一。频率认证原理。
1.从dispatch中获取配置,找到setting中的配置。
2.从thtoyyling中寻找到各个认证类。
3.所有认证类都继承自basethrottle,basethrottle中,继承该类的都有重写allow_request方法。
4。base的字类simple中的init,需要对其进行条件配置DEFAULT_THROTTLE_RATES,其中默认值为none,init方法通过get_rate方法获取scope也就是配置的rates(3/min)。
5.parse_rate方法将该字段拆分成3 和min解析到另外两个元素中。parse_rate返回的是一个元组。
6。子类中的get_cache_key方法就是获取request中的user的登录信息,并获取id,和scope。
7.allow_request方法就是判断rate是否有,有则继续,没有则代表没有限制。然后建立缓存和获取缓存:(cache.set和cache.get)。初次访问history为空。设置列表为空列表,每添加一个记录增加一次到列表(按照user为key,剩余事件为value)
# 1)APIView的dispath方法中的 self.initial(request, *args, **kwargs) 点进去 # 2)self.check_throttles(request) 进行频率认证 # 频率组件核心源码分析 def check_throttles(self, request): throttle_durations = [] # 1)遍历配置的频率认证类,初始化得到一个个频率认证类对象(会调用频率认证类的 __init__() 方法) # 2)频率认证类对象调用 allow_request 方法,判断是否限次(没有限次可访问,限次不可访问) # 3)频率认证类对象在限次后,调用 wait 方法,获取还需等待多长时间可以进行下一次访问 # 注:频率认证类都是继承 SimpleRateThrottle 类 for throttle in self.get_throttles(): if not throttle.allow_request(request, self): # 只要频率限制了,allow_request 返回False了,才会调用wait throttle_durations.append(throttle.wait()) if throttle_durations: # Filter out `None` values which may happen in case of config / rate # changes, see #1438 durations = [ duration for duration in throttle_durations if duration is not None ] duration = max(durations, default=None) self.throttled(request, duration)
二。自定义频率限制。
1.设置scope。
2.重写get_cache_key,返回一个字符串。给allow_request操作。
自定义规则:
# 1) 自定义一个继承 SimpleRateThrottle 类 的频率类 # 2) 设置一个 scope 类属性,属性值为任意见名知意的字符串 # 3) 在settings配置文件中,配置drf的DEFAULT_THROTTLE_RATES,
格式为 {scope字符串: '次数/时间'} # 4) 在自定义频率类中重写 get_cache_key 方法 # 限制的对象返回 与限制信息有关的字符串 # 不限制的对象返回 None (只能放回None,不能是False或是''等)
首先重写该类:
from rest_framework.throttling import SimpleRateThrottle class SMSRateThrottle(SimpleRateThrottle): scope = 'sms' # 只对提交手机号的get方法进行限制 def get_cache_key(self, request, view): mobile = request.query_params.get('mobile') # 没有手机号,就不做频率限制 if not mobile: return None # 返回可以根据手机号动态变化,且不易重复的字符串,
作为操作缓存的key return 'throttle_%(scope)s_%(ident)s'
% {'scope': self.scope, 'ident': mobile}
配置settings:
# drf配置 REST_FRAMEWORK = { # 频率限制条件配置 'DEFAULT_THROTTLE_RATES': { 'sms': '1/min' }, }
在需要频率认证的地方配置:
from .throttles import SMSRateThrottle class TestSMSAPIView(APIView): # 局部配置频率认证 throttle_classes = [SMSRateThrottle] def get(self, request, *args, **kwargs): return APIResponse(0, 'get 获取验证码 OK') def post(self, request, *args, **kwargs): return APIResponse(0, 'post 获取验证码 OK')
三。认证规划图过程。
在django不分离的过程总,需要前端带着csrf进行访问页面,获取信息。
而drf前后端分离之后分为需要认证的请求和不需要认证的请求,携带token访问三大认证,从而获得数据。
四,token的演变。
初始认证方法是单服务器,将前端传来的session信息和数据库中的数据进行对比从而得知其安全性,
缺点:频繁的访问数据库,数据库压力大。
其次通过缓存的方式存储token进行存储,然后校验,这样的速度就加快了很多。
缺点:不支持多服务器认证。
最终人变成不需要存储的token认证,只需要认证信息即可。
其中的区别比较:
2:
五。jwt认证。
其优点在于:
""" 1) 服务器不要存储token,token交给每一个客户端自己存储,服务器压力小 2)服务器存储的是 签发和校验token 两段算法,签发认证的效率高 3)算法完成各集群服务器同步成本低,路由项目完成集群部署(适应高并发) """
其使用格式为:
""" 1) jwt token采用三段式:头部.载荷.签名 2)每一部分都是一个json字典加密形参的字符串 3)头部和载荷采用的是base64可逆加密(前台后台都可以解密) 4)签名采用hash256不可逆加密(后台校验采用碰撞校验) 5)各部分字典的内容: 头部:基础信息 - 公司信息、项目组信息、可逆加密采用的算法 载荷:有用但非私密的信息 - 用户可公开信息、过期时间 签名:头部+载荷+秘钥 不可逆加密后的结果 注:服务器jwt签名加密秘钥一定不能泄露 签发token:固定的头部信息加密.当前的登陆用户与过期时间加密.头部+载荷+秘钥生成不可逆加密 校验token:头部可校验也可以不校验,载荷校验出用户与过期时间,头部+载荷+秘钥完成碰撞检测校验token是否被篡改 """
六。jwt使用。
官网实在github上发表。
https://github.com/jpadilla/django-rest-framework-jwt
而下载在django中需要如下代码:
>: pip3 install djangorestframework-jwt
登录-签发token的使用(api/urls.py)
# ObtainJSONWebToken视图类就是通过username和password得到user对象然后签发token from rest_framework_jwt.views import ObtainJSONWebToken, obtain_jwt_token urlpatterns = [ # url(r'^jogin/$', ObtainJSONWebToken.as_view()), url(r'^jogin/$', obtain_jwt_token), ]
认证-校验类:全局或局部配置drf-jwt的认证类 JSONWebTokenAuthentication
from rest_framework.views import APIView from utils.response import APIResponse # 必须登录后才能访问 - 通过了认证权限组件 from rest_framework.permissions import IsAuthenticated from rest_framework_jwt.authentication import JSONWebTokenAuthentication class UserDetail(APIView): authentication_classes = [JSONWebTokenAuthentication] # jwt-token校验request.user permission_classes = [IsAuthenticated] # 结合权限组件筛选掉游客 def get(self, request, *args, **kwargs): return APIResponse(results={'username': request.user.username})
# 路由 url(r'^user/detail/$', views.UserDetail.as_view()), # 接口:/api/user/detail/ # 认证信息:必须在请求头的 Authorization 中携带 "jwt 后台签发的token" 格式的认证字符串
输入时需要输入put方法,输入json方法的字典形式。
登录的接口需要将其所有的认证和权限都滞空。
登录认证时登录信息需要提供Authorization : token。(post)
jwt的三个视图类。
1.obtain_jwt_token
通过账号密码,签发token(以来auth组建的rbac用户权限)
2.refresh_jwt_token
根据一个合法的token返回刷新后的token
3.verify_jwt_token
校验token,如果通过,原样返回。