三大认证之认证组件和权限组件

一. 源码分析

  

1. APIView的dispath(self, request, *args, **kwargs)
2. dispath方法内self.initial(request, *args, **kwargs)
    # 认证组件: 校验用户  -  游客, 合法用户, 非法用户
    # 游客: 代表着校验已经通过,直接进入下一步校验(权限校验)
    # 合法用户: 代表校验通过,将数据保存在request.user中,在进行下一步校验(权限校验)
    # 非法用户: 代表校验失败,抛出异常,返回403权限异常结果
    self.perform_authentication(request)

    # 权限组件: 校验用户权限 - 必须登录,所有用户,登录读写游客只读,自定义用户角色
    # 认证通过: 可以进入下一步校验(频率认证)
    # 认证失败: 抛出异常,返回403权限异常结果
    self.check_permissions(request)

    # 频率组件: 限制试图接口访问的频率次数 - 限制条件(IP, ID, 唯一键), 频率周期时间(s, m, h), 频率的次数
    # 没有达到限次, 正常访问接口
    # 达到限次, 限制时间内不能访问,限制时间到达后,可以重新访问
    self.check_throttles(request)

3. 认证组件
    request类的  方法属性 user 的get方法==>self._authenticate()完成认证

    认证细则:
    # 做认证
    def _authenticate(self):
        # 遍历到一个个认证器, 进行认证
        # self.authenticators配置的一堆认证类产生的认证类对象组成的list
        for authenticator in self.authenticators:
            try:
                # 认证器调用认证方法authenticate(认证类对象self, request请求对象)
                # 返回值: 登录的用户与认证的信息组成的 tuple
                # 该方法被try包裹, 代表该方法会抛异常,抛异常就代表认证失败
                user_auth_tuple = authenticator.authenticate(self)
        except exceptions.APIException:
                self._not_authenticated()
                raise
        # 返回值处理
        if user_auth_tuple is not None:
            self._authenticator = authenticator
            # 如果有返回值, 就将登录用户与登录认证分别保存在request.user, request.auth
            self.user, self.auth = user_auth_tuple
            return
        self._not_authenticated()

4. 权限组件
    self.check_permissions(request)
        认证细则:
    def check_permissions(self, request):
        # 遍历权限对象列表得到一个个权限对象(权限器), 进行权限认证
        for permission in self.get_permissions():
            # 权限类一定有一个has_permission权限方法, 从来做权限认证的
            # 参数: 权限对象self, 请求对象request, 视图类对象
            # 返回值: 有权限返回True, 无权限返回False
            if not permission.has_permission(request, self)
                self.permission_denied(
                request, message = getattr(permission, ‘message‘, None)

二. 自定义创建类

1. 创建继承BaseAuthentication的认证类
2. 实现authenticate方法
3. 实现体根据认证规则 确定游客, 非法用户, 合法用户
4. 进行全局或者局部配置

认证规则:
1. 没有认证信息就返回None(游客)
2. 有认证信息认证失败抛异常(非法用户)
3. 有认证信息认证成功返回用户与认证信息元组(合法用户)

  utils/authentications.py

自定义认证类

    1. 继承BaseAuthentication类
    2. 重新authenticate(self, request)方法, 自定义认证规则
    3. 认证规则基于的条件:
        没有认证信息就返回None(游客)
        有认证信息认证失败抛异常(非法用户)
        有认证信息认证成功返回用户与认证信息的元组(合法用户)
    4. 完全视图类的全局(settings文件中)或是局部(确切的视图类)配置

from  rest_framework.authentication import BaseAuthentication
from  rest_framework.exceptions import AuthenticationFailed
from . import models

class MyAuthentication(BaseAuthentication):
    # 从前台请求头那认证信息auth(获取认证的字段要与前台约定)
    # 没有auth是游客,返回None
    # 有auth进行校验: 失败是非法用户,抛出异常, 成功是合法用户,返回(用户, 认证信息)

def authenticate(self, request):
    # 前台在请求头携带认证信息,默认规范用Authorization字段携带认证信息
    # 后台固定在请求对象的META字段中, HTTP_AUTHORIZATION获取
    auth = request.META.get(‘HTTP_AUTHORIZATION‘, None)
    # 处理游客
    if auth is None:
        return None
    # 设置一下认证字段小规则(两段式): "auth  认证字符串"
    auth_list = auth.split()
    # 检验合法用户还是非法用户
     if not (len(auth_list) == 2 and auth_list[0].lower() == ‘auth‘):
            raise AuthenticationFailed("认证信息有误, 非法用户")
    # 合法用户还需要从auth_list[1]中解析出来
    # 假设一种情况,信息为abc.123.xyz, 就可以解析出admin用户
    if auth_list[1] != ‘abc.123.xyz‘  # 校验失败
        raise AuthenticationFailed("用户校验失败,非法用户")
    user = models.User.objects.filter(username=‘admin‘).first()
    if not user:
        raise AuthenticationFailed("用户数据有误, 非法用户")
    return (user, None)

三. 系统权限类

1. AllowAny: 认证规则全部返还True: return True
        游客与登录用户都有所有权限
2. IsAuthenticated:
        认证规则必须有登录的合法用户: return bool(request.user and
request.user.is_authenticated)
    游客没有任何权限
3. IsAdminUser:
        认证规则必须是后台管理用户: return bool(request.user and request.user.is_staff)
        游客没有任何权限,登录用户才有权限
4. IsAuthenticatedOrReadOnly
        认证规则必须是只读请求或者是合法用户:
        return bool(
                 request.method in SAFE_METHODS or
                 request.user and
                 request.user.is_authenticated
)
           游客只读,合法用户无限制

# api/views.pyfrom rest_framework.permissions import IsAuthenticated

class TesttAuthenticatedAPIView(APIView):  permission_classes = [IsAauthenticated]  def get(self, request, *args, **kwargs )    return APIResponse(0, ‘test  登录才能访问接口‘)

# 默认全局配置的权限类是AllowAny# settings.pyREST_FRAMEWORK = {     # 权限类配置   ‘DEFAULT_PERMISSION_CLASSES‘:[      ‘rest_framework.permissions.AllowAny‘,],}

  

自定义权限类

1. 创建继承BasePermission的权限类
2. 实现has_permission方法
3. 实现体根据权限规则,确定有无权限
4. 进项全体或者局部配置

认证规则:
 1. 满足设置的用户条件, 代表有权限, 返回True
2. 不满足设置的用户条件, 代表有权限, 返回False
# utils/permissions.py

from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group

class MyPermission(BasePermission):
    def has_permission(self, request, view)
        # 只读接口判断
        r1 = request.method in (‘GET‘, ‘HEAD‘, ‘OPTIONS‘)
        # group为有权限的分组
        group = Group.objects.filter(name=‘管理员‘).first()
        # groups为当前用户所属的所有分组
        groups = request.user.groups.all()
        r2 = group and groups
        r3 = group in groups
        # 读接口大家都有权限,写接口必须为指定分组下的登录用户
        return r1 or (r2 and r3)

# 游客只读, 登录用户只读, 只有登录用户属于管理员分组,才可以增删改查
from utils.permissions import MyPermission
class TestAdminOrReadOnlyAPIView(APIView):
    permission_classes = [MyPermission]
    # 所有用户都能访问
    def get(self, request, *args, **kwargs):
        return APIResponse(0, ‘自定义读‘)
    # 必须是自定义"管理员分组"下的用户
     def post(self, request, *args, **kwargs):

        return APIResponse(0, ‘自己写‘)

原文地址:https://www.cnblogs.com/panshao51km-cn/p/11723311.html

时间: 2024-10-06 05:19:39

三大认证之认证组件和权限组件的相关文章

DjangoRestFramework学习三之认证组件、权限组件、频率组件、url注册器、响应器、分页组件

本节目录 一 认证组件 二 权限组件 三 频率组件 四 URL注册器 五 响应器 六 分页组件 七 xxx 八 xxx 一 认证组件 1. 局部认证组件 我们知道,我们不管路由怎么写的,对应的视图类怎么写的,都会走到dispatch方法,进行分发, 在咱们看的APIView类中的dispatch方法的源码中,有个self.initial(request, *args, **kwargs),那么认证.权限.频率这三个默认组件都在这个方法里面了,如果我们自己没有做这三个组件的配置,那么会使用源码中默

认证组件、权限组件、频率组件

认证组件.权限组件.频率组件 一.Django权限六张表 1.1.content_type表 """ Course: name.type.days.price.vip_type 基础 免费课 7 0 中级 学位课 180 69 究极 会员课 360 至尊会员 Course: name.type.days.content_type_id 基础 免费课 7 null 中级 学位课 180 1 究极 会员课 360 2 app01_course_1 id.price app01_c

django的RBAC认证z;自定义auth_user表;认证组件权限组件源码分析;认证组件;权限组件

一 RBAC 1.RBAC:全称(Role-Based Access Control):指的是基于用户权限访问控制的认证. 2.Django框架采用的是RBAC认证规则,RBAC认证规则通常会分为:三表规则,五表规则:Django采用的是六表规则. # 三表:用户表.角色表.权限表# 五表:用户表.角色表.权限表.用户角色关系表.角色权限关系表# 六表:用户表.角色表.权限表.用户角色关系表.角色权限关系表.用户权限关系表 3.在Django中六表之间是都是多对多的关系,可通过下面字段跨表访问

drf认证组件、权限组件、jwt认证、签发、jwt框架使用

目录 一.注册接口 urls.py views.py serializers.py 二.登录接口 三.用户中心接口(权限校验) urls.py views.py serializers.py 四.图书资源接口 urls.py views.py serializers.py 五.认证组件 重点 自定义认证类 六.权限组件 重点 自定义权限类 七.jwt认证示意图 八. jwt认证算法:签发与校验 签发:根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token 校验:根据客户端带toke

RESTful-rest_framework认证组件、权限组件、频率组件-第五篇

认证组件格式: 1 写一个认证类 from rest_framework.authentication import BaseAuthentication class MyAuth(BaseAuthentication): def authenticate(self,request): # request 是封装后的 token = request.query_params.get('token') ret = models.UserToken.objects.filter(token=toke

DAY99 - Rest Framework(四)- 认证组件和权限组件

一.认证组件 1.使用 # 模型层 class User(models.Model): name = models.CharField(max_length=32) pwd = models.CharField(max_length=32) class UserToken(models.Model): user = models.OneToOneField(to='User') token = models.CharField(max_length=64) #myAuth.py from app

Django Rest Framework 认证组件(权限组件)

from rest_framework.viewsets import ModelViewSet from .authentication_classes import UserAuth from .permission_classes import UserPerm class BookView(ModelViewSet): # 在需要认证的数据接口里面指定认证类 authentication_classes = [UserAuth] # 在需要认证的数据接口里面指定权限类 permissio

drf框架 8 系统权限类使用 用户中心信息自查 token刷新机制 认证组件项目使用:多方式登录 权限组件项目使用:vip用户权限 频率组件 异常组件项目使用

系统权限类使用 图书接口:游客只读,用户可增删改查权限使用 from rest_framework.permissions import IsAuthenticatedOrReadOnly class BookViewSet(ModelViewSet): # 游客只读,用户可增删改查 permission_classes = [IsAuthenticatedOrReadOnly] queryset = models.Book.objects.all() serializer_class = se

DjangoRestFramework之认证组件,权限组件,频率组件

一 . 认证组件 我们现在知道的认证机制有cookie, session,session比较安全,session的信息是存在服务器上的,如果用户量足够大的话,服务器的压力也就比较大,并且django的session存到了django_session表中,不是很好操作,现在生产中使用的一个叫做token机制的方式比较多.可以使用这个机制把token存到用户信息里,当用户登录成功的时候放里面,等他来的时候就要带着这个来,而且们每次来的时候都更新token,防止被拦截. 我们这里使用一下token,首