认证组件
- 在视图类中配置
authentication_classes = []这是一个列表 - 需要实现
authenticate()方法 - 返回必须是元组或 None。元组
(request.user, request.auth),返回 None 忽略,让下一个认证类来处理
如果最后都没有返回,它会执行_not_authenticated()方法,给request.user赋值为一个AnonymousUser对象
不过认证类一般不加多个,一个即可 - 抛出异常表示失败
在全局配置,也可以设置匿名用户相关
# 需要将认证类放入一个单独的文件中,一般为 authenticate.py
REST_FRAMEWORK = {
"DEFAULT_AUTHENTICATION_CLASSES" : [类的路径],
"UNAUTHENTICATED_USER" : lambda : "匿名用户", # 匿名 request.user = 匿名用户
"UNAUTHENTICATED_TOKEN" : None # 匿名 request.auth = None
}
如果局部有不使用认证类的话,可以直接配置 authentication_classes = []
其实 drf 内置了一些认证类:
from rest_framework.authentication import BaseAuthentication
class MyAuthentication(BaseAuthentication):
def authenticate(self, request):
pass
def authenticate_header(self, request):
pass
# 认证失败时候返回给浏览器的头
drf 实现的认证还有 BasicAuthentication,SessionAuthentication(基于 Django 的 session),TokenAuthentication,RemoteUserAuthentication,感兴趣可以进源码看一看。当然还有第三方包实现了 JWT 这种认证方式。
from rest_framework import exceptions
创建类:继承BaseAuthentication实现authenticate()方法
返回值:
- None 交给下一个认证来继续
-raise exceptions.AuthenticationsFailed('用户认证失败')
- (元素 1,元素 2) # 1 赋值给 request.user; 2 赋值给 request.auth
dispatch --> 封装 request -->获取定义的认证类,通过列表生成式创建对象 -->initial中perform_authcation中转到request.user(内部循环)
权限组件
- 在视图类中配置
permission_classes = []这是一个列表 - 需要实现
has_permission()方法,表示全部对象对资源的权限问题 - 还有一个
has_object_permission()表示某个对象是否对资源有权限 - 返回 True 或 False,True 表示有权限,False 表示 无
- 全局配置
DEFAULT_PERMISSION_CLASSES,认证类中属性 message,表示无权限时返回的内容
其源码在 dispatch 中的 initial 中,有个check_permission方法 - 权限自定义类最好继承
BasePermission
内置的权限
from rest_framework.permissions import BasePermission
AllowAny, IsAuthenticated, IsAdminUser,
IsAuthenticatedOrReadOnly, DjangoModelPermissions,
DjangoModelPermissionsOrAnonReadOnly, DjangoObjectPermissions
访问频率组件
- 在视图类中配置
throttle_classes= []这是一个列表 - 实现
allow_request方法 wait 是一个提示方法 - 返回 True/False。True 可以继续访问,False 表示限制
- 全局配置
DEFAULT_THROTTLE_CLASSE,DEFAULT_THROTTLE_RATES表示频率限制,比如 10/m 表示 每分钟 10 次
注意在客户端请求时会返回429 Too Many Requests
源码在initial中实现check_throttles方法
内置类
from rest_framework.throttling import BaseThrottle
#SimpleRateThrottle, AnonRateThrottle, UserRateThrottle, ScopedRateThrottle
#BaseThrottle 中实现了获取 IP 的方法
def get_ident(self, request):
"""
Identify the machine making the request by parsing HTTP_X_FORWARDED_FOR
if present and number of proxies is > 0. If not use all of
HTTP_X_FORWARDED_FOR if it is available, if not use REMOTE_ADDR.
"""
xff = request.META.get('HTTP_X_FORWARDED_FOR')
remote_addr = request.META.get('REMOTE_ADDR')
num_proxies = api_settings.NUM_PROXIES
if num_proxies is not None:
if num_proxies == 0 or xff is None:
return remote_addr
addrs = xff.split(',')
client_addr = addrs[-min(num_proxies, len(addrs))]
return client_addr.strip()
return ''.join(xff.split()) if xff else remote_addr
获取版本
- 在视图类中配置
versioning_class =注意这是单数形式,只能配置一个类 - 实现
determine_version方法 - 全局配置
DEFAULT_VERSION ALLOWED_VERSIONSVERSION_PARAM
from rest_framework.versioning import BaseVersioning
AcceptHeaderVersioning, URLPathVersioning,
NamespaceVersioning, HostNameVersioning, QueryParameterVersioning
在 initial 中首先执行 determine_version,它里面会生成获取版本的对象以及版本。
获取版本:request.version
获取处理版本的对象:request.versioning_scheme
反向生成 url :url = request.versioning_scheme.reverse(viewname='<url 的别名>', request=request)
解析器
- 全局
DEFAULT_PARSER_CLASSES= ['rest_framework.parsers.JSONParser', 'rest_framework.parsers.FormParser'] - 视图配置
parser_classes = [] - 使用 request.data 或 request.FILE
分页
Drf 默认集成了几个,有:
from rest_framework.pagination import BasePagination,
PageNumberPagination,LimitOffsetPagination,CursorPagination
也可以自己写类继承这些,只需配置某些参数即可:
class GoodsPagination(PageNumberPagination):
"""
分页
"""
page_size = 10
page_size_query_param = 'page_size'
page_query_param = 'page'
max_page_size = 100
另外返回的时候如果需要带上下一页,上一页的 url ,只需在视图中返回 get_paginated_response(serializer.data) 即可。
序列化
序列化不仅可以序列化数据库中的数据,也可以验证提交字段
提交的字段放在 request.validated_data中,这是一个字典,Django form是 request.cleaned_data。
自定义验证规则,钩子函数:
def validate_field() 字段名
django clean_field()
网友评论