一、django restframework 请求流程源码剖析
上面的认证一个流程是rest_framework的关于APIauth的认证流程,,这个流程试用权限、频率、版本、认证、这个四个组件都是通过相似的流程进行实现,不同的组件,是在initial()这个方法中调用不同的方法来进行执行的,同时在剖析源码的过程中,我们整个rest_framework总共分为10个组件,每一中组件都可以进行全局配置,和局部配置,下面依次介绍这10个组件。
1、认证auth()
上面流程已经提到,API认证,每一个认证类的,真正的验证是执行了一个authenticate()方法,在自定义认证类时,需要重写这个authenticate()方法即可。同时,rest——framework提供了几个认证类from rest_framework.authentication 可以通过查看提供的认证类,在自定制时,可以继承这个里面的基类。
而authenticate()方法的返回值,一共有三种,第一种,认证不通过报错。第二种认证通过返回一个元组,元组中的内容是user对象和token对象。第三种是None,默认就是匿名用户
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication
from django.http import JsonResponse
from app01 import models
import time ,hashlib
class MyAuthtication(BaseAuthentication):
'''用户api验证'''
def authenticate(self ,request):
token = request.GET.get('token')
token_obj = models.Token.objects.filter(token=token).first()
if not token_obj:
raise exceptions.AuthenticationFailed('用户认证失败')
return ( token_obj.user, token_obj)
def authenticate_header(self ,request):
pass
from rest_framework import exceptions 关于说到的如果认证失败,需要报错,reset_framework是要返回指定报错的
raise exceptions.AuthenticationFailed ,这个主动触发这个AuthenticationFailed,报错,默认超类中会抓取这个异常,response返回。
全局配置和局部配置
全局
REST_FRAMEWORK =
{'DEFAULT_AUTHENTICATION_CLASSES':['app01.utils.auth.MyAuthtication',],
'UNAUTHENTICATED_USER':lambda:None}
1、在settings文件中 ,按照上述配置,认证类是可以有多个的,所以DEFAULT_AUTHENTICATION_CLASSES,这个key对应的是一个列表。
app01.utils.auth是认证类的路径。
2、关于我们说认证返回有三种结果,如果是未登录用户是,返回的信息是None,这个也可以进行定制,返回指定的信息,按照第二行配置
局部配置
class AuthView(APIView):
authentication_classes = [BasicAuthentication,]
在视图中按照上面配置即可
2、权限(permission)
2.1权限的是通过 此方法进行判断的 ,在重写的时候,重写这个has_premission方法即可,当然rest_framework,提供了几个默认的权限类供使用,from rest_framework.permissions ,通过这个permissions 文件查找几种提供的权限类,重写时可以继承。
def check_permissions(self, request):
"""
Check if the request should be permitted.
Raises an appropriate exception if the request is not permitted.
"""
for permission in self.get_permissions():
if not permission.has_permission(request, self):
self.permission_denied(
request, message=getattr(permission, 'message', None)
)
has_premission()方法 。而这方法的返回值,一种是True,带表有权限,False代表没有权限。
2.2全局配置和局部配置
全局配置
REST_FRAMEWORK ={
'DEFAULT_PERMISSION_CLASSES':['app01.utils.auth.MyPremission']}
局部配置
from rest_framework.permissions import BasePermission
class AuthView(APIView):
permission_classes = [BasePermission,]
3、频率(throttle)
3.1这个组件又称之为节流,这个作用就是现实一个api,在一个固定时间段内能够访问几次 , 是调用了每一个节流类的allow_request方法进行判断的。这个可以重写也可以直接调用rest_framework提供的,从
from rest_framework.throttling 获取,里面的整体实现原理是类似的。同时这个地方要注意,我们是以ip地址还是用户来识别是否是同一个用户的,如果是匿名用户就可以用ip地址,如果是登录用户可以用用户名或者用户id都可以。但是本质上,是无法真正实现这个限制访问的。
def check_throttles(self, request):
"""
Check if request should be throttled.
Raises an appropriate exception if the request is throttled.
"""
for throttle in self.get_throttles():
if not throttle.allow_request(request, self):
self.throttled(request, throttle.wait())
allow_request()方法返回两个结果,一个是True,代表有权限,一个是False,没有权限。
3.2全部和局部配置
全局
REST_FRAMEWORK ={DEFAULT_THROTTLE_RATES':{'all':'3/m'},
DEFAULT_THROTTLE_CLASSES:['app01.utils.auth.MyPremission']
} 关于这个节流的配置 ,后面的scope是说的是实际设置的默认频率,是每分钟3次的意思,可以看源码,这个单位不止分钟。 关于这个scope是需要在自定义的节流类中配置的。 一般使用这个SimpleRateThrottle就够用了 class VisitorThrottle(SimpleRateThrottle): scope = 'all' def get_cache_key(self, request, view): '''这个就是返回一个放在django缓存中的key, 可以根据用户id,或者ip地址来然后返回这个ip这个字符串, 或者用用户id''' return ip或者用户id
局部
class AuthView(APIView):
throttle_classes = []
将自己写的自定制的类导入,放到这个列表中即可
4、版本(version)
4.1版本认证是通过这个方法实现的
def determine_version(self, request, *args, **kwargs):
"""
If versioning is being used, then determine any API version for the
incoming request. Returns a two-tuple of (version, versioning_scheme)
"""
if self.versioning_class is None:
return (None, None)
scheme = self.versioning_class() #去配置中版本类,实例化
return (scheme.determine_version(request, *args, **kwargs), scheme)
#返回这个实例的determine_version()方法的调用结果 ,和这个实例
这个determine_version() 方法只有两种返回结果,一个是返回版本信息,一个报异常。
4.2 全局配置与局部配置
全局配置
关于版本的认证,完全不可用rest_framework提供的版本认证的类进行一个全局配置 ,可以通过from rest_framework.versioning,获取
def determine_version(self, request, *args, **kwargs):
version = kwargs.get(self.version_param, self.default_version)
if version is None:
version = self.default_version
1、这个是获取版本的源码,可以看到他是从URL中获取一个参数,这个参数,设置的是version_param ,所以,这个地方设置的是什么参数,URL上就要默认的别名要与这个参数一致,,例如:
url('api/(?P<version>v1+)/order$' ,views.OrderView.as_view() ,name='uuu')
REST_FRAMEWORK ={ 'DEFAULT_VERSIONING_CLASS':'rest_framework.versioning.URLPathVersioning' ,
'VERSION_PARAM':'version',
'ALLOWED_VERSIONS':['v1' ,'v2']
}
2、我们看到还有一个ALLOWED_VERSIONS这个参数,这个参数是默认当前有多少个个版本号,加入说我们只有两个版本,但是URL中去是一个v100,不在这个范围内,也会报错。
5、解析器
5.1、 作用,用来解析发送的post请求中的请求体的数据,当post请求头中ContentType不在是x-www-form-urlencode 和请求体的数据格式是 name=eric&age=26 时, 通过request.POST是拿不到请求体中的数据的。
同时,我们的ContentType,可以决定,发送post请求时,post请求体中的数格格式。而在MVC这种前后端分离的结构中,数据都是通过json进行传输的。
所以,请求头中的ContentType 就会变成application/json 格式,这个时候请求体中的数据格式也发生变化,可以是{"name":"eric","age":18},这里面有一个细节 就是一定是双引号,不然restframework,内部的loads反序列化不了会报错。
2、解析器源码剖析流程
6、序列化(serialize)
序列化主要有两方面功能,第一是序列化,第二个就是数据验证,其实序列化,和django本身的form和ModelForm非常相似
6.1 序列化源码流程
6.2验证源码流程
7、分页(pagination)
8、视图(view)
9、路由
10、渲染器