• 三大认证之认证组件和权限组件


    一. 源码分析

      

    1. APIView的dispath(self, request, *args, **kwargs)
    2. dispath方法内self.initial(request, *args, **kwargs)
        # 认证组件: 校验用户  -  游客, 合法用户, 非法用户
        # 游客: 代表着校验已经通过,直接进入下一步校验(权限校验)
        # 合法用户: 代表校验通过,将数据保存在request.user中,在进行下一步校验(权限校验)
        # 非法用户: 代表校验失败,抛出异常,返回403权限异常结果
        self.perform_authentication(request)
    
        # 权限组件: 校验用户权限 - 必须登录,所有用户,登录读写游客只读,自定义用户角色
        # 认证通过: 可以进入下一步校验(频率认证)
        # 认证失败: 抛出异常,返回403权限异常结果
        self.check_permissions(request)
    
        # 频率组件: 限制试图接口访问的频率次数 - 限制条件(IP, ID, 唯一键), 频率周期时间(s, m, h), 频率的次数
        # 没有达到限次, 正常访问接口
        # 达到限次, 限制时间内不能访问,限制时间到达后,可以重新访问
        self.check_throttles(request)
    
    
    
    
    3. 认证组件
        request类的  方法属性 user 的get方法==>self._authenticate()完成认证
    
    
        认证细则:
        # 做认证
        def _authenticate(self):
            # 遍历到一个个认证器, 进行认证
            # self.authenticators配置的一堆认证类产生的认证类对象组成的list
            for authenticator in self.authenticators:
                try:
                    # 认证器调用认证方法authenticate(认证类对象self, request请求对象)
                    # 返回值: 登录的用户与认证的信息组成的 tuple
                    # 该方法被try包裹, 代表该方法会抛异常,抛异常就代表认证失败
                    user_auth_tuple = authenticator.authenticate(self)
            except exceptions.APIException:
                    self._not_authenticated()
                    raise
            # 返回值处理
            if user_auth_tuple is not None:
                self._authenticator = authenticator
                # 如果有返回值, 就将登录用户与登录认证分别保存在request.user, request.auth
                self.user, self.auth = user_auth_tuple
                return
            self._not_authenticated()
    
    
    
    4. 权限组件
        self.check_permissions(request)
            认证细则:
        def check_permissions(self, request):
            # 遍历权限对象列表得到一个个权限对象(权限器), 进行权限认证
            for permission in self.get_permissions():
                # 权限类一定有一个has_permission权限方法, 从来做权限认证的
                # 参数: 权限对象self, 请求对象request, 视图类对象
                # 返回值: 有权限返回True, 无权限返回False
                if not permission.has_permission(request, self)
                    self.permission_denied(
                    request, message = getattr(permission, 'message', None)

    二. 自定义创建类

    1. 创建继承BaseAuthentication的认证类
    2. 实现authenticate方法
    3. 实现体根据认证规则 确定游客, 非法用户, 合法用户
    4. 进行全局或者局部配置
    
    
    认证规则: 
    1. 没有认证信息就返回None(游客)
    2. 有认证信息认证失败抛异常(非法用户)
    3. 有认证信息认证成功返回用户与认证信息元组(合法用户)

      utils/authentications.py

    自定义认证类
    
        
        1. 继承BaseAuthentication类
        2. 重新authenticate(self, request)方法, 自定义认证规则
        3. 认证规则基于的条件:
            没有认证信息就返回None(游客)
            有认证信息认证失败抛异常(非法用户)
            有认证信息认证成功返回用户与认证信息的元组(合法用户)
        4. 完全视图类的全局(settings文件中)或是局部(确切的视图类)配置
    
    from  rest_framework.authentication import BaseAuthentication
    from  rest_framework.exceptions import AuthenticationFailed
    from . import models
    
    class MyAuthentication(BaseAuthentication):
        # 从前台请求头那认证信息auth(获取认证的字段要与前台约定)
        # 没有auth是游客,返回None
        # 有auth进行校验: 失败是非法用户,抛出异常, 成功是合法用户,返回(用户, 认证信息)
    
    
    def authenticate(self, request):
        # 前台在请求头携带认证信息,默认规范用Authorization字段携带认证信息
        # 后台固定在请求对象的META字段中, HTTP_AUTHORIZATION获取
        auth = request.META.get('HTTP_AUTHORIZATION', None)
        # 处理游客
        if auth is None:
            return None
        # 设置一下认证字段小规则(两段式): "auth  认证字符串"
        auth_list = auth.split()
        # 检验合法用户还是非法用户
         if not (len(auth_list) == 2 and auth_list[0].lower() == 'auth'):
                raise AuthenticationFailed("认证信息有误, 非法用户")
        # 合法用户还需要从auth_list[1]中解析出来
        # 假设一种情况,信息为abc.123.xyz, 就可以解析出admin用户
        if auth_list[1] != 'abc.123.xyz'  # 校验失败
            raise AuthenticationFailed("用户校验失败,非法用户")
        user = models.User.objects.filter(username='admin').first()
        if not user:
            raise AuthenticationFailed("用户数据有误, 非法用户")
        return (user, None)

    三. 系统权限类

    1. AllowAny: 认证规则全部返还True: return True
            游客与登录用户都有所有权限
    2. IsAuthenticated:
            认证规则必须有登录的合法用户: return bool(request.user and
    request.user.is_authenticated)
        游客没有任何权限
    3. IsAdminUser:
            认证规则必须是后台管理用户: return bool(request.user and request.user.is_staff)
            游客没有任何权限,登录用户才有权限
    4. IsAuthenticatedOrReadOnly
            认证规则必须是只读请求或者是合法用户:
            return bool(
                     request.method in SAFE_METHODS or
                     request.user and 
                     request.user.is_authenticated
    )    
               游客只读,合法用户无限制

    # api/views.py
    from rest_framework.permissions import IsAuthenticated

    class TesttAuthenticatedAPIView(APIView):
      permission_classes = [IsAauthenticated]
      def get(self, request, *args, **kwargs )
        return APIResponse(0, 'test 登录才能访问接口')


    # 默认全局配置的权限类是AllowAny
    # settings.py
    REST_FRAMEWORK = {
    # 权限类配置
       'DEFAULT_PERMISSION_CLASSES':[
          'rest_framework.permissions.AllowAny',
    ],
    }

      

    自定义权限类
    
    1. 创建继承BasePermission的权限类
    2. 实现has_permission方法
    3. 实现体根据权限规则,确定有无权限
    4. 进项全体或者局部配置
    
    
    认证规则:
     1. 满足设置的用户条件, 代表有权限, 返回True
    2. 不满足设置的用户条件, 代表有权限, 返回False
    # utils/permissions.py
    
    from rest_framework.permissions import BasePermission
    from django.contrib.auth.models import Group
    
    class MyPermission(BasePermission):
        def has_permission(self, request, view)
            # 只读接口判断
            r1 = request.method in ('GET', 'HEAD', 'OPTIONS')
            # group为有权限的分组
            group = Group.objects.filter(name='管理员').first()
            # groups为当前用户所属的所有分组
            groups = request.user.groups.all()
            r2 = group and groups
            r3 = group in groups
            # 读接口大家都有权限,写接口必须为指定分组下的登录用户
            return r1 or (r2 and r3)
    
    
    # 游客只读, 登录用户只读, 只有登录用户属于管理员分组,才可以增删改查
    from utils.permissions import MyPermission
    class TestAdminOrReadOnlyAPIView(APIView):
        permission_classes = [MyPermission]
        # 所有用户都能访问
        def get(self, request, *args, **kwargs):
            return APIResponse(0, '自定义读')
        # 必须是自定义"管理员分组"下的用户
         def post(self, request, *args, **kwargs):
        
            return APIResponse(0, '自己写')
    生前无需久睡,死后自会长眠,努力解决生活中遇到的各种问题,不畏将来,勇敢面对,加油,你是最胖的,哈哈哈
  • 相关阅读:
    Qt程序使用Win32 API发送ZPL指令与斑马打印机通信
    Eclipse构建Maven项目
    编码风格 缩进和空白
    Linux下Tomcat重新启动
    linux下tomcat服务的相关命令
    第一天
    Day1NLP_机器翻译
    Day4_attention is all you need 论文阅读下篇
    Day_7tensorflow 实战
    Day5_python学习
  • 原文地址:https://www.cnblogs.com/panshao51km-cn/p/11723311.html
Copyright © 2020-2023  润新知