频率类组件-认证规图分析-JWT认证-drf-jwt插件

频率类源码

# 1）APIView的dispath方法中的 self.initial(request, *args, **kwargs) 点进去
# 2）self.check_throttles(request) 进行频率认证

频率组件原理分析

频率组件的核心源码分析

def check_throttles(self, request):
    throttle_durations = []
    # 1）遍历配置的频率认证类，初始化得到一个个频率认证类对象（会调用频率认证类的 __init__() 方法）
    # 2）频率认证类对象调用 allow_request 方法，判断是否限次（没有限次可访问，限次不可访问）
    # 3）频率认证类对象在限次后，调用 wait 方法，获取还需等待多长时间可以进行下一次访问
    # 注：频率认证类都是继承 SimpleRateThrottle 类

　　　for throttle in self.get_throttles():
        if not throttle.allow_request(request, self):
            # 只要频率限制了，allow_request 返回False了，才会调用wait
            throttle_durations.append(throttle.wait())

            if throttle_durations:
                # Filter out `None` values which may happen in case of config / rate
                # changes, see #1438
                durations = [
                    duration for duration in throttle_durations
                    if duration is not None
                ]

                duration = max(durations, default=None)
                self.throttled(request, duration)

该方法下实现频率校验的重要两个方法

推导得出django_rest_ferwork系统默认频率配置为空

　　可以理解为接口登录和访问，默认没有限制的频率次数的约束条件。

查看get_throttles 获取校验器的方法

for throttle in self.get_throttles():

class BaseThrottle 类的方法

查看SimpleRateThrottle 内部的方法

class SimpleRateThrottle(BaseThrottle):

想要实现自定义的频率校验器书写的规则，就必须弄懂以下几种内部的实现原理

详细分析

获取缓存的几种方法

重要是的书写get_cache_key方法

最后分析得出settings.py 的频率配置

自定义频率类

# 1) 自定义一个继承 SimpleRateThrottle 类 的频率类

# 2) 设置一个 scope 类属性，属性值为任意见名知意的字符串

# 3) 在settings配置文件中，配置drf的DEFAULT_THROTTLE_RATES，格式为 {scope字符串: ‘次数/时间‘}

# 4) 在自定义频率类中重写 get_cache_key 方法　　# 限制的对象返回 与限制信息有关的字符串
    # 不限制的对象返回 None (只能放回None，不能是False或是‘‘等)

例子：短信接口的访问 1/min 频率限制

频率：api/throttles.py

from rest_framework.throttling import SimpleRateThrottle

class SMSRateThrottle(SimpleRateThrottle):  # 局部配置
    scope = ‘sms‘  # 有效范围 

    # 只对提交手机号的get方法进行限制
    def get_cache_key(self, request, view):
        mobile = request.query_params.get(‘mobile‘)
        # 没有手机号，就不做频率限制
        if not mobile:
            return None
        # 返回可以根据手机号动态变化，且不易重复的字符串，作为操作缓存的key
        return ‘throttle_%(scope)s_%(ident)s‘ % {‘scope‘: self.scope, ‘ident‘: mobile}

配置：settings.py

# drf配置
REST_FRAMEWORK = {
    # 频率限制条件配置
    ‘DEFAULT_THROTTLE_RATES‘: {
        ‘sms‘: ‘1/min‘
    },

视图:views.py

from .throttles import SMSRateThrottle
class TestSMSAPIView(APIView):
    # 局部配置频率认证
    throttle_classes = [SMSRateThrottle]
    def get(self, request, *args, **kwargs):
        return APIResponse(0, ‘get 获取验证码 OK‘)
    def post(self, request, *args, **kwargs):
        return APIResponse(0, ‘post 获取验证码  OK‘)

路由：api/url.py

url(r‘^sms/$‘, views.TestSMSAPIView.as_view()),

限制的接口

# 只会对 /api/sms/?mobile=具体手机号 接口才会有频率限制
# 1）对 /api/sms/ 或其他接口发送无限制
# 2）对数据包提交mobile的/api/sms/接口无限制
# 3）对不是mobile（如phone）字段提交的电话接口无限制

认证规则图

　　django客户端与服务端之间的数据传输，前后分离和不分离情况下的数据进行的校验，演变推到出JWT认证。

django前后端不分离

drf分离

认证规则演变图

数据库session认证：低效，速度慢

缓存认证：高效

jwt认证：高效

缓存认证：不易并发

jwt认证：易并发

JWT认证

什么是JWT？

　　json web token

　　是为了在网络应用环境中传递声明而执行的一种基于json的开放标准。

特别适合分布式站点的单点登录场景。jwt的声明一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息，

以便于从服务器获取资源，也可以增加一些额外的其他业务逻辑所用到的生命信息。

jwt构成

　　第一部分称之为头部(header)，第二部分称之为载荷（playload），第三部分是签证(singature)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NDY3Nzg5ODQsInVzZXJuYW1lIjoiamVzc2UifQ.IFLQaDTRkY4t2lP38-8DyJ0i6GYeFVI7DTNPBqBhD0g

JWT优点

"""
1) 服务器不要存储token，token交给每一个客户端自己存储，服务器压力小
2）服务器存储的是 签发和校验token 两段算法，签发认证的效率高
3）算法完成各集群服务器同步成本低，路由项目完成集群部署（适应高并发）
"""

格式

"""
1) jwt token采用三段式：头部.载荷.签名
2）每一部分都是一个json字典加密形参的字符串
3）头部和载荷采用的是base64可逆加密（前台后台都可以解密）
4）签名采用hash256不可逆加密（后台校验采用碰撞校验）
5）各部分字典的内容：
    头部：基础信息 - 公司信息、项目组信息、可逆加密采用的算法
    载荷：有用但非私密的信息 - 用户可公开信息、过期时间
    签名：头部+载荷+秘钥 不可逆加密后的结果
    注：服务器jwt签名加密秘钥一定不能泄露

签发token：固定的头部信息加密.当前的登陆用户与过期时间加密.头部+载荷+秘钥生成不可逆加密
校验token：头部可校验也可以不校验，载荷校验出用户与过期时间，头部+载荷+秘钥完成碰撞检测校验token是否被篡改
"""

drf-jwt插件

官网

https://github.com/jpadilla/django-rest-framework-jwt

安装

>: pip3 install djangorestframework-jwt

如何使用jwt插件

登录-签发token:api/urls.py

# ObtainJSONWebToken视图类就是通过username和password得到user对象然后签发token
from rest_framework_jwt.views import ObtainJSONWebToken, obtain_jwt_token
urlpatterns = [
    # url(r‘^jogin/$‘, ObtainJSONWebToken.as_view()),
    url(r‘^jogin/$‘, obtain_jwt_token),
]

认证-校验token：全局或局部配置drf-jwt的认证类JSONWebTokenAuthentication

from rest_framework.views import APIView
from utils.response import APIResponse
# 必须登录后才能访问 - 通过了认证权限组件
from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
class UserDetail(APIView):
    authentication_classes = [JSONWebTokenAuthentication]  # jwt-token校验request.user
    permission_classes = [IsAuthenticated]  # 结合权限组件筛选掉游客
    def get(self, request, *args, **kwargs):
        return APIResponse(results={‘username‘: request.user.username})

路口与接口测试

# 路由
url(r‘^user/detail/$‘, views.UserDetail.as_view()),

# 接口：/api/user/detail/
# 认证信息：必须在请求头的 Authorization 中携带 "jwt 后台签发的token" 格式的认证字符串

补充知识点token

token的定义：

　　Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，

以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

使用token的目的：

　　Token的目的是为了减轻服务器的压力，减少频繁的查询数据库，使服务器更加健壮。

原文地址：https://www.cnblogs.com/Gaimo/p/11722346.html

时间： 2024-11-05 22:52:00

频率类组件-认证规图分析-JWT认证-drf-jwt插件的相关文章

django的RBAC认证z;自定义auth_user表；认证组件权限组件源码分析；认证组件；权限组件

一 RBAC 1.RBAC:全称(Role-Based Access Control):指的是基于用户权限访问控制的认证. 2.Django框架采用的是RBAC认证规则,RBAC认证规则通常会分为:三表规则,五表规则:Django采用的是六表规则. # 三表:用户表.角色表.权限表# 五表:用户表.角色表.权限表.用户角色关系表.角色权限关系表# 六表:用户表.角色表.权限表.用户角色关系表.角色权限关系表.用户权限关系表 3.在Django中六表之间是都是多对多的关系,可通过下面字段跨表访问

自定义路由组件，Django的admin后台管理，DRF的三大认证，jwt认证

目录一.自定义路由组件 1. 为什么要自定义路由组件 2. 自定义路由组件实例二.Django的admin后台管理三.DRF的三大认证组件概括 1. 认证组件 2. 权限组件 3. 频率组件四.Django中的用户权限管理五.jwt认证 1. jwt认证和普通session认证的区别 2. jwt认证介绍 (1)jwt的原理 (2)jwt三部分的内容 3. jwt的签发算法 (1)第一步:头部算法 (2)第二步:载荷部分的算法 (3)第三步:签名部分的算法 (4)第四步:连接生成tok

签发token、校验token、多方式登录签发token的实现、自定义认证反爬规则的认证类、admin使用自定义User表：新增用户密码密文、群查接口各种筛选组件数据准备、drf搜索过滤组件、drf排序过滤组件、drf基础分页组件

签发token 源码入口 # 前提:给一个局部禁用了所有认证与权限的视图类发送用户信息得到token,其实就是登录接口 # 1)rest_framework_jwt.views.ObtainJSONWebToken 的父类 JSONWebTokenAPIView 的 post 方法 # 接收有username.password的post请求 # 2)post方法将请求得到的数据交给 rest_framework_jwt.serializer.JSONWebTokenSerializer 处

drf认证组件、权限组件、jwt认证、签发、jwt框架使用

目录一.注册接口 urls.py views.py serializers.py 二.登录接口三.用户中心接口(权限校验) urls.py views.py serializers.py 四.图书资源接口 urls.py views.py serializers.py 五.认证组件重点自定义认证类六.权限组件重点自定义权限类七.jwt认证示意图八. jwt认证算法:签发与校验签发:根据登录请求提交来的账号 + 密码 + 设备信息签发 token 校验:根据客户端带toke

cocos2d-x 源码分析： control 源码分析（控制类组件 controlButton）

源码版本来自3.1rc 转载请注明 cocos2d-x源码分析总目录 http://blog.csdn.net/u011225840/article/details/31743129 1.继承结构 control的设计整体感觉挺美的,在父类control定义了整个控制事件的基础以及管理,虽然其继承了Layer,但其本身和UI组件的实现并没有关联.在子类(controlButton,controlSwitch,controlStepper等中实现不同的UI组件).下面通过源码来分析control与

JWT 认证签发与校验token 多方式登陆自定义认证规则反爬 admin密文显示

一 .认证方法比较 1.认证规则图 django 前后端不分离 csrf认证 drf 前后端分离禁用csrf 2. 认证规则演变图数据库session认证:低效缓存认证:高效 jwt认证:高效 3. 认证比较 """ 1)session存储token,需要数据库参与,耗服务器资源.低效 2)缓存存token,需要缓存参与,高效,不易集群 3)客户端存token,服务器存签发与交易token的算法,高效,易集群 """ 缓存认证: 不易并发

keystone 认证深度研究分析

一.Keystone Token深度概述 Keystone作为OpenStack项目基础认证模块,目前支持的token类型分别是uuid.pkiz.pki.fernet. 首先,简要叙述一下这四种类型的原理及其优缺点. uuid 比较简单,采用随机生成的序列(128位,以16进制表示)作为id,并构造token内容,需要持久化后端数据库支撑,比如MySQL数据库存储.优点,实现简单:缺点是持久化查询.每次访问都需要keystone相关服务进行认证. pki(pkiz) 基于cms算法,token

drf框架中jwt认证,以及自定义jwt认证

0909自我总结 drf框架中jwt 一.模块的安装官方:http://getblimp.github.io/django-rest-framework-jwt/ 他是个第三方的开源项目安装:pip install djangorestframework-jwt 使用自带设定好的jwt from django.urls import path from rest_framework_jwt.views import obtain_jwt_token urlpatterns = [ path(

Jetty 9 Connector及Server类的一些源码分析 #1

本文的源码基于Jetty9,主要分析了Jetty 的Connector与Server类间在Jetty启动过程中的一些细节.Jetty9 对以前的Connector体系进行了重构, 结构与6和7都不同,原有的一些BIO类已经被抛弃. 先看Server 构造函数 public Server(@Name("port")int port) { this((ThreadPool)null); ServerConnector connector=new ServerConnector(this);