目錄

• 一、drf頻率原始碼分析
• 二、自動生成介面文件
  • 1 安裝依賴
  • 2 設定介面文件訪問路徑
  • 3 文件描述說明的定義位置
  • 4 訪問介面文件網頁
• 三、JWT
  • 1 JWT基本原理
    • 1.1 header
    • 1.2 payload
    • 1.3 signature
    • 1.4 認證演算法：簽發與校驗
  • 2 jwt的基本使用
  • 3 自定製auth認證類

一、drf頻率原始碼分析

from rest_framework.throttling import SimpleRateThrottle


# 在頻率限制中最重要的方法就是allow_request
# 可以直接去頻率類的頂級父類裡找，告訴我們如果要寫頻率限制，就必須重寫這個方法，返回值True/False
# wait返回的數字是在前端展示的還差的時間
# 獲取rate的方法
 def __init__(self):
        if not getattr(self, 'rate', None):
            self.rate = self.get_rate()
        self.num_requests, self.duration = self.parse_rate(self.rate)
# 所以在分析內建的SimpleRateThrottle頻率限制模組的時候就看這個方法········
    def allow_request(self, request, view):
		# 根據配置檔案的DEFAULT_THROTTLE_RATES中的scope獲取頻率配置
        # scope不是寫死的，如果我們在繼承的類屬性中寫了scope=‘xxx’那麼去配置資訊找的時候就是xxx：3/m
        # 我們配置的3/m
        # 將這個字串分成次數和時間，分別存放到self.num_requests和self.duration中
        if self.rate is None:
            return True
		# 呼叫get_cache_key方法，這個類中沒有寫這個方法
        # 也就是我們要使用這個類就必須呼叫這個方法
        # 這個方法的返回值就是我們限制頻率的約束如ip，username，如果返回None就不限制
        self.key = self.get_cache_key(request, view)
        if self.key is None:
            return True
		# 把訪問資訊新增到快取當中
        self.history = self.cache.get(self.key, [])
        self.now = self.timer()
		# 根據時間判斷是否超出限制
        while self.history and self.history[-1] <= self.now - self.duration:
            self.history.pop()
        if len(self.history) >= self.num_requests:
            # 列表長度如果超出我們限定的就返回錯誤
            return self.throttle_failure()
        # 如果沒超出就返回True並把列表儲存到快取中
        return self.throttle_success()

 

二、自動生成介面文件

REST framework可以自動幫助我們生成介面文件。

介面文件以網頁的方式呈現。

自動介面文件能生成的是繼承自APIView及其子類的檢視。

1 安裝依賴

REST framewrok生成介面文件需要coreapi庫的支援。

pip install coreapi

2 設定介面文件訪問路徑

在總路由中新增介面文件路徑。

文件路由對應的檢視配置為rest_framework.documentation.include_docs_urls，

引數title為介面文件網站的標題。

from rest_framework.documentation import include_docs_urls

urlpatterns = [
    ...
    path('docs/', include_docs_urls(title='站點頁面標題'))
]
 

3 文件描述說明的定義位置

1） 單一方法的檢視，可直接使用類檢視的文件字串，如

class BookListView(generics.ListAPIView):
    """
    返回所有圖書資訊.
    """

2）包含多個方法的檢視，在類檢視的文件字串中，分開方法定義，如

class BookListCreateView(generics.ListCreateAPIView):
    """
    get:
    返回所有圖書資訊.

    post:
    新建圖書.
    """
 

3）對於檢視集ViewSet，仍在類檢視的文件字串中封開定義，但是應使用action名稱區分，如

class BookInfoViewSet(mixins.ListModelMixin, mixins.RetrieveModelMixin, GenericViewSet):
    """
    list:
    返回圖書列表資料

    retrieve:
    返回圖書詳情資料

    latest:
    返回最新的圖書資料

    read:
    修改圖書的閱讀量
    """

4 訪問介面文件網頁

瀏覽器訪問 127.0.0.1:8000/docs/，即可看到自動生成的介面文件。

三、JWT

1 JWT基本原理

參考：http://liuqingzheng.top/python/Django-rest-framework框架/9-drf-JWT認證/

JWT = Json Web Token，本質上就是token

分散式和叢集

分散式是指通過網路連線的多個元件，通過交換資訊協作而形成的系統。而叢集，是指同一種元件的多個例項，形成的邏輯上的整體。

簡單來說叢集就是，專案所用的所有功能，前後端，資料庫，快取都放在一個機器上，然後多放幾個這樣的機器，上面的專案都是一樣的

分散式就是我把一個專案用的東西分別放在不同的機器上，a機器裝資料庫，b機器放後端程式碼等等

所以叢集相對於分散式有負載均衡的效果，一臺機子宕機了，這個站點也能繼續被訪問，而分散式一處死了，就完全沒法繼續了

jwt的應用場景：當我們用分散式的專案的時候，如果是統一的用一個數據庫，那沒問題，如果是各個機器用自己的資料庫，那如果我在a機器上註冊賬號，登入了，下次如果訪問的是b伺服器就又得重新登入，因為我的登入狀態不在這個機子上。

jwt認證可以讓客戶端傳送的資料有服務端的特性，檢驗這種特性來判斷是否是這個服務端的資料，再根據特定的規則解碼得到我們需要的資料。

jwt資料構成

JWT就是一段字串，由三段資訊構成的，將這三段資訊文字用.連結一起就構成了Jwt字串。就像這樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

第一部分我們稱它為頭部（header),第二部分我們稱其為載荷（payload, 類似於飛機上承載的物品)，第三部分是簽證（signature).

1.1 header

jwt的頭部承載兩部分資訊：

• 宣告型別，這裡是jwt
• 宣告加密的演算法 通常直接使用 HMAC SHA256

完整的頭部就像下面這樣的JSON：

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然後將頭部進行base64加密（該加密是可以對稱解密的),構成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

1.2 payload

載荷就是存放有效資訊的地方。這個名字像是特指飛機上承載的貨品，這些有效資訊包含三個部分

• 標準中註冊的宣告
• 公共的宣告
• 私有的宣告

標準中註冊的宣告 (建議但不強制使用) ：

• iss: jwt簽發者
• sub: jwt所面向的使用者
• aud: 接收jwt的一方
• exp: jwt的過期時間，這個過期時間必須要大於簽發時間
• nbf: 定義在什麼時間之前，該jwt都是不可用的.
• iat: jwt的簽發時間
• jti: jwt的唯一身份標識，主要用來作為一次性token,從而回避時序攻擊。

公共的宣告 ： 公共的宣告可以新增任何的資訊，一般新增使用者的相關資訊或其他業務需要的必要資訊.但不建議新增敏感資訊，因為該部分在客戶端可解密.

私有的宣告 ： 私有宣告是提供者和消費者所共同定義的宣告，一般不建議存放敏感資訊，因為base64是對稱解密的，意味著該部分資訊可以歸類為明文資訊。

定義一個payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然後將其進行base64加密，得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

1.3 signature

JWT的第三部分是一個簽證資訊，這個簽證資訊由三部分組成：

• header (base64後的)
• payload (base64後的)
• secret

這個部分需要base64加密後的header和base64加密後的payload使用.連線組成的字串，然後通過header中宣告的加密方式進行加鹽secret組合加密，然後就構成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連線成一個完整的字串,構成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是儲存在伺服器端的，jwt的簽發生成也是在伺服器端的，secret就是用來進行jwt的簽發和jwt的驗證，所以，它就是你服務端的私鑰，在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發jwt了。

關於簽發和核驗JWT，我們可以使用Django REST framework JWT擴充套件來完成。

1.4 認證演算法：簽發與校驗

"""
1）jwt分三段式：頭.體.簽名 （head.payload.sgin）
2）頭和體是可逆加密，讓伺服器可以反解出user物件；簽名是不可逆加密，保證整個token的安全性的
3）頭體簽名三部分，都是採用json格式的字串，進行加密，可逆加密一般採用base64演算法，不可逆加密一般採用hash(md5)演算法
4）頭中的內容是基本資訊：公司資訊、專案組資訊、token採用的加密方式資訊
{
	"company": "公司資訊",
	...
}
5）體中的內容是關鍵資訊：使用者主鍵、使用者名稱、簽發時客戶端資訊(裝置號、地址)、過期時間
{
	"user_id": 1,
	...
}
6）簽名中的內容時安全資訊：頭的加密結果 + 體的加密結果 + 伺服器不對外公開的安全碼 進行md5加密
{
	"head": "頭的加密字串",
	"payload": "體的加密字串",
	"secret_key": "安全碼"
}
"""

簽發：根據登入請求提交來的 賬號 + 密碼 + 裝置資訊 簽發 token

"""
1）用基本資訊儲存json字典，採用base64演算法加密得到 頭字串
2）用關鍵資訊儲存json字典，採用base64演算法加密得到 體字串
3）用頭、體加密字串再加安全碼資訊儲存json字典，採用hash md5演算法加密得到 簽名字串

賬號密碼就能根據User表得到user物件，形成的三段字串用 . 拼接成token返回給前臺
"""

校驗：根據客戶端帶token的請求 反解出 user 物件

"""
1）將token按 . 拆分為三段字串，第一段 頭加密字串 一般不需要做任何處理
2）第二段 體加密字串，要反解出使用者主鍵，通過主鍵從User表中就能得到登入使用者，過期時間和裝置資訊都是安全資訊，確保token沒過期，且時同一裝置來的
3）再用 第一段 + 第二段 + 伺服器安全碼 不可逆md5加密，與第三段 簽名字串 進行碰撞校驗，通過後才能代表第二段校驗得到的user物件就是合法的登入使用者
"""

2 jwt的基本使用

安裝：pip install djangorestframework-jwt

# 路由配置
from django.urls import path
from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    path('login/', obtain_jwt_token),
]
# settings註冊app
# 在postman傳送JSON格式的註冊的使用者賬號和密碼
{
    "username": "hz",
    "password":"hz123456"
}
# 返回的jwt資料
{
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Imh6IiwiZXhwIjoxNTk0NzE1MTEyLCJlbWFpbCI6IiJ9.3Qos0Ua0hZfK2Nn3P0jR6yxNSrBeloIVplbUBZILUpM"
}
# 在我們要訪問設定的認證配置的url時，要注意必須在請求頭中設定
Authorization ： JWT eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6Imh6IiwiZXhwIjoxNTk0NzE1MTEyLCJlbWFpbCI6IiJ9.3Qos0Ua0hZfK2Nn3P0jR6yxNSrBeloIVplbUBZILUpM"
# 注意這裡是JWT空格+token資訊，這是jwt認證寫死的，必須按照這個規範來

3 自定製auth認證類

from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication
# 重寫父類的authenticate即可
class MyToekn(BaseJSONWebTokenAuthentication):
    def authenticate(self, request):
        jwt_value = get_authorization_header(request).split()[1]
        # jwt_value = str(request.META.get('HTTP_AUTHORIZATION'))

        if not jwt_value:
            raise AuthenticationFailed('Authorization 欄位是必須的')
        try:
            payload = jwt_decode_handler(jwt_value)
        except Exception:
            raise AuthenticationFailed('認證失敗')

        user = self.authenticate_credentials(payload)

        return user, jwt_value