三大认证之认证组件和权限组件

Posted 2021-03-25 panshao51km-cn

一. 源码分析

　　

1. APIView的dispath(self, request, *args, **kwargs)
2. dispath方法内self.initial(request, *args, **kwargs)
    # 认证组件: 校验用户  -  游客, 合法用户, 非法用户
    # 游客: 代表着校验已经通过,直接进入下一步校验(权限校验)
    # 合法用户: 代表校验通过,将数据保存在request.user中,在进行下一步校验(权限校验)
    # 非法用户: 代表校验失败,抛出异常,返回403权限异常结果
    self.perform_authentication(request)

    # 权限组件: 校验用户权限 - 必须登录,所有用户,登录读写游客只读,自定义用户角色
    # 认证通过: 可以进入下一步校验(频率认证)
    # 认证失败: 抛出异常,返回403权限异常结果
    self.check_permissions(request)

    # 频率组件: 限制试图接口访问的频率次数 - 限制条件(IP, ID, 唯一键), 频率周期时间(s, m, h), 频率的次数
    # 没有达到限次, 正常访问接口
    # 达到限次, 限制时间内不能访问,限制时间到达后,可以重新访问
    self.check_throttles(request)




3. 认证组件
    request类的  方法属性 user 的get方法==>self._authenticate()完成认证


    认证细则:
    # 做认证
    def _authenticate(self):
        # 遍历到一个个认证器, 进行认证
        # self.authenticators配置的一堆认证类产生的认证类对象组成的list
        for authenticator in self.authenticators:
            try:
                # 认证器调用认证方法authenticate(认证类对象self, request请求对象)
                # 返回值: 登录的用户与认证的信息组成的 tuple
                # 该方法被try包裹, 代表该方法会抛异常,抛异常就代表认证失败
                user_auth_tuple = authenticator.authenticate(self)
        except exceptions.APIException:
                self._not_authenticated()
                raise
        # 返回值处理
        if user_auth_tuple is not None:
            self._authenticator = authenticator
            # 如果有返回值, 就将登录用户与登录认证分别保存在request.user, request.auth
            self.user, self.auth = user_auth_tuple
            return
        self._not_authenticated()



4. 权限组件
    self.check_permissions(request)
        认证细则:
    def check_permissions(self, request):
        # 遍历权限对象列表得到一个个权限对象(权限器), 进行权限认证
        for permission in self.get_permissions():
            # 权限类一定有一个has_permission权限方法, 从来做权限认证的
            # 参数: 权限对象self, 请求对象request, 视图类对象
            # 返回值: 有权限返回True, 无权限返回False
            if not permission.has_permission(request, self)
                self.permission_denied(
                request, message = getattr(permission, ‘message‘, None)

 

二. 自定义创建类

1. 创建继承BaseAuthentication的认证类
2. 实现authenticate方法
3. 实现体根据认证规则 确定游客, 非法用户, 合法用户
4. 进行全局或者局部配置


认证规则: 
1. 没有认证信息就返回None(游客)
2. 有认证信息认证失败抛异常(非法用户)
3. 有认证信息认证成功返回用户与认证信息元组(合法用户)

　　utils/authentications.py

自定义认证类

    
    1. 继承BaseAuthentication类
    2. 重新authenticate(self, request)方法, 自定义认证规则
    3. 认证规则基于的条件:
        没有认证信息就返回None(游客)
        有认证信息认证失败抛异常(非法用户)
        有认证信息认证成功返回用户与认证信息的元组(合法用户)
    4. 完全视图类的全局(settings文件中)或是局部(确切的视图类)配置

from  rest_framework.authentication import BaseAuthentication
from  rest_framework.exceptions import AuthenticationFailed
from . import models

class MyAuthentication(BaseAuthentication):
    # 从前台请求头那认证信息auth(获取认证的字段要与前台约定)
    # 没有auth是游客,返回None
    # 有auth进行校验: 失败是非法用户,抛出异常, 成功是合法用户,返回(用户, 认证信息)


def authenticate(self, request):
    # 前台在请求头携带认证信息,默认规范用Authorization字段携带认证信息
    # 后台固定在请求对象的META字段中, HTTP_AUTHORIZATION获取
    auth = request.META.get(‘HTTP_AUTHORIZATION‘, None)
    # 处理游客
    if auth is None:
        return None
    # 设置一下认证字段小规则(两段式): "auth  认证字符串"
    auth_list = auth.split()
    # 检验合法用户还是非法用户
     if not (len(auth_list) == 2 and auth_list[0].lower() == ‘auth‘):
            raise AuthenticationFailed("认证信息有误, 非法用户")
    # 合法用户还需要从auth_list[1]中解析出来
    # 假设一种情况,信息为abc.123.xyz, 就可以解析出admin用户
    if auth_list[1] != ‘abc.123.xyz‘  # 校验失败
        raise AuthenticationFailed("用户校验失败,非法用户")
    user = models.User.objects.filter(username=‘admin‘).first()
    if not user:
        raise AuthenticationFailed("用户数据有误, 非法用户")
    return (user, None)

 

三. 系统权限类

1. AllowAny: 认证规则全部返还True: return True
        游客与登录用户都有所有权限
2. IsAuthenticated:
        认证规则必须有登录的合法用户: return bool(request.user and
request.user.is_authenticated)
    游客没有任何权限
3. IsAdminUser:
        认证规则必须是后台管理用户: return bool(request.user and request.user.is_staff)
        游客没有任何权限,登录用户才有权限
4. IsAuthenticatedOrReadOnly
        认证规则必须是只读请求或者是合法用户:
        return bool(
                 request.method in SAFE_METHODS or
                 request.user and 
                 request.user.is_authenticated
)    
           游客只读,合法用户无限制

# api/views.py
from rest_framework.permissions import IsAuthenticated

class TesttAuthenticatedAPIView(APIView):
　　permission_classes = [IsAauthenticated]
　　def get(self, request, *args, **kwargs )
　　　　return APIResponse(0, ‘test  登录才能访问接口‘)


# 默认全局配置的权限类是AllowAny
# settings.py
REST_FRAMEWORK = {
     # 权限类配置
　　　‘DEFAULT_PERMISSION_CLASSES‘:[
　　　　　　‘rest_framework.permissions.AllowAny‘,
],
}

　　

自定义权限类

1. 创建继承BasePermission的权限类
2. 实现has_permission方法
3. 实现体根据权限规则,确定有无权限
4. 进项全体或者局部配置


认证规则:
 1. 满足设置的用户条件, 代表有权限, 返回True
2. 不满足设置的用户条件, 代表有权限, 返回False

# utils/permissions.py

from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group

class MyPermission(BasePermission):
    def has_permission(self, request, view)
        # 只读接口判断
        r1 = request.method in (‘GET‘, ‘HEAD‘, ‘OPTIONS‘)
        # group为有权限的分组
        group = Group.objects.filter(name=‘管理员‘).first()
        # groups为当前用户所属的所有分组
        groups = request.user.groups.all()
        r2 = group and groups
        r3 = group in groups
        # 读接口大家都有权限,写接口必须为指定分组下的登录用户
        return r1 or (r2 and r3)


# 游客只读, 登录用户只读, 只有登录用户属于管理员分组,才可以增删改查
from utils.permissions import MyPermission
class TestAdminOrReadOnlyAPIView(APIView):
    permission_classes = [MyPermission]
    # 所有用户都能访问
    def get(self, request, *args, **kwargs):
        return APIResponse(0, ‘自定义读‘)
    # 必须是自定义"管理员分组"下的用户
     def post(self, request, *args, **kwargs):
    
        return APIResponse(0, ‘自己写‘)