权限相关配置
'DEFAULT_PERMISSION_CLASSES':[ "utils.permission.per1.CustomPermission"],
#限制访问次数
'DEFAULT_THROTTLE_RATES':{
'anon':'5/m', #匿名用户5次
'user':'4/m', #登录用户6次
}
}
# 限制访问次数相关
from rest_framework.throttling import BaseThrottle,AnonRateThrottle,SimpleRateThrottle
#根据IP
class CustomAnonThrottle(SimpleRateThrottle):
# 代指配置文件中定义的访问频率的类 {'anon':'5/m'}
scope = 'anon'
def allow_request(self, request, view):
# 已经登录管不着
if request.user:
return True
# 获取当前访问用户的唯一标识 get_cache_key是抽象方法 ip+字符串格式化
self.key = self.get_cache_key(request, view)
# 根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
# 获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
# 做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop() # 根据配置文件 次数/时间,中的时间控制用户访问记录列表在合理的时间区间内
# 根据根据配置文件次数/时间中的次数,和列表长度决定用户是否可继续访问
# 超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
# 访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
def get_cache_key(self, request, view):
return self.cache_format % {
'scope': self.scope,
'ident': self.get_ident(request)
}
#根据用户名
class CustomUserThrottle(SimpleRateThrottle):
#代指配置文件中定义的访问频率的类 {'anon':'5/m'}
scope = 'user'
def allow_request(self, request, view):
#已经登录管不着
if not request.user:
return True
#获取当前访问用户的唯一标识 用户名
self.key = request.user.user
#根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
#获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
#做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop()#根据配置文件 次数/时间,中的时间控制用户访问记录列表在合理的时间区间内
#根据根据配置文件次数/时间中的次数,和列表长度决定用户是否可继续访问
# 超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
#访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
class UserGroupView(APIView):
# permission_classes = []
throttle_classes=[CustomAnonThrottle,CustomUserThrottle]
def get(self, request, *args, **kwargs):
# print(self.dispatch())
print(request.user)
# self.dispatch()
# print(self.throttle_classes)
# print(self.permission_classes)
# print(request.user.user)
# print(request.META.get('REMOTE_ADDR'))
# print(request.META.get('HTTP_X_FORWARDED_FOR'))
return Response('通过认证!')
class TestView(APIView):
permission_classes = []
authentication_classes = []
throttle_classes = [CustomAnonThrottle, CustomUserThrottle]
def get(self, request, *args, **kwargs):
return Response('test通过认证!')
匿名用户使用IP作为用户唯一标识
class CustomThrottle(SimpleRateThrottle):
scope = 'anon'
def get_cache_key(self, request, view):
# if request.user.is_authenticated:
# return None # Only throttle unauthenticated requests.
return self.cache_format % {
'scope': self.scope,
'ident': self.get_ident(request)
}
#限制访问次数
'DEFAULT_THROTTLE_RATES':{'anon':'5/m'}
class UserGroupView(APIView):
# permission_classes = []
throttle_classes=[CustomThrottle]
def get(self, request, *args, **kwargs):
# print(request.user)
# self.dispatch()
# print(self.throttle_classes)
# print(self.permission_classes)
# print(request.user.user)
return Response('通过认证!')
匿名用户5/m
url(r'^(?P<version>w+)/test/$', views.TestView.as_view(), name='xxxxx'), #匿名用户5/m
#限制访问次数
'DEFAULT_THROTTLE_RATES':{
'anon':'5/m', #匿名用户5次
'user':'4/m', #登录用户6次
}
#根据IP
class CustomAnonThrottle(SimpleRateThrottle):
# 代指配置文件中定义的访问频率的类 {'anon':'5/m'}
scope = 'anon'
def allow_request(self, request, view):
# 已经登录管不着
if request.user:
return True
# 获取当前访问用户的唯一标识 get_cache_key是抽象方法 ip+字符串格式化
self.key = self.get_cache_key(request, view)
# 根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
# 获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
# 做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop() # 根据配置文件 次数/时间,中的时间控制用户访问记录列表在合理的时间区间内
# 根据根据配置文件次数/时间中的次数,和列表长度决定用户是否可继续访问
# 超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
# 访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
def get_cache_key(self, request, view):
return self.cache_format % {
'scope': self.scope,
'ident': self.get_ident(request)
}
class TestView(APIView):
permission_classes = []
authentication_classes = []
throttle_classes = [CustomAnonThrottle, CustomUserThrottle]
def get(self, request, *args, **kwargs):
return Response('test通过认证!')
登录用户4/m
url(r'^(?P<version>w+)/usergroup/$', views.UserGroupView.as_view(), name='xxxxx'), #登录用户 4/m
#限制访问次数
'DEFAULT_THROTTLE_RATES':{
'anon':'5/m', #匿名用户5次
'user':'4/m', #登录用户6次
}
#根据用户名
class CustomUserThrottle(SimpleRateThrottle):
#代指配置文件中定义的访问频率的类 {'anon':'5/m'}
scope = 'user'
def allow_request(self, request, view):
#已经登录管不着
if not request.user:
return True
#获取当前访问用户的唯一标识 用户名
self.key = request.user.user
#根据用户的唯一标识 获取当我用户的所有访问记录
self.history = self.cache.get(self.key, [])
#获取当前时间 [最近访问,最早访问 ]
self.now = self.timer()
#做限制请求频率操作
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop()#根据配置文件 次数/时间,中的时间控制用户访问记录列表在合理的时间区间内
#根据根据配置文件次数/时间中的次数,和列表长度决定用户是否可继续访问
# 超出合理长度 返回False,不能继续访问
if len(self.history) >= self.num_requests:
return self.throttle_failure()
#访问记录列表在合理长度,return Ture可继续访问
return self.throttle_success()
class UserGroupView(APIView):
# permission_classes = []
throttle_classes=[CustomAnonThrottle,CustomUserThrottle]
def get(self, request, *args, **kwargs):
# print(self.dispatch())
print(request.user)
# self.dispatch()
# print(self.throttle_classes)
# print(self.permission_classes)
# print(request.user.user)
# print(request.META.get('REMOTE_ADDR'))
# print(request.META.get('HTTP_X_FORWARDED_FOR'))
return Response('通过认证!')
4.3、练习题
要求:
登录URL: 无权限限制,要求用户登录并返回token;
首页URL:无权限限制,匿名用户限制 2/m, 登录用户 4/m ;
订单URL: 匿名用户无法查看(权限) ,登录用户 4/m;
from django.db import models
from django.db import models
class Userinfo(models.Model):
user=models.CharField(max_length=32)
pwd=models.CharField(max_length=64)
email=models.CharField(max_length=64)
user_type_choices=(
(1,'普通用户'),
(2,'文艺用户'),
(3,'其他用户'),
)
user_type_id=models.IntegerField(choices=user_type_choices,default=1)
#设置 one to one 1个用户不能在不同设备上登录
#设置 Freikey 支持1个用户 在不同设备上同时登录
class Token(models.Model):
user=models.OneToOneField(Userinfo)
token=models.CharField(max_length=64)
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^login/',views.LoginView.as_view()),
url(r'^index/',views.IndexView.as_view()),
url(r'^order/',views.OrderView.as_view()),
]
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'app01.apps.App01Config',
'rest_framework' #组册 rest_framework APP
]
# 源码中api_settings都代指 Django setings配置文件中的REST_FRAMEWORK 里的东西
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] , #设置允许的版本
# 设置为 None,没有通过认证的用户,request.user匿名用户 =None
"UNAUTHENTICATED_USER":None,
# 设置为UNAUTHENTICATED_TOKEN tocken =None
'UNAUTHENTICATED_TOKEN':None,
# 权限相关配置
'DEFAULT_PERMISSION_CLASSES': ["utils.permission.permission1.CustomPermission"],
#认证相关配置
"DEFAULT_AUTHENTICATION_CLASSES":(
"utils.auth.auth1.CustomAuthentication",
),
#限制访问次数
'DEFAULT_THROTTLE_RATES':{
'anon':'2/m', #匿名用户5次
'user':'4/m', #登录用户6次
}
}
from rest_framework import exceptions
from rest_framework.authentication import BasicAuthentication
from app01 import models
class CustomAuthentication(BasicAuthentication): #认证类
def authenticate(self, request):
#从 url的参数中获取客户端携带的tocken
tocken=request.query_params.get('tocken')
#如果是匿名用户 url中没有携带tocken返回None不抛出异常,表示运行匿名用户访问;
if not tocken:
return (None,None)
#raise exceptions.AuthenticationFailed('认证失败') 抛出异常表示不允许匿名用户登录
#去数据库中检查tocken是否存在?
tocken_obj=models.Token.objects.filter(token=tocken).first()
#如果没有在数据中查询到用户携带tocken也允许访问
if not tocken_obj:
return (None,None)
#如果存在
return (tocken_obj.user,tocken_obj)
#如果自定义认证类的authenticate方法return了(None,None),没有raise异常代表允许匿名用户访问
#权限相关
from rest_framework.permissions import BasePermission,AllowAny
from app01 import views
class CustomPermission(BasePermission):
message='匿名用户无权限访问,订单页面。' #定制错误信息
def has_permission(self, request, view):
#view代指那个视图
#如果用户为普通用户,访问的视图是UserGroupView,没有权限拒绝访问
if not request.user and isinstance(view,views.OrderView) :
return False #返回False 代表没有权限访问
return True # return True #返回True 代表都有权限访问
from django.shortcuts import render
from utils.throttle.throttle1 import CustomAnonThrottle,CustomUserThrottle
from rest_framework.views import APIView #导入 APIView
from rest_framework.authentication import BasicAuthentication
from rest_framework.authentication import SessionAuthentication
from app01 import models
from rest_framework.request import Request
from rest_framework.response import Response
from django.http import JsonResponse
#生成动态Tocken
def gen_tcoken(username):
import random,hashlib,time
ctime=str(time.time())
hash=hashlib.md5(username.encode('utf-8'))
hash.update(ctime.encode('utf-8'))
return hash.hexdigest()
##认证相关
class LoginView(APIView):
authentication_classes = []
def get(self,request,*args,**kwargs):
ret={'code':666,'token':None,'msg':None}
username=request.GET.get('username')
# 由于API对request进行二次封装GET请获取参数可以使用request.query_params.get('pwd')
#由于API对request进行二次封装 POST获取参数可以使用request.data.get('pwd')
pwd=request.query_params.get('pwd')
user_obj=models.Userinfo.objects.filter(user=username,pwd=pwd).first()
if user_obj:
tk=gen_tcoken(username)
models.Token.objects.update_or_create(user=user_obj, defaults={'token': tk})
ret['token']=tk
else:
ret['code']=444
ret['msg']='用户名或者密码错误'
return JsonResponse(ret)
class IndexView(APIView):
# 如果在全局配置了权限认证,在单个authentication_classes = []代指本视图不做认证
throttle_classes = [CustomAnonThrottle, CustomUserThrottle]
def get(self,request,*args,**kwargs):
return Response('通过主页认证')
class OrderView(APIView):
'''
订单页面:用户登录之后才能访问,每分钟访问4次
认证环节:允许匿名用户
权限:不允许匿名用户对 访问 OrderView视图
节流:4/m
'''
throttle_classes = [CustomUserThrottle]
def get(self,request):
return Response('通过订单页面认证')
5、解析器(parser)
REST framework的解析器:根据客户端发送的content-type请求头, 选择对应的解析器, 对请求体内容进行处理。
5.1源码逻辑
a、首先把self.get_parsers(姑娘)和get_content_negotiator(劳保)都封装到request对象中;
return Request(
request,
parsers=self.get_parsers(),
negotiator=self.get_content_negotiator(),
)
b、执行request.data调用解析功能negotiator根据 content_type挑选对应的parsers做解析工作
5.2:限制API接口仅处理请求头中设置content-type/json 和content-type/form的请求体
from rest_framework.parsers import JSONParser
from rest_framework.parsers import FormParser
from rest_framework.parsers import MultiPartParser
from rest_framework.negotiation import DefaultContentNegotiation
class ParserView(APIView):
parser_classes=[JSONParser,FormParser]
#只处理请求头中包含:Content - Type:application/jison和Content - Type:application/form
def get(self,request,*args,**kwargs):
return Response ('Parsing success')
def post(self,request,*args,**kwargs):
print(request.data)
# self.dispatch()
return Response('Parsing success')
接口测试:PostmanAPI接口测试工具
6、framework序列化和用户请求数据验证
后台通过Django ORM查询到数据都是QuerySet数据类型,这种数据类型不可以直接json.dumps()序列化响应给客户端,REST framework自带序列化功能,可以将数据库查询到的Foreign Key、Many to Many、Choice字段序列化为字典响应给客户端,还可以对用户提交的数据进行的验证(功能类似Form验证);
序列化
6.1:单表查询结果序列化
#自定义序列化类
from rest_framework import serializers
class UserSerializers(serializers.Serializer):
user=serializers.CharField()
pwd=serializers.CharField()
email=serializers.CharField()
user_type_id=serializers.IntegerField()
#应用
class SerializeView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#同时想返回序列化数据 many=True,如果是models.Userinfo.objects.all().first()使用many=Flase
ser=UserSerializers(instance=user_list,many=True)
return Response(ser.data)
6.2:source连表查询结果序列化(外键 1对多关系)
#自定义序列化类
from rest_framework import serializers
class UserSerializers(serializers.Serializer):
user=serializers.CharField()
pwd=serializers.CharField()
email=serializers.CharField()
user_type_id=serializers.IntegerField()
#source代指连表操作获取数据
ug=serializers.CharField(source='ug.title')
#应用
class SerializeView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#同时想返回序列化数据 many=True,如果是models.Userinfo.objects.all().first()使用many=Flase
ser=UserSerializers(instance=user_list,many=True)
return Response(ser.data)
正向连表 外键字段.xx
class TestSerializer(serializers.ModelSerializer):
#1对多字段
house=serializers.CharField(source='House.addr')
#1对多字段
car=serializers.CharField(source='car.titile')
#多对多字段
madam=serializers.CharField(source='madam.all')
car_level=serializers.CharField(source='car.get_car_level_display')
class Meta:
model=models.Person
fields=['name','house','car','madam','car_level']
source还支持反向连表查询
person=serializers.CharField(source='person_set.all')
depth 连表深度:自动连表,连表深度最大为10
class UserSerializers(serializers.ModelSerializer):
pwd=serializers.HyperlinkedIdentityField(view_name='xxxx')
class Meta:
model=models.Userinfo
fields='__all__'
depth=2 #自动联表
如果是数据库中普通字段在自定制serializers类中定义fileds=[‘字段名称’ ]属性即可,但是遇到choices(中文)、Many to Many字段怎么处理呢?
获取choice字段中文: get_choice字段_display
get_choices字段_display获取多对多字段数据
方法1:
CharField()中的source参数之所以支持 外键跨表、choice字段获取中文名、多对多字段获取,原理是因为CharField类中的2个方法:
1、get_attribute 去数据库中获取值
2、to_representation 在页面上显示值
如果自己实现这2种方法,也可以自定制获取、显示外键、多对多、choice字段数据;
class MyFielf(serializers.CharField):
def get_attribute(self,instance):
#instance 代表每一行
madam_list=instance.madam.all()
return madam_list
def to_representation(self,value):
#value 就是get_attribute return的结果
ret=[]
for row in value:
ret.append({'name':row.name})
return ret
class TestSerializer(serializers.ModelSerializer):
madams=MyFielf()
class Meta:
model=models.Person
fields=['name','madams']
方法2:
SerializerMethodField字段结合method_name=' 自定制方法'参数
class ModelCourseDetaiSerializer(serializers.ModelSerializer):
course_name=serializers.CharField(source='course.name') #外键
price_policy=serializers.SerializerMethodField(method_name='get_price_policyss')# 多对多
recommend_courses=serializers.SerializerMethodField(method_name='get_recommend_courses_list') # ContentType
teacher_list = serializers.SerializerMethodField(method_name='get_teacher_lists')
class Meta:
model=models.CourseDetail
fields=['id','course_name','price_policy','recommend_courses','teacher_list']
#推荐课程
def get_recommend_courses_list(self,obj):
ret=[]
courses_list=obj.recommend_courses.all()
for i in courses_list:
ret.append({'id':i.id,'name':i.name})
return ret
#价格策略
def get_price_policyss(self,obj):
ret = []
price=obj.course.price_policy.all()
for i in price:
ret.append({'id':i.id,'name':i.valid_period,'price':i.price})
return ret
#课程讲师
def get_teacher_lists(self,obj):
ret = []
teachers=obj.teachers.all()
for t in teachers:
ret.append({'name':t.name,'brief ':t.brief,'role':t.get_role_display()})
return ret
class Course_DetailView(APIView):
def get(self,*args,**kwargs):
pk=kwargs.get('pk',None)
detail=models.CourseDetail.objects.get(course_id=pk)
ser = ModelCourseDetaiSerializer(instance=detail,many=False)
return Response(ser.data)
对提交到API接口的数据做校验
serializers不仅可以把后台ORM获取到的数据序列化后响应客户端,还可以对客户端提交的数据进行验证(类似Form验证功能);
#自定义序列化类
from rest_framework import serializers
#复杂验证规则
class PasswordValidator(object):
def __init__(self, base):
self.base = base
def __call__(self, value):
if value != self.base:
message = '密码必须是 %s.' % self.base
raise serializers.ValidationError(message)
class UserSerializers(serializers.Serializer):
user=serializers.CharField(error_messages={"required":"用户名不能为空"})
#PasswordValidator验证类
pwd=serializers.CharField(validators=[PasswordValidator(base='666')])
email=serializers.CharField()
user_type_id=serializers.IntegerField()
#source代指连表操作获取数据
ug=serializers.CharField(source='ug.title')
#应用
class SerializeView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#同时想返回序列化数据 many=True,如果是models.Userinfo.objects.all().first()使用many=Flase
ser=UserSerializers(instance=user_list,many=True)
return Response(ser.data)
def post(self, request, *args, **kwargs):
#对用户提交数据进行验证 data=request.dat
ser = UserSerializers(data=request.data)
#验证成功返回 正确数据
if ser.is_valid():
return Response(ser.validated_data)
else:
#验证失败放回错误信息
print(ser.errors)
return Response(ser.errors)
serializers的数据验证功能类似Form验证,Form验证可以结合Models做ModelForm验证,serializers也是可以的;
class UserSerializers(serializers.ModelSerializer):
class Meta:
model=models.Userinfo
fields="__all__"
#应用
class SerializeView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#同时想返回序列化数据 many=True,如果是models.Userinfo.objects.all().first()使用many=Flase
ser=UserSerializers(instance=user_list,many=True)
return Response(ser.data)
HyperlinkedIdentityField字段,(根据PK反向生成URL)
"""
Django settings for RestFrameWor练习 project.
Generated by 'django-admin startproject' using Django 1.11.4.
For more information on this file, see
https://docs.djangoproject.com/en/1.11/topics/settings/
For the full list of settings and their values, see
https://docs.djangoproject.com/en/1.11/ref/settings/
"""
import os
# Build paths inside the project like this: os.path.join(BASE_DIR, ...)
BASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))
# Quick-start development settings - unsuitable for production
# See https://docs.djangoproject.com/en/1.11/howto/deployment/checklist/
# SECURITY WARNING: keep the secret key used in production secret!
SECRET_KEY = '#zh*tb-b3=2w^lka#47nztp=-shjy0a1j^8&pqypcaug3d%6oq'
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True
ALLOWED_HOSTS = []
# Application definition
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'app01.apps.App01Config',
'rest_framework' #组册 rest_framework APP
]
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
ROOT_URLCONF = 'RestFrameWor练习.urls'
TEMPLATES = [
{
'BACKEND': 'django.template.backends.django.DjangoTemplates',
'DIRS': [os.path.join(BASE_DIR, 'templates'),],
'APP_DIRS': True,
'OPTIONS': {
'context_processors': [
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
},
},
]
WSGI_APPLICATION = 'RestFrameWor练习.wsgi.application'
# Database
# https://docs.djangoproject.com/en/1.11/ref/settings/#databases
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.sqlite3',
'NAME': os.path.join(BASE_DIR, 'db.sqlite3'),
}
}
# Password validation
# https://docs.djangoproject.com/en/1.11/ref/settings/#auth-password-validators
AUTH_PASSWORD_VALIDATORS = [
{
'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator',
},
{
'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator',
},
{
'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator',
},
{
'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator',
},
]
# Internationalization
# https://docs.djangoproject.com/en/1.11/topics/i18n/
LANGUAGE_CODE = 'en-us'
TIME_ZONE = 'UTC'
USE_I18N = True
USE_L10N = True
USE_TZ = True
# Static files (CSS, JavaScript, Images)
# https://docs.djangoproject.com/en/1.11/howto/static-files/
STATIC_URL = '/static/'
# 源码中api_settings都代指 Django setings配置文件中的REST_FRAMEWORK 里的东西
REST_FRAMEWORK = {
"DEFAULT_VERSIONING_CLASS": "rest_framework.versioning.URLPathVersioning",#设置使用的类
"VERSION_PARAM":"version", #设置默认参数名称
"DEFAULT_VERSION":'v1', #设置默认版本
"ALLOWED_VERSIONS":['v1','v2'] , #设置允许的版本
# 设置为 None,没有通过认证的用户,request.user匿名用户 =None
"UNAUTHENTICATED_USER":None,
# 设置为UNAUTHENTICATED_TOKEN tocken =None
'UNAUTHENTICATED_TOKEN':None,
# 权限相关配置
'DEFAULT_PERMISSION_CLASSES': ["utils.permission.permission1.CustomPermission"],
#认证相关配置
"DEFAULT_AUTHENTICATION_CLASSES":(
"utils.auth.auth1.CustomAuthentication",
),
#限制访问次数
'DEFAULT_THROTTLE_RATES':{
'anon':'2/m', #匿名用户2次
'user':'4/m', #登录用户4次
}
}
注意如果配置文件中配置了版本控制功能,在反向生成URL的时候也要体现;
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^login/',views.LoginView.as_view()),
url(r'^index/',views.IndexView.as_view()),
url(r'^order/',views.OrderView.as_view()),
url(r'^parser/', views.ParserView.as_view()),
url(r'^serialize/',views.SerializeView.as_view()),
url(r'^serialize.(?P<format>w+)',views.SerializeView.as_view()),
url(r'test/(?P<pk>d+)/(?P<version>[v1|v2]+)', views.SerializeView.as_view(),name='xxxx'),
]
class UserSerializers(serializers.ModelSerializer):
pwd=serializers.HyperlinkedIdentityField(view_name='xxxx')
class Meta:
model=models.Userinfo
fields='__all__'
#应用
class SerializeView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#同时想返回序列化数据 many=True,如果是models.Userinfo.objects.all().first()使用many=Flase
ser=UserSerializers(instance=user_list,many=True,context={'request':request})
return Response(ser.data)
自动生成url字段
class UserSerializers(serializers.HyperlinkedModelSerializer):
class Meta:
model=models.Userinfo
fields=['id','user','pwd','email','url']
#应用
class SerializeView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#同时想返回序列化数据 many=True,如果是models.Userinfo.objects.all().first()使用many=Flase
ser=UserSerializers(instance=user_list,many=True,context={'request':request})
return Response(ser.data)
def post(self, request, *args, **kwargs):
#对用户提交数据进行验证 data=request.dat
ser = UserSerializers(data=request.data)
#验证成功返回 正确数据
if ser.is_valid():
return Response(ser.validated_data)
else:
#验证失败放回错误信息
print(ser.errors)
return Response(ser.errors)
Serializer小结:
Serializer虽然叫序列化,却有2大功能 (序列化、Form验证)3大父类(Serializer,ModelSerializer,HyperlinkedModelSerializer);
自定义的serializers类,有3中可继承的父类;
1、serializers.Serializer:手动指定需要序列化和验证的字段
2、serializers.ModelSerializer:自动获取需要序列化和验证的字段(类似ModelFrom功能)
3、serializers.HyperlinkedModelSerializer 自动生成超链接
7、分页
当用户向我们的REST framework提交查询请求时候,怎么能把数据库里的全部数据list出来响应给用户呢?这就涉及到数据分页了,不仅要分页还要考虑分页性能;
a.根据 url参数携带的页码,进行分页;
url(r'^pager/$', views.PagerView.as_view()),
#分页相关配置
from rest_framework.pagination import PageNumberPagination
class ZhanggenPagination(PageNumberPagination):
#默认一页显示多少条数据
page_size=1
#http://127.0.0.1:8008/pager/?page=1 url参数名称
page_query_param='page'
#http://127.0.0.1:8008/pager/?page=1&page_size=2,通过url传参定制一页显示多少条数据;
page_size_query_param = 'page_size'
#序列化相关配置
class PagerSerializers(serializers.ModelSerializer):
#新增一个字段
zhanggen=serializers.CharField(source='ug.title')
class Meta:
model=models.Userinfo
fields='__all__'
#CBV应用分页和序列化功能
class PagerView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#实例化 自定制分页类
obj=ZhanggenPagination()
#调用分页类的paginate_queryset方法,根据url的参数 获取分页数据;
page_user_list=obj.paginate_queryset(user_list,request,self )
#序列化
ser=PagerSerializers(instance=page_user_list,many=True)
#返回结果包页码"next": "http://127.0.0.1:8008/pager/?page=2",点击跳转到下一页;
# respose=obj.get_paginated_response(ser.data)
# return respose
#返回结果不包含页码
return Response(ser.data)
b. 基于某位置偏移进行分页 offset limit
urlpatterns = [url(r'^pager/$', views.PagerView.as_view()), ]
#分页相关配置
from rest_framework.pagination import PageNumberPagination
from rest_framework.pagination import LimitOffsetPagination
from rest_framework.pagination import CursorPagination
#http://127.0.0.1:8008/pager/?offset=2&limit=5 获取3-8条(移动到2,基于2偏移获取5条数据)
class Zhanggen1Pagination(LimitOffsetPagination):
# 默认每页显示的数据条数
default_limit = 1
# URL中传入的数据位置的参数(基于这个位置偏移)
offset_query_param = 'offset'
# 偏移量参数
limit_query_param = 'limit'
# 最大每页显得条数
max_limit = None
#序列化相关配置
class PagerSerializers(serializers.ModelSerializer):
#新增一个字段
zhanggen=serializers.CharField(source='ug.title')
class Meta:
model=models.Userinfo
fields='__all__'
#CBV应用分页和序列化功能
class PagerView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#实例化 自定制分页类
obj=Zhanggen1Pagination()
#调用分页类的paginate_queryset方法,根据url的参数 获取分页数据;
page_user_list=obj.paginate_queryset(user_list,request,view=self )
#序列化
ser=PagerSerializers(instance=page_user_list,many=True)
#返回结果包页码"next": "http://127.0.0.1:8008/pager/?page=2",点击跳转到下一页;
respose=obj.get_paginated_response(ser.data)
return respose
#返回结果不包含页码
# return Response(ser.data)
c. 游标分页
urlpatterns = [ url(r'^pager/$', views.PagerView.as_view()), ]
#分页相关配置
from rest_framework.pagination import CursorPagination
#http://127.0.0.1:8008/pager/?cursor=cD0x
class Zhanggen2Pagination(CursorPagination):
# URL传入的游标参数
cursor_query_param = 'cursor'
# 默认每页显示的数据条数
page_size = 1
# URL传入的每页显示条数的参数
page_size_query_param = 'page_size'
# 每页显示数据最大条数
max_page_size = 1000
# 根据ID从大到小排列
ordering = "id"
#序列化相关配置
class PagerSerializers(serializers.ModelSerializer):
#新增一个字段
zhanggen=serializers.CharField(source='ug.title')
class Meta:
model=models.Userinfo
fields='__all__'
#CBV应用分页和序列化功能
class PagerView(APIView):
def get(self,request,*args,**kwargs):
user_list=models.Userinfo.objects.all()
#实例化 自定制分页类
obj=Zhanggen2Pagination()
#调用分页类的paginate_queryset方法,根据url的参数 获取分页数据;
page_user_list=obj.paginate_queryset(user_list,request,view=self )
#序列化
ser=PagerSerializers(instance=page_user_list,many=True)
#返回结果包页码"next": "http://127.0.0.1:8008/pager/?page=2",点击跳转到下一页;
respose=obj.get_paginated_response(ser.data)
return respose
#返回结果不包含页码
# return Response(ser.data)
分页功能小结:
a. REST framework一共有3中分页方式
1、根据页码和每次能查看的条目数:http://127.0.0.1:8008/pager/?page=1&page_size=2 获取1-2条
2、基于offset偏移位置做limit获取:http://127.0.0.1:8008/pager/?offset=2&limit=5 获取3-8条(移动到2,基于2偏移获取5条数据)
3、游标分页(加密页面,1页1页得翻页)
b. 浅谈分页性能
分页方式1和方式2的缺陷:
以上分页方式最终转化成SQL语句本质是 offset和 limit
第1页:select * from 表 offset 0 limit 5
第2页:select * from 表 offset 5 limit 5
第3页:select * from 表 offset 10 limit 5
.................................
第N页:select * from 表 offset X limit 5
越往后翻 offset的值就会越大,已经翻阅过的数据量越多,需要扫描的数据就会越多,每次翻页数据库查询会把已经翻阅的数据的从头开始再扫描一遍,速度就会越慢;
解决方案:
游标分页之所以会把页码加密,只让用户点击上一页和下一页,进行1页1页的翻页。。。
原因:普通翻页和直接跳转到某页会涉及全表扫描,除非 查询数据库SQL语句中包含 id < n , id >n
翻页时记住当前页最大ID和最小ID,想要到上一页 id>min, 想要到下一页 id>max select * from 表 where id >n offset 0 limit 5
缺点:无法直接跳转到某一页
8、路由系统和视图
REST framework根据配置自动生成 增、删、改、list的url并且自动生成视图中的list、add、delete、put方法;解放你的双手!
自建路由
urlpatterns = [
#路由相关
#http://127.0.0.1:8008/router/
# 支持:GET 查询显示list页面 、 POST:增加
url(r'^router/$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router.json
#支持:携带.json后缀
url(r'^router.(?P<format>w+)$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router/1/
# 支持:put修改、delete 删除
url(r'^router/(?P<pk>d+)/$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router/1.json
#支持 get 获取单条数据
url(r'^router/(?P<pk>d+).(?P<format>w+)$', views.RouterView.as_view()),
]
#路由相关
#路由序列化相关
class RouteSerializers(serializers.ModelSerializer):
class Meta:
model=models.Userinfo
fields='__all__'
#应用
class RouterView(APIView):
def get(self,*args,**kwargs):
pk=kwargs.get('pk')
if pk:
user_obj= models.Userinfo.objects.get(pk=pk)
ser=RouteSerializers(instance=user_obj,many=False)
else:
user_list=models.Userinfo.objects.all()
ser = RouteSerializers(instance=user_list, many=True)
return Response(ser.data)
GenericAPIView内置了一些方法 完成 分页、序列化功能,无需自己实例化对象了,路由没作任何改变;
from app01 import views
urlpatterns = [
# 半自动创建路由
#http://127.0.0.1:8008/router/
# 支持:GET 查询显示list页面 、 POST:增加
url(r'^router/$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router.json
#支持:携带.json后缀
url(r'^router.(?P<format>w+)$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router/1/
# 支持:put修改、delete 删除
url(r'^router/(?P<pk>d+)/$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router/1.json
#支持 get 获取单条数据
url(r'^router/(?P<pk>d+).(?P<format>w+)$', views.RouterView.as_view()),
]
#路由序列化相关
from rest_framework import serializers
class RouteSerializers(serializers.ModelSerializer):
class Meta:
model=models.Userinfo
fields='__all__'
#路由分页相关类
from rest_framework.pagination import PageNumberPagination
class ZhanggenPagination(PageNumberPagination):
#默认一页显示多少条数据
page_size=1
#http://127.0.0.1:8008/pager/?page=1 url参数名称
page_query_param='page'
#http://127.0.0.1:8008/pager/?page=1&page_size=2,通过url传参定制一页显示多少条数据;
page_size_query_param = 'page_size'
#半自动路由
from rest_framework.generics import GenericAPIView
class RouterView(GenericAPIView):
#数据库数据
queryset = models.Userinfo.objects.all()
#序列化类
serializer_class = RouteSerializers
#分页类
pagination_class = ZhanggenPagination
def get(self,request,*args,**kwargs):
#获取数据库数据
user_list=self.get_queryset()
#获取分页相关,对数获取到的数据进行分页
page_user_list=self.paginate_queryset(user_list)
#获取序列化相关,对已经分页得数据库数据进行序列化
ser=self.get_serializer(instance=page_user_list,many=True)
respose=self.get_paginated_response(ser.data)
return respose
半自动路由: as_view({'get': "retrieve", "put": 'update','delete':'destroy'})) 更加as.view方法中的参数,自动触发视图执行
from app01 import views
urlpatterns = [
#半自动路由:根据不同的请求自动触发 不同的视图做不同的操作
url(r'^router/$',views.RouterView.as_view({'get':"list","post":'create' } )),
#http://127.0.0.1:8008/router/1/
#get请求获取某条数据 put请求某条数据 delete请求删除单条数据
url(r'^router/(?P<pk>d+)/$', views.RouterView.as_view({'get': "retrieve", "put": 'update','delete':'destroy'})),
]
#路由序列化相关
from rest_framework import serializers
class RouteSerializers(serializers.ModelSerializer):
class Meta:
model=models.Userinfo
fields='__all__'
from rest_framework.viewsets import ModelViewSet
class RouterView(ModelViewSet):
#数据库数据
queryset = models.Userinfo.objects.all()
#序列化类
serializer_class = RouteSerializers
全自动路由
from django.conf.urls import url,include
from app01 import views
from rest_framework.routers import DefaultRouter
router=DefaultRouter()
#http://127.0.0.1:8008/zhanggen/2/ 设置url前缀对应的视图
router.register('zhanggen',views.RouterView)
urlpatterns = [
url(r'^',include(router.urls)),
]
#路由序列化相关
class RouteSerializers(serializers.ModelSerializer):
class Meta:
model=models.Userinfo
fields='__all__'
from rest_framework.viewsets import ModelViewSet
from rest_framework import mixins
class RouterView(ModelViewSet):
#数据库数据
queryset = models.Userinfo.objects.all()
#序列化类
serializer_class = RouteSerializers
framework视图类总结
继承最底层APIView:功能少,可定制性强
继承ModelViewSet:功能丰富,FBV里list、add、delet..方法可定制性查;
9、渲染
REST framework根据用户请求url后缀(http://127.0.0.1:8008/render.json,http://127.0.0.1:8008/render/form/)的不同,渲染出不同的数据格式响应给客户端;
注意:后端渲染功能是结合路由系统中设置format传入的参数来做渲染的,所有不要忘了在路由系统中设置format来接收url传来的参数;
urlpatterns = [
#渲染相关
url(r'^render/$', views.RenderView.as_view()),
#http://127.0.0.1:8008/render.json
url(r'^render.(?P<format>w+)$', views.RenderView.as_view()),
#http://127.0.0.1:8008/render/json/
url(r'^render/(?P<format>w+)/$', views.RenderView.as_view()),
]
#渲染相关
from rest_framework.renderers import JSONRenderer,AdminRenderer,BrowsableAPIRenderer,HTMLFormRenderer
#序列化
class RenderSerializers(serializers.ModelSerializer):
class Meta:
model=models.Userinfo
fields='__all__'
# class RenderView(APIView):
# #支持响应 json、admin 格式的数据
# renderer_classes =[JSONRenderer,AdminRenderer,BrowsableAPIRenderer]
# def get(self,request,*args,**kwargs):
# user_list=models.Userinfo.objects.all()
# ser=RenderSerializers(instance=user_list,many=True)
# return Response(ser.data)
class RenderView(APIView):
#支持响应form格式的数据
renderer_classes =[HTMLFormRenderer]
def get(self,request,*args,**kwargs):
#注意返回form格式的数据instance必须为单个对象
user_list=models.Userinfo.objects.all().first()
ser=RenderSerializers(instance=user_list,many=False)
return Response(ser.data)
使用RET framework开展项目总结
0、RET framework 内置了 版本、用户认证、访问权限、限制访问频率公共功能;(全局使用在配置文件配置,在全局使用的前提下,局部视图使用 xxclass=[ ]代表局部不使用)
1、虽然使用全自动url结合ModelViewSet视图可以快速搭建一个简单的API,但是慎用因为后期项目扩展和更新很难修改;
class Zhanggen(APIView): #继承APIView可扩展性强
def get(self, request, *args, **kwargs):
pass
def post(self, request, *args, **kwargs):
pass
def put(self, request, *args, **kwargs):
pass
def delete(self, request, *args, **kwargs):
pass
2、1个视图对应4个标准url
#http://127.0.0.1:8008/router/
# 支持:GET 查询显示list页面 、 POST:增加
url(r'^router/$',views.RouterView.as_view()),
#http://127.0.0.1:8008/router.json
#支持:携带.json后缀
url(r'^router.(?P<format>w+)$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router/1/
# 支持:put修改、delete 删除
url(r'^router/(?P<pk>d+)/$', views.RouterView.as_view()),
#http://127.0.0.1:8008/router/1.json
#支持 get 获取单条数据
url(r'^router/(?P<pk>d+).(?P<format>w+)$', views.RouterView.as_view()),
3、版本控制
url(r'test/(?P<pk>d+)/(?P<version>[v1|v2]+)$', views.SerializeView.as_view(),name='xxxx'),