权限
权限逻辑
权限逻辑 权限组件可以设置在三个地方:
写在每个类下边表示,访问这个类的数据时,没有权限就不能访问;
写在全局,表示访问每个字段的数据都需要权限;还有默认已经也写好了。 写在每个类中:写一个权限组件,套入到需要加权限的类中,组件中写业务逻辑。
业务逻辑:首先提前在user用户中加入字段user_type,
写好type=((1,"VIP"),(2,"SVIP"),(3,"SSVIP")),user_type=models.IntegerField(choices=type),
当user_type>=2时,表示可以访问资源,按照源码流程,直接返回True即可,反之亦然。
#url.py url(r'^course/', views.Courseview.as_view()),
#views.py class SSVIPPermission(object): def get_permissions(self,request,view): #源码中抠的函数,view可有可无,一般不用 if request.user.user_type>=2: return True #源码中,如果权限user_type大于等于2,相当于是svip、ssvip,表示可以访问资源;
return False #返回False表示无权限 class Courseview(APIView): permission_classes=[SSVIPPermission] #将权限组件加入course这个资源类。 def get(self,request): # 使用序列化传数据 course_list=Course.objects.all() cs=CourseSerializer(course_list,many=True) #如果有多个字段,不可能使用course.desc这种方式,
需要序列化简便! print(cs.data) return Response(cs.data) #我的序列化接口 def post(self,request): print(request.data) cs=CourseSerializer(data=request.data) if cs.is_valid(): #校验 Course.objects.create(**request.data) return Response(cs.data) #序列化数据 else: return Response(cs.errors) # 序列化错误信息
权限源码
def check_permissions(self, request): for permission in self.get_permissions(): if not permission.has_permission(request, self): self.permission_denied( request, message=getattr(permission, 'message', None) ) 解析:当调用get_permissions()时,若get_permissions()被返回了True,permission为True,接下来的代码就不走了,
可以直接访问数据了,若返回False,代表要走if not...语句,返回message错误提醒。 另外message可以自己写,一般是英文,可以写出中文加到SSVIPPermission类下。
频率
访问频率逻辑
流程基本上是:当用户访问数据时,要获取ip地址,和当前访问时间戳,存放到字典里。当第一次访问时,将访问的ip地址创建到字典里,
接着做判断,当第一次访问时间和最后一次访问时间间隔大于60s,那么就无权限访问了,然后将访问间隔大于60的用户ip地址删除掉,
继续访问即可!
首先定义个VISIT_RECORD字典用来存放ip地址、当前访问的时间戳。
#一分钟一个IP只能访问3次的配置 from rest_framework.throttling import BaseThrottle VISIT_RECORD={} class VisitThrottle(BaseThrottle): def __init__(self): self.histroy = None def allow_request(self, request, view): remote_addr=request.META.get("REMOTE_ADDR") print(remote_addr) #取到访问用户的ip地址 import time ctime=time.time() print(ctime) #当前时间戳 if remote_addr not in VISIT_RECORD: VISIT_RECORD[remote_addr]=[ctime,] #将第一次访问,字典里没有IP地址,则创建当前ip地址。 # 再将{"127.0.0.1":1544185712.4733276}
放到VISIT_RECORD字典 return True history=VISIT_RECORD.get(remote_addr) self.histroy=history while history and history[-1]<ctime-60: #当当前的用户访问时间大于60了,删除这个ip记录 history.pop() if len(history)<3: history.insert(0,ctime) #如果一分钟内访问了3次以下,插入记录,返回True,继续访问 return True else: #如果一分钟内访问了3次以上,返回False return False def wait(self): import time ctime=time.time() return 60-(ctime-self.histroy[-1])
class Courseview(APIView): throttle_classes = [VisitThrottle] #频率组件 def get(self,request): course_list=Course.objects.all() cs=CourseSerializer(course_list,many=True) #如果有多个字段,不可能使用course.desc这种方式,
需要序列化简便! print(cs.data) return Response(cs.data) #我的序列化接口 def post(self,request): print(request.data) cs=CourseSerializer(data=request.data) if cs.is_valid(): #校验 Course.objects.create(**request.data) return Response(cs.data) #序列化数据 else: return Response(cs.errors) # 序列化错误信息
使用频率组件
#url.py url(r'^course/', views.Courseview.as_view()),
#settings.py
'DEFAULT_THROTTLE_CLASSES':("app01.views.VisitThrottle",), 'DEFAULT_THROTTLE_RATES':{ "visit_rate":"6/m", #visit_rate可以随便起名,在views中设置 }
#访问频率的配置-使用组件 from rest_framework.throttling import SimpleRateThrottle class VisitThrottle(SimpleRateThrottle): #访问频率封装在SimpleRateThrottle方法里 scope="visit_rate" #可以设置字段 def get_cache_key(self, request, view): return self.get_ident(request) #拿到ip地址