在上篇我們對Django原生View原始碼進行了區域性解析:https://www.cnblogs.com/dongxixi/p/11130976.html
在前後端分離專案中前面我們也提到了各種認證需要自己來做,那麼我們用rest_framework的時候
rest_framework也為我們提供相應的介面,rest_framework中的APIView實現了和Django原生View as_view()一樣的功能
並在此基礎上實現了原生request的封裝、認證、許可權、檢視等等功能
我們來看APIView的as_view如何實現的:
通過上篇對View原始碼的分析我們可以得知,在View的的閉包函式view中呼叫了dispatch方法,那麼我們在找dispatch的時候還是要從self開始找,
此時的self是我們在檢視層定義的檢視類的物件,檢視類並沒有定義dispatch,那麼就找父類APIView,在APIView中我們找到了dispatch
那麼意味著APIView對dispatch進行了重寫,我們來看看APIView怎麼封裝的dispatch方法:
我們繼續深入initialize_request()去看看它是怎麼封裝原生request的:
到這裡,我們可以知道,它將原生的request和認證等元件給到Request類例項化返回,我們仍然需要進一步去看Request的原始碼:
這裡我們可以得知,它將原生的request封裝到了新的request物件的_request屬性中,那麼你就會想了,那原生request 的資料和方法都到哪裡去了呢?
彆著急,它也給你做了封裝,繼續看:
GET請求的資料:
它將原生GET請求的資料放到了query_parms裡面,我們在檢視類中通過request.query_parms就可以取到
POST請求資料:
這裡的data不僅僅是POST的資料,所有請求方式的鍵值對資料的都會被放入data裡面,支援urlencoded、form-data、json(application/json)
FILES資料:
對USER的封裝:
此外還封裝了auth等其他功能,這些功能不僅在新的request裡面有,它也同樣存在原生的request裡,在該方法的解釋上,它講明瞭它支援Django底層contrib,並將user設定在了Django原生的HttpRequest例項中,以保證在任何Django原生中介軟體都可以通過校驗,所以我們在使用APIView時可以幾乎不用考慮相容性問題
好了,我們剛剛看完了initialize_request()原始碼,瞭解了APIView對原生request進行如何進行封裝之後
接下來我們來看initial是如何幫我們做認證、許可權等校驗的
認證校驗
首先我們來看認證校驗:
按住Ctrl點進去之後發現它就一行程式碼
request.user
那此時我們繼續找Request類中的user,
發現它執行了_authenticate(),然後由於好奇心,我們繼續往下點:
通過上圖的分析我們得知,self.authenticators 這個裡面裝著一個個的認證類物件,那麼這些認證類物件是哪裡來的呢?我們繼續探究:
我們回到Request封裝原生request例項化的地方看傳入的是什麼東西
我們繼續找 get_authenticators()方法!
發現是從self.authentication_classes中拿到的,果然返回的是一個裝有物件的列表
我們繼續找authentication_classes
我們在檢視類中沒有定義authentication_classes屬性,那麼繼續往上找發現:
這時候看到它是從api_settings裡找的,我們或多或少應該明白了,它會從使用者配置中去找這個屬性,但是我們並沒有早配置檔案中配置這個屬性,也就意味self.get_authenticators()拿到的是空列表,剛才所有的流程都沒有走,意味著APIView沒有任何的認證措施,那麼這些認證措施就需要我們自己來做了。。。。
如何自定義認證類?
怎麼做呢?缺什麼補什麼,在找authentication_classes的時候它會先去我們的檢視類中找,那麼我們就在檢視類中配置這麼個屬性,剛才也推導過了,它是個列表或者元祖,那麼我們就用列表好了,進一步反推,它會for迴圈這個列表並拿出一個個類.authenticate(),那麼我們就先寫一個類並實現authenticate方法,將類名放到該列表中,剛才我們推理得出,authenticate方法可以沒有返回值,也可以返回兩個值,一個是user物件,一個是auth物件,如果有返回值,它將user物件賦值給了request.user,這時候我們明白了,它的內部是在認證完了後將使用者物件塞給了request,此時的request就擁有了user這個全域性屬性
我順便去摟了一眼官方文件,我們需要自己定義認證類並且繼承BaseAuthentication,那麼接下來我們認證的寫程式碼:
那麼至此,我們在用APIView的時候自定義認證就做完了,authenticate中的認證邏輯是可以根據自身公司和專案需要去做的,這裡是給出最簡單的示範。
當然,如果剛才你的思路一直走過來你會發現,我們除了在檢視類中配置authentication_classes以外還可以在配置檔案中配置,配置方法如下:
REST_FRAMEWORK={ "DEFAULT_AUTHENTICATION_CLASSES":["app01.views.MyAuth",] }
如果這樣配置了的話,在全域性的檢視類都會生效,顯然對於網站註冊登陸主頁進行校驗使用者認證是不合理的,那我們需要怎麼做呢
由於原始碼中查詢authentication_classes的順序是先從檢視類找,檢視類沒有然後找配置檔案,那麼我們可以在不需要校驗的檢視類中定義
authentication_classes = []
在相應檢視類中將它配置為空列表即可。
下面我們來總結下用法:
1、定義認證類(專案中一般在應用裡單開py檔案存放) 2、在認證類中實現authenticate方法,實現具體的認證邏輯 3、認證通過返回user_obj和認證物件,這樣request就擁有了全域性的user,認證不給前端拋異常 4、配置 -在檢視類中配置 -在全域性配置,區域性禁用
剛才說了APIView除了有認證,還有許可權和頻率控制
許可權校驗
許可權校驗的原始碼和認證幾乎一模一樣的思路,用法一模一樣
也是需要自定義許可權類,實現has_perission()方法,程式碼如下:
from rest_framework.permissions import BasePermission # 匯入BasePermission class MyPermision(BasePermission): # 繼承BasePermission message = '不是超級使用者,檢視不了' # 自定義返回給前端的訪問錯誤資訊 def has_permission(self,request,view): if request.user.user_type==1: return True else: return False class Book(APIView): permission_classes = [MyPermision,] # 檢視類配置 def get(self,request): pass
也可以全域性配置,區域性禁用:
在配置檔案REST_FRAMEWORK中加上配置:
REST_FRAMEWORK = { "DEFAULT_AUTHENTICATION_CLASSES":['app01.views.MyAuth',], "DEFAULT_PERMISSION_CLASSES" : ['app01.views.MyPermission',] ## ---加上這一行即可 }
區域性禁用方式一樣是在檢視類中配置
permission_classes = []
頻率控制
-使用: -第一步,寫一個頻率類,繼承SimpleRateThrottle from rest_framework.throttling import SimpleRateThrottle #重寫get_cache_key,返回self.get_ident(request) #一定要記住配置一個scop=字串 class MyThrottle(SimpleRateThrottle): scope = 'lxx' def get_cache_key(self, request, view): return self.get_ident(request) # 這裡是頻率控制的條件,是以訪問IP來控制還是以使用者ID控制都可以,暴露的配置介面,
#這裡呼叫的父類get_ident
f方法 -第二步:在setting中配置 REST_FRAMEWORK = { 'DEFAULT_THROTTLE_RATES':{ 'lxx':'3/m' # 這裡的lxx 即在自定義頻率類中定義的scope } } -區域性使用 -在檢視類中配置: throttle_classes=[MyThrottle,] -全域性使用 -在setting中配置 'DEFAULT_THROTTLE_CLASSES':['自己定義的頻率類'], -區域性禁用 throttle_classes=[]
我們來看原始碼:
還是從initial()這裡進
點進去看
這段是頻率校驗的核心程式碼,self.get_throttles()走的是和上面認證、許可權一樣的路子
也是去自定義頻率類、然後配置檔案裡找相應頻率控制類並且直接加()例項化了
現在每次for迴圈出來的 throttle 都是一個例項化的物件,
if not throttle.allow_request(request, self):
allow_request()從字面意思上我們也能判斷出它應該是校驗是否對本次訪問放行的,那麼它的返回值應該就是True或者False
那麼這句判斷語句的意思就是:如果頻率校驗不通過,那麼就走if塊內部程式碼
self.throttled(request, throttle.wait())
這句程式碼的意思就是針對 throttle.wait()得到的不同限制結果丟擲不同異常給前端使用者
點進去看原始碼人家也是這麼幹的
def throttled(self, request, wait): """ If request is throttled, determine what kind of exception to raise. """ raise exceptions.Throttled(wait)
那麼頻率校驗不通過的情況我們知道了,我們就要關注它內部是如何實現對頻率的校驗的
進到allow_request裡面去看,由於我們自定義的頻率校驗類沒有定義該方法,那麼就向它的父類找
我們來看原始碼人家是怎麼做的
# settings配置 """ REST_FRAMEWORK = { 'DEFAULT_THROTTLE_RATES':{ 'lxx':'3/m' # 頻率配置 每分鐘3次 } } """ #以下原始碼+個人註釋 def allow_request(self, request, view): if self.rate is None: # self.rate 是 get_rate() 通過我們宣告的scope = 'lxx' 去拿到的配置檔案中頻率配置中頻率值 '3/m' ,
# 需要我們在頻率控制類中宣告scope = 'lxx',也就是配置中字典的鍵,
# 鍵是通過反射scope拿到的,詳見 get_rate()原始碼 return True self.key = self.get_cache_key(request, view) # self是自定義頻率類的物件,那麼get_cache_key將優先從自定義頻率類找 # 得到的是頻率控制的依據,是使用者IP\ID或者其他資訊,由重寫get_cache_key確定 if self.key is None: return True self.history = self.cache.get(self.key, []) # 從快取中拿到當前使用者的訪問記錄 self.now = self.timer() # 獲取當前時間戳 #self.now 是當前執行時間,self.duration是訪問頻率分母,以上述例子為例 這裡就是60 while self.history and self.history[-1] <= self.now - self.duration: self.history.pop() # 將訪問列表超時的去掉 history =[第三次訪問時間,第二次訪問時間,第一次訪問時間] # self.num_requests 訪問頻率分子,設定 '3/m' 表示每分鐘3次,以上例子為例,這裡就是 3 if len(self.history) >= self.num_requests: return self.throttle_failure() # 返回訪問失敗資訊 return self.throttle_success() # 訪問成功
以上的self.duration 和self.num_requests在訪問時自定義頻率控制類例項化的時候,已經通過父類的__init__產生,原始碼如下:
這裡又進一步呼叫了self.parse_rate()方法,傳入了自定義頻率類中的scope屬性值 :'3/m', 那麼這裡我們大概就能猜到parse_rate()
幹了件什麼事兒,對!那就是拆分這個字串,並返回 限制次數,限制時間長度,比如 3次,60秒
一起來看parse_rate()原始碼:
def parse_rate(self, rate): """ Given the request rate string, return a two tuple of: <allowed number of requests>, <period of time in seconds> """ if rate is None: return (None, None) # 對 '3/m' 進行切分 num_requests=3,duration = 60 num, period = rate.split('/') num_requests = int(num) duration = {'s': 1, 'm': 60, 'h': 3600, 'd': 86400}[period[0]] # period[0]取到切分後字串 'm' 的第一個元素 return (num_requests, duration) # (3, 60)
以上allow_request()如果校驗不通過,那麼直接呼叫 throttle.failure()直接返回false
如果校驗通過,它應該還需要將本次訪問新增到訪問記錄中並儲存了,那麼我們猜 throttle.success() 幹了這麼件事
來看原始碼發現果然幹了這麼件事兒!
def throttle_success(self): """ Inserts the current request's timestamp along with the key into the cache. """ self.history.insert(0, self.now) # 將當前訪問時間插入 訪問記錄第一個位置 self.cache.set(self.key, self.history, self.duration) # 更新訪問資訊記錄快取 return True # 返回訪問成功 True 供判斷
至此,頻率控制部分的原始碼我們也學習完了,當我們回過頭去看用法的時候會有種豁然開朗的感覺!
看原始碼小技巧:
1、只看自己看得懂的
2、屬性查詢一定要縷清繼承關係,明確當前的self是誰的物件,然後從它開始查詢
3、**kwargs,*args相關一般不看