频率类-认证规则图-JWT认证

概述目录 复习 频率类源码 自定义频率类 认证规则图 认证规则演变图 JWT认证 drf-jwt插件 复习 """1、认证组件：校验认证字符串，得到request.user 没有认证字符串，直接放回None，游客 有认证字符串，但认证失败抛异常，非法用户 有认证字符串，且认证通过返回 用户,认证信息 元组，合法用户 用户存放到request.user | 认证

目录

复习 频率类源码 自定义频率类 认证规则图 认证规则演变图 JWT认证 drf-jwt插件 复习

"""1、认证组件：校验认证字符串，得到request.user    没有认证字符串，直接放回None，游客    有认证字符串，但认证失败抛异常，非法用户    有认证字符串，且认证通过返回 用户,认证信息 元组，合法用户        用户存放到request.user | 认证信息存放到request.auth            自定义认证类    class MyAuthentication(BaseAuthentication):        def authenticate(self,request):            # 1）从request中拿auth字符串：return None | 继续            # 2）校验auth：抛异常 | (user,auth)                全局或局部配置    REST_FRAMEWORK = {        # 认证类配置        'DEFAulT_AUTHENTICATION_CLASSES': [            '自定义的认证类MyAuthentication',],}    class MyAPIVIEw(APIVIEw):        authentication_calsses = []        pass        2、权限组件：校验request.user是否拥有权限    有权限，返回True    无权限，返回False        自定义权限类：    class MyPermission(BasePermission):        def has_permission(self,request,vIEw):            # 1）request.user或其他信息(请求方式)等判断：True | False                全局或局部配置    REST_FRAMEWORK = {        # 权限类配置        'DEFAulT_PERMISSION_CLASSES': [            '自定义的权限类MyPermission',}    class MyAPIVIEw(APIVIEw):        permission_classes = []        pass"""

频率类源码 入口

# 1）APIVIEw的dispath方法中的 self.initial(request,*args,**kwargs) 点进去# 2）self.check_throttles(request) 进行频率认证# 频率组件核心源码分析def check_throttles(self,request):    throttle_durations = []    # 1）遍历配置的频率认证类，初始化得到一个个频率认证类对象（会调用频率认证类的 __init__() 方法）    # 2）频率认证类对象调用 allow_request 方法，判断是否限次（没有限次可访问，限次不可访问）    # 3）频率认证类对象在限次后，调用 wait 方法，获取还需等待多长时间可以进行下一次访问    # 注：频率认证类都是继承 SimpleRateThrottle 类    for throttle in self.get_throttles():        if not throttle.allow_request(request,self):            # 只要频率限制了，allow_request 返回False了，才会调用wait            throttle_durations.append(throttle.wait())            if throttle_durations:                # Filter out `None` values which may happen in case of config / rate                # changes,see #1438                durations = [                    duration for duration in throttle_durations                    if duration is not None                ]                duration = max(durations,default=None)                self.throttled(request,duration)

自定义频率类

# 1) 自定义一个继承 SimpleRateThrottle 类 的频率类# 2) 设置一个 scope 类属性，属性值为任意见名知意的字符串# 3) 在settings配置文件中，配置drf的DEFAulT_THRottLE_RATES，格式为 {scope字符串: '次数/时间'}# 4) 在自定义频率类中重写 get_cache_key 方法    # 限制的对象返回 与限制信息有关的字符串    # 不限制的对象返回 None (只能放回None，不能是False或是''等)

短信接口 1/min 频率限制 频率：API/throttles.py

from rest_framework.throttling import SimpleRateThrottleclass SMSRateThrottle(SimpleRateThrottle):    scope = 'sms'    # 只对提交手机号的get方法进行限制    def get_cache_key(self,vIEw):        mobile = request.query_params.get('mobile')        # 没有手机号，就不做频率限制        if not mobile:            return None        # 返回可以根据手机号动态变化，且不易重复的字符串，作为 *** 作缓存的key        return 'throttle_%(scope)s_%(IDent)s' % {'scope': self.scope,'IDent': mobile}

配置：settings.py

# drf配置REST_FRAMEWORK = {    # 频率限制条件配置    'DEFAulT_THRottLE_RATES': {        'sms': '1/min'    },}

视图：vIEws.py

from .throttles import SMSRateThrottleclass TestSMSAPIVIEw(APIVIEw):    # 局部配置频率认证    throttle_classes = [SMSRateThrottle]    def get(self,**kwargs):        return APIResponse(0,'get 获取验证码 OK')    def post(self,'post 获取验证码  OK')

路由：API/url.py

url(r'^sms/$',vIEws.TestSMSAPIVIEw.as_vIEw()),

限制的接口

# 只会对 /API/sms/?mobile=具体手机号 接口才会有频率限制# 1）对 /API/sms/ 或其他接口发送无限制# 2）对数据包提交mobile的/API/sms/接口无限制# 3）对不是mobile（如phone）字段提交的电话接口无限制

认证规则图 django不分离

drf分类

认证规则演变图 数据库session认证：低效

缓存认证：高效

jwt认证：高效

缓存认证：不易并发

jwt认证：易并发

JWT认证 优点

"""1) 服务器不要存储token，token交给每一个客户端自己存储，服务器压力小2）服务器存储的是 签发和校验token 两段算法，签发认证的效率高3）算法完成各集群服务器同步成本低，路由项目完成集群部署（适应高并发）"""

格式

"""1) jwt token采用三段式：头部.载荷.签名2）每一部分都是一个Json字典加密形参的字符串3）头部和载荷采用的是base64可逆加密（前台后台都可以解密）4）签名采用hash256不可逆加密（后台校验采用碰撞校验）5）各部分字典的内容：    头部：基础信息 - 公司信息、项目组信息、可逆加密采用的算法    载荷：有用但非私密的信息 - 用户可公开信息、过期时间    签名：头部+载荷+秘钥 不可逆加密后的结果    注：服务器jwt签名加密秘钥一定不能泄露    签发token：固定的头部信息加密.当前的登陆用户与过期时间加密.头部+载荷+秘钥生成不可逆加密校验token：头部可校验也可以不校验，载荷校验出用户与过期时间，头部+载荷+秘钥完成碰撞检测校验token是否被篡改"""

drf-jwt插件 官网

https://github.com/jpadilla/django-rest-framework-jwt

安装

>: pip3 install djangorestframework-jwt

登录 - 签发token：API/urls.py

# ObtainjsONWebToken视图类就是通过username和password得到user对象然后签发tokenfrom rest_framework_jwt.vIEws import ObtainjsONWebToken,obtain_jwt_tokenurlpatterns = [    # url(r'^jogin/$',ObtainjsONWebToken.as_vIEw()),url(r'^jogin/$',obtain_jwt_token),]

认证 - 校验token：全局或局部配置drf-jwt的认证类 JsONWebTokenAuthentication

from rest_framework.vIEws import APIVIEwfrom utils.response import APIResponse# 必须登录后才能访问 - 通过了认证权限组件from rest_framework.permissions import IsAuthenticatedfrom rest_framework_jwt.authentication import JsONWebTokenAuthenticationclass UserDetail(APIVIEw):    authentication_classes = [JsONWebTokenAuthentication]  # jwt-token校验request.user    permission_classes = [IsAuthenticated]  # 结合权限组件筛选掉游客    def get(self,**kwargs):        return APIResponse(results={'username': request.user.username})

路由与接口测试

# 路由url(r'^user/detail/$',vIEws.UserDetail.as_vIEw()),# 接口：/API/user/detail/# 认证信息：必须在请求头的 Authorization 中携带 "jwt 后台签发的token" 格式的认证字符串

总结

以上是内存溢出为你收集整理的频率类-认证规则图-JWT认证全部内容，希望文章能够帮你解决频率类-认证规则图-JWT认证所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。