频率类-认证规则图-JWT认证
发布时间:2020-12-20 10:13:47 所属栏目:Python 来源:网络整理
导读:目录 复习 频率类源码 自定义频率类 认证规则图 认证规则演变图 JWT认证 drf-jwt插件 复习 """1、认证组件:校验认证字符串,得到request.user 没有认证字符串,直接放回None,游客 有认证字符串,但认证失败抛异常,非法用户 有认证字符串,且认证通过返回
目录
复习""" 1、认证组件:校验认证字符串,得到request.user 没有认证字符串,直接放回None,游客 有认证字符串,但认证失败抛异常,非法用户 有认证字符串,且认证通过返回 用户,认证信息 元组,合法用户 用户存放到request.user | 认证信息存放到request.auth 自定义认证类 class MyAuthentication(BaseAuthentication): def authenticate(self,request): # 1)从request中拿auth字符串:return None | 继续 # 2)校验auth:抛异常 | (user,auth) 全局或局部配置 REST_FRAMEWORK = { # 认证类配置 'DEFAULT_AUTHENTICATION_CLASSES': [ '自定义的认证类MyAuthentication',],} class MyAPIView(APIView): authentication_calsses = [] pass 2、权限组件:校验request.user是否拥有权限 有权限,返回True 无权限,返回False 自定义权限类: class MyPermission(BasePermission): def has_permission(self,request,view): # 1)request.user或其他信息(请求方式)等判断:True | False 全局或局部配置 REST_FRAMEWORK = { # 权限类配置 'DEFAULT_PERMISSION_CLASSES': [ '自定义的权限类MyPermission',} class MyAPIView(APIView): permission_classes = [] pass """ 频率类源码入口# 1)APIView的dispath方法中的 self.initial(request,*args,**kwargs) 点进去 # 2)self.check_throttles(request) 进行频率认证 # 频率组件核心源码分析 def check_throttles(self,request): throttle_durations = [] # 1)遍历配置的频率认证类,初始化得到一个个频率认证类对象(会调用频率认证类的 __init__() 方法) # 2)频率认证类对象调用 allow_request 方法,判断是否限次(没有限次可访问,限次不可访问) # 3)频率认证类对象在限次后,调用 wait 方法,获取还需等待多长时间可以进行下一次访问 # 注:频率认证类都是继承 SimpleRateThrottle 类 for throttle in self.get_throttles(): if not throttle.allow_request(request,self): # 只要频率限制了,allow_request 返回False了,才会调用wait throttle_durations.append(throttle.wait()) if throttle_durations: # Filter out `None` values which may happen in case of config / rate # changes,see #1438 durations = [ duration for duration in throttle_durations if duration is not None ] duration = max(durations,default=None) self.throttled(request,duration) 自定义频率类# 1) 自定义一个继承 SimpleRateThrottle 类 的频率类 # 2) 设置一个 scope 类属性,属性值为任意见名知意的字符串 # 3) 在settings配置文件中,配置drf的DEFAULT_THROTTLE_RATES,格式为 {scope字符串: '次数/时间'} # 4) 在自定义频率类中重写 get_cache_key 方法 # 限制的对象返回 与限制信息有关的字符串 # 不限制的对象返回 None (只能放回None,不能是False或是''等) 短信接口 1/min 频率限制频率:api/throttles.pyfrom rest_framework.throttling import SimpleRateThrottle class SMSRateThrottle(SimpleRateThrottle): scope = 'sms' # 只对提交手机号的get方法进行限制 def get_cache_key(self,view): mobile = request.query_params.get('mobile') # 没有手机号,就不做频率限制 if not mobile: return None # 返回可以根据手机号动态变化,且不易重复的字符串,作为操作缓存的key return 'throttle_%(scope)s_%(ident)s' % {'scope': self.scope,'ident': mobile} 配置:settings.py# drf配置 REST_FRAMEWORK = { # 频率限制条件配置 'DEFAULT_THROTTLE_RATES': { 'sms': '1/min' },} 视图:views.pyfrom .throttles import SMSRateThrottle class TestSMSAPIView(APIView): # 局部配置频率认证 throttle_classes = [SMSRateThrottle] def get(self,**kwargs): return APIResponse(0,'get 获取验证码 OK') def post(self,'post 获取验证码 OK') 路由:api/url.pyurl(r'^sms/$',views.TestSMSAPIView.as_view()), 限制的接口# 只会对 /api/sms/?mobile=具体手机号 接口才会有频率限制 # 1)对 /api/sms/ 或其他接口发送无限制 # 2)对数据包提交mobile的/api/sms/接口无限制 # 3)对不是mobile(如phone)字段提交的电话接口无限制 认证规则图django不分离drf分类认证规则演变图数据库session认证:低效缓存认证:高效jwt认证:高效缓存认证:不易并发jwt认证:易并发JWT认证优点""" 1) 服务器不要存储token,token交给每一个客户端自己存储,服务器压力小 2)服务器存储的是 签发和校验token 两段算法,签发认证的效率高 3)算法完成各集群服务器同步成本低,路由项目完成集群部署(适应高并发) """ 格式""" 1) jwt token采用三段式:头部.载荷.签名 2)每一部分都是一个json字典加密形参的字符串 3)头部和载荷采用的是base64可逆加密(前台后台都可以解密) 4)签名采用hash256不可逆加密(后台校验采用碰撞校验) 5)各部分字典的内容: 头部:基础信息 - 公司信息、项目组信息、可逆加密采用的算法 载荷:有用但非私密的信息 - 用户可公开信息、过期时间 签名:头部+载荷+秘钥 不可逆加密后的结果 注:服务器jwt签名加密秘钥一定不能泄露 签发token:固定的头部信息加密.当前的登陆用户与过期时间加密.头部+载荷+秘钥生成不可逆加密 校验token:头部可校验也可以不校验,载荷校验出用户与过期时间,头部+载荷+秘钥完成碰撞检测校验token是否被篡改 """ drf-jwt插件官网https://github.com/jpadilla/django-rest-framework-jwt 安装>: pip3 install djangorestframework-jwt 登录 - 签发token:api/urls.py# ObtainJSONWebToken视图类就是通过username和password得到user对象然后签发token from rest_framework_jwt.views import ObtainJSONWebToken,obtain_jwt_token urlpatterns = [ # url(r'^jogin/$',ObtainJSONWebToken.as_view()),url(r'^jogin/$',obtain_jwt_token),] 认证 - 校验token:全局或局部配置drf-jwt的认证类 JSONWebTokenAuthenticationfrom rest_framework.views import APIView from utils.response import APIResponse # 必须登录后才能访问 - 通过了认证权限组件 from rest_framework.permissions import IsAuthenticated from rest_framework_jwt.authentication import JSONWebTokenAuthentication class UserDetail(APIView): authentication_classes = [JSONWebTokenAuthentication] # jwt-token校验request.user permission_classes = [IsAuthenticated] # 结合权限组件筛选掉游客 def get(self,**kwargs): return APIResponse(results={'username': request.user.username}) 路由与接口测试# 路由 url(r'^user/detail/$',views.UserDetail.as_view()),# 接口:/api/user/detail/ # 认证信息:必须在请求头的 Authorization 中携带 "jwt 后台签发的token" 格式的认证字符串 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |