Django Rest Framework之用户频率/访问次数限制
内置接口代码基本结构
settings.py:
rest_framework = {
'default_throttle_classes':['api.utils.mythrottle.userthrottle',]
'default_throttle_rates': {
'未认证用户': '10/m',
'已认证用户': '100/h',
},
}
mythrottle.py:
from rest_framework.views import apiview
from rest_framework.response import response
from rest_framework import exceptions
from rest_framework.throttling import simpleratethrottle
class visitthrottle(simpleratethrottle):
scope = "未认证用户"
def get_cache_key(self, request, view):
return self.get_ident(request)
class userthrottle(simpleratethrottle):
scope = "已认证用户"
def get_cache_key(self, request, view):
return request.user # 认证通过后,认证方法authenticate的返回值之一
class testthrottle(apiview):
# 这样设置后,节流功能就会使用visitthrottle类,而不会使用userthrottle类
throttle_classes = [visitthrottle,]
def get(self, request, *args, **kwargs):
pass
'''
等等一系列的视图功能方法
'''
这里使用的节流类是继承了simplepatethrottle类,而这个类利用了django内置的缓存来存储访问记录。通过全局节流设置,所有的视图类默认是使用userthrottle类进行节流,如果不想使用默认的类就自定义给throttle_classes属性变量赋值,如:“throttle_classes = [visitthrottle,]”。
原理分析
自定义节流方法:
views.py:
from rest_framework.views import apiview
import time
# 存储各个用户的访问记录
visit_record = {
'192.168.3.112': ['1212121212','1334352525',]
}
class visitthrottle(object):
'''60s内只能访问3次'''
def allow_request(self,request,view):
# 获取用户ip
remote_addr = request.meta.get('remote_addr')
# 获取当前访问时间
ctime = time.time()
# 判断该ip用户之前是否访问过,没有访问过,则加入到visit_record全局变量中
if remote_addr not in visit_record:
visit_record[remote_addr] = [ctime,]
return true
# 获取该ip用户的访问记录
history = visit_record.get(remote_addr)
self.history = history
# 删除失效的访问记录
while history and history[-1] < ctime - 60:
history.pop()
# 判断有效的访问记录是否大于要求的最大次数
if len(history) < 3:
history.insert(0,ctime)
return true
return false
# return true: 表示可以继续访问
# return false 表示访问频率太高,被限制
def wait(self):
'''
还需要等多长时间才能访问
:return
'''
ctime = time.time()
ruturn 60 - (ctime - self.history[-1])
class testthrottle(apiview):
throttle_classes = [visitthrottle,]
def get(self, request, *args, **kwargs):
pass
'''
等等一系列的视图功能方法
'''
- 上面代码中的visitthrottle类就是自定义节流类,跟认证原理类似,在源码中能找到throttle_classes属性变量,同样将自定义的节流类添加到这个列表中。
- 用户访问记录的数据结构就是visit_recode全局变量,该变量就是一个字典,key值为用户唯一标识(ip或用户名),value值为列表,列表元素为访问时间戳。
- 节流原理:简单的说,就是从visit_recode全局变量中获取到某个用户的唯一标识(不存在,则不节流),然后计算获取到的当前访问时间与访问有效时间段(这里为60s)的差值(其实也是一个时间戳),利用这个差值来pop出这个列表中小于该差值的时间戳(说白了就是,删除已经过时的时间戳),最后在,判断一下列表中剩余的时间戳是否超过了限定的次数,没有超过,则允许访问,超过,则拒绝访问。
- 当拒绝时,会调用wait方法,来返回还剩多少时间就可以再次访问。
- 之所以在项目开发中不使用自定义节流类,是因为drf中已经实现了节流方法。内置接口代码基本结构,就是内置节流类的使用方法。
源码分析
-
为什么会使用“scope”属性变量,它有什么用?
由内置接口代码基本结构中可以看到,视图类testthrottle继承了simpleratethrottle类,跳转到这个类中,就可以看到scope属性变量。
由“throttle_rates[self.scope]”知,scope一定是一个key值,而throttle_rates不就是在配置文件中所设置的变量吗?所以说scope代表的就是“未认证用户”和“已认证用户”这两个key值,而这两个key值代表的就是不同的节流方案。返回值就这这两个key值所对应的value值,具体是哪一个,那就看视图类testtrottle中对scope属性变量的值是什么了,如果这个scope值不存在,就会抛出异常。
-
为什么会使用“get_cache_key”方法,该方法的返回值是什么?
在分析get_cache_key方法前,先分析一下simpleratethrottle类:
cache = default_cache 它表示的就是存储用户访问记录的缓存,而这个缓存正是django默认的缓存。
get_rate 方法,前面已经说过了,是用来获取节流方式的。
parse_rate方法,解析节流方式
allow_request方法,就是跟在自定义节流方法一样,是实现节流算法的。之所以会用内置节流方法,就是因为在这里,已经实现了节流算法。
wait方法,就是跟在自定义节流类中的wait方法一样,返回提示用户还有多长时间就可以再次访问了。
通过初始化方法,获取并解析好要使用的节流方式,供allow_request方法使用。
通过调用check_throttles方法,来调用allow_request方法,由上面关于allow_request截图来看,要完成它的功能,就必须通过get_cache_key方法获取到当前用户的唯一标识,所以get_cache_key应该返回唯一标识。
get_cache_key 方法,这就是在视图类testthrottle中重写的方法。由上图可知,该方法是必须重写的,不然就会抛出异常。
-
为什么会使用“throttle_classes”属性变量,它有什么用?
通过查看dispatch方法中的intial方法可以看到调用的节流方法“check_throttles”。
这个for循环返回的一定是一个列表,类似于认证和授权的源码,那么这个列表一定是保存节流类的列表。
get_throttles方法返回的是一个列表生成式,而这里的throttle_classes就是在视图类testthrottle中使用的,该变量就保存节流类对象。
-
“
default_throttle_classes
”从哪里来,有什么用?
通过throttle_classes属性变量,跳转到该图,可以看到配置文件中说的“default_throttle_classes”,它是用来通过配置文件settings来对全局节流类进行配置,功能等价于throttle_classes属性变量。
-
“
default_throttle_rates
”从哪里来,有什么用?
由simpleratethrottle类和上文对scope属性变量的分析可知,throttle_rates就是为了存储在配置文件中设置的不同的节流方法的。
综上所述,可以看出,在利用内置节流接口时,通过配置文件settings的设置和提供该接口所需的用户唯一标识外,不需要我们做再多的操作,这就形成了我们上文写的内置接口代码基本结构的样式。
上一篇: SpringBoot整合Swagger测试api构建
下一篇: 招商基金笔试题