DRF 权限认证
导入:
用户量极大的常规项目,会分两种用户:前台用户(三大认证) 和 后台用户(BRAC来管理)
结论:没有特殊要求的Django项目可以直接采用Auth组件的权限六表,不需要自定义六个表,也不需要断开表关系,但可能需要自定义User表
三大认证流程
认证
工作原理
- 返回None => 游客
- 返回元组(user,auth) => 登录用户
- 抛出异常 => 非法用户
前台对于用户信息进行的判断
1)如果前台没有携带认证信息,直接判定该请求为游客 => 代表认证通过
2)如果前台携带认证信息,定位为登录用户,将登录的用户user对象保存在 requset.user 中 => 代表认证通过
3)如果前台携带了认证信息但没有认证通过,一般都定义为非法用户
5)认证组件通常在settings中全局配置
权限
工作原理
- 返回False => 没有权限,将信息返回给前台
- 返回True => 拥有权限,进行下一步认证(频率认证)
1、自定义认证类,继承 BaseAuthentication 类
2、必须重写 authenticate(self, request) 方法
- 没有认证信息,返回None:匿名用户(游客) => 匿名用户request.user也有值,就是"匿名对象(Anonymous)"
- 有认证信息 且通过,返回(user, token):合法用户 => user对象会存到request.user中
- 有认证信息,不通过,抛异常:非法用户
# 自定义登录(重点):post请求 => 查操作(签发token返回给前台) - 自定义路由映射 url('^user/login/$', views.LoginViewSet.as_view({'post': 'login'})),
# 重点:自定义login,完成多方式登录 from rest_framework.viewsets import ViewSet from rest_framework.response import Response class LoginViewSet(ViewSet): # 登录接口,要取消所有的认证与权限规则,也就是要做局部禁用操作(空配置) authentication_classes = [] permission_classes = [] # 需要和mixins结合使用,继承GenericViewSet,不需要则继承ViewSet # 为什么继承视图集,不去继承工具视图或视图基类,因为视图集可以自定义路由映射: # 可以做到get映射get,get映射list,还可以做到自定义(灵活) def login(self, request, *args, **kwargs): serializer = serializers.LoginSerializer(data=request.data, context={'request': request}) serializer.is_valid(raise_exception=True) token = serializer.context.get('token') return Response({"token": token})
from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler # 重点:自定义login,完成多方式登录 class LoginSerializer(serializers.ModelSerializer): # 登录请求,走的是post方法,默认post方法完成的是create入库校验,所以唯一约束的字段,会进行数据库唯一校验,导致逻辑相悖 # 需要覆盖系统字段,自定义校验规则,就可以避免完成多余的不必要校验,如唯一字段校验 username = serializers.CharField() class Meta: model = models.User # 结合前台登录布局:采用账号密码登录,或手机密码登录,布局一致,所以不管账号还是手机号,都用username字段提交的 fields = ('username', 'password') def validate(self, attrs): # 在全局钩子中,才能提供提供的所需数据,整体校验得到user # 再就可以调用签发token算法(drf-jwt框架提供的),将user信息转换为token # 将token存放到context属性中,传给外键视图类使用 user = self._get_user(attrs) payload = jwt_payload_handler(user) token = jwt_encode_handler(payload) self.context['token'] = token return attrs # 多方式登录 def _get_user(self, attrs): username = attrs.get('username') password = attrs.get('password') import re if re.match(r'^1[3-9][0-9]{9}$', username): # 手机登录 user = models.User.objects.filter(mobile=username, is_active=True).first() elif re.match(r'^.+@.+$', username): # 邮箱登录 user = models.User.objects.filter(email=username, is_active=True).first() else: # 账号登录 user = models.User.objects.filter(username=username, is_active=True).first() if user and user.check_password(password): return user raise ValidationError({'user': 'user error'})
1、自定义权限类,继承 BasePermission 类
2、必须重写 def has_permission(self, request, view): 方法
设置权限条件,条件通过,返回True:有权限
设置权限条件,条件失败,返回False:无权限
""" 1)User表创建两条数据 2)Group表创建一条数据,name叫vip 3)操作User和Group的关系表,让1号用户属于1号vip组 """
from rest_framework.permissions import BasePermission from django.contrib.auth.models import Group class IsVipUser(BasePermission): def has_permission(self, request, view): if request.user and request.user.is_authenticated: # 必须是合法用户 try: vip_group = Group.objects.get(name='vip') if vip_group in request.user.groups.all(): # 用户可能不属于任何分组 return True # 必须是vip分组用户 except: pass return False
from .permissions import IsVipUser class CarViewSet(ModelViewSet): permission_classes = [IsVipUser] queryset = models.Car.objects.all() serializer_class = serializers.CarSerializer
class CarSerializer(serializers.ModelSerializer): class Meta: model = models.Car fields = ('name', )
router.register('cars', views.CarViewSet, 'car')
频率组件
1、如何自定义频率类
2、频率校验的规则
3、自定义频率类是最常见的:短信接口一分钟只能发生一条短信
""" 1)自定义类继承SimpleRateThrottle 2)设置类属性scope,值就是一个字符串,与settings中的DEFAULT_THROTTLE_RATES进行对应, DEFAULT_THROTTLE_RATES就是设置scope绑定的类的频率规则:1/min 就代表一分钟只能访问一次 3)重写 get_cache_key(self, request, view) 方法,指定限制条件 不满足限制条件,返回None:代表对这类请求不进行频率限制 满足限制条件,返回一个字符串(是动态的):代表对这类请求进行频率限制 短信频率限制类,返回 "throttling_%(mobile)s" % {"mobile": 实际请求来的电话} """
- UserRateThrottle: 限制所有用户访问频率
- AnonRateThrottle:只限制匿名用户访问频率
处理异常模块的目的是:不管任何错误,都有必要进行日志记录(线上项目只能通过记录的日志查看出现过的错误)
REST_FRAMEWORK = { # ... # 异常模块 # 'EXCEPTION_HANDLER': 'rest_framework.views.exception_handler', # 源码,只处理客户端异常 'EXCEPTION_HANDLER': 'api.exception.exception_handler', #自定义异常处理,(客户端、服务器都处理) }
from rest_framework.views import exception_handler as drf_exception_handler from rest_framework.response import Response def exception_handler(exc, context): # 只处理客户端异常,不处理服务器异常, # 如果是客户端异常,response就是可以直接返回给前台的Response对象 response = drf_exception_handler(exc, context) if response is None: # 没有处理的服务器异常,处理一下 # 其实给前台返回 服务器异常 几个字就行了 response = Response({'detail': '%s' % exc}) # 需要结合日志模块进行日志记录的 return response
RBAC权限六表(
from django.db import models # RBAC - Role-Based Access Control # Django的 Auth组件 采用的认证规则就是RBAC from django.contrib.auth.models import AbstractUser class User(AbstractUser): mobile = models.CharField(max_length=11, unique=True) def __str__(self): return self.username class Book(models.Model): name = models.CharField(max_length=64) def __str__(self): return self.name class Car(models.Model): name = models.CharField(max_length=64) def __str__(self): return self.name
# 自定义User表,要配置 AUTH_USER_MODEL = 'api.User'
from django.contrib import admin from . import models from django.contrib.auth.admin import UserAdmin as DjangoUserAdmin # 自定义User表后,admin界面管理User类 class UserAdmin(DjangoUserAdmin): # 添加用户课操作字段 add_fieldsets = ( (None, { 'classes': ('wide',), 'fields': ('username', 'password1', 'password2', 'is_staff', 'mobile', 'groups', 'user_permissions'), }), ) # 展示用户呈现的字段 list_display = ('username', 'mobile', 'is_staff', 'is_active', 'is_superuser') admin.site.register(models.User, UserAdmin) admin.site.register(models.Book) admin.site.register(models.Car)
1)是否需要分表 答案:不需要 理由:前后台用户共存的项目,后台用户量都是很少;做人员管理的项目,基本上都是后台用户;前后台用户量都大的会分两个项目处理 2)用户权限六表是否需要断关联 答案:不需要 理由:前台用户占主导的项目,几乎需求只会和User一个表有关;后台用户占主导的项目,用户量不会太大 3)Django项目有没有必须自定义RBAC六表 答案:不需要 理由:auth组件功能十分强大且健全(验证密码,创建用户等各种功能);admin、xadmin、jwt、drf-jwt组件都是依赖auth组件的(自定义RBAC六表,插件都需要自定义,成本极高)
1、后台用户对各表操作,是后台项目完成的,我们可以直接借助admin后台项目(Django自带的)
2、后期也可以用xadmin框架来做后台用户权限管理
3、前台用户的权限管理如何处理
定义了一堆数据接口的视图类,不同的登录用户是否能访问这些视图类,能就代表有权限,不能就代表无权限
前台用户权限用drf框架的 三大认证
注:前台用户权限会基于 jwt 认证