DjangoRest framework-认证、权限、限流、分页等配置功能总结

一、Authentication：认证

可在配置文件中设置全局认证或类视图中局部定义。通常默认使用的是SessionAuthentication,BasicAuthentication两种认证，

1. 全局设置

在settings配置文件中：

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.BasicAuthentication',   # 基本认证
        'rest_framework.authentication.SessionAuthentication',  # session认证
    )
}

2. 类视图局部设置：
   使用authentication_classes属性来设置
   只能在继承于APIView的类及其扩展类的视图类中使用

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView

class ExampleView(APIView):
    authentication_classes = (SessionAuthentication, BasicAuthentication)
    ...

注意：Authentication身份验证本身并不会禁止传入请求，它只是标识请求所使用的凭据，需要配合权限认证Permissions一起使用才有限制作用。

二、Permissions：权限

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

• 在执行视图的dispatch()方法前，会先进行视图访问权限的判断
• 在通过get_object()获取具体对象时，会进行对象访问权限的判断

可以进行全局设置，不过一般不会这么操作，而是指定视图类来限制。

1. 全局设置

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

2. 类视图局部设置：
   使用permission_classes属性来设置
   只能在继承于APIView的类及其扩展类的视图类中使用

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = (IsAuthenticated,)
    ...

3. 提供的常用权限

权限	功能
AllowAny	允许所有用户
IsAuthenticated	仅通过认证的用户
IsAdminUser	仅管理员用户
IsAuthenticatedOrReadOnly	认证的用户可以完全操作，未通过认证的用户只能读取操作

也可以通过重写BasePermission自定义权限。

三、Throttling：限流

可设置限制对接口的访问频次，防止恶意高频访问，降低服务器的压力。

1. 全局设置

可以在配置文件中，使用DEFAULT_THROTTLE_CLASSES 和 DEFAULT_THROTTLE_RATES设置限流类型、访问频次进行全局配置。

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES': (
        'rest_framework.throttling.AnonRateThrottle',
        'rest_framework.throttling.UserRateThrottle'
    ),
    'DEFAULT_THROTTLE_RATES': {
        'anon': '100/day',
        'user': '1000/day'
    }
}

2. 局部设置

在类视图中指定throttle_classes属性，设置限流对象，而具体的对应的限制频次仍在settings中进行全局配置。

from rest_framework.throttling import UserRateThrottle
from rest_framework.views import APIView

class ExampleView(APIView):
    throttle_classes = (UserRateThrottle,)
    ...

3. 限流类功能及频率设定方法

限流类名	限制对象	限定频次设置
AnonRateThrottle	限制所有匿名未认证用户，使用IP区分用户	anon
UserRateThrottle	限制认证用户，使用User id 来区分	user
ScopedRateThrottle	限制用户对于每个视图的访问频次，使用ip或user id	必须先在视图类中设定属性throttle_scope = 限制名

• 使用 ScopedRateThrottle示例：
  现在视图类中定义throttle_scope属性，则速率限定的字段为设置的属性。

class ContactDetailView(APIView):
    throttle_scope = 'contacts'
    ...

class UploadView(APIView):
    throttle_scope = 'uploads'
    ...

DEFAULT_THROTTLE_RATES使用上述定义的属性字段。

REST_FRAMEWORK = {
    'DEFAULT_THROTTLE_CLASSES': (
        'rest_framework.throttling.ScopedRateThrottle',
    ),
    'DEFAULT_THROTTLE_RATES': {
        'contacts': '1000/day',
        'uploads': '20/day'
    }
}

四、Filtering：过滤

对于列表数据可能需要根据字段进行过滤，我们可以通过添加django-fitlter扩展来增强支持。
使用Filtering可实现对请求url中？后的查询字符串参数进行解析和过滤。

1. 安装django-filter包

pip insall django-filter

2. 配置过滤器

在配置文件中添加：

# 注册应用
INSTALLED_APPS = [
    ...
    'django_filters',  
]


REST_FRAMEWORK = {
     'DEFAULT_FILTER_BACKENDS': (
        'django_filters.rest_framework.DjangoFilterBackend',
    ),
}

3. 指定过滤字段

需要注意的是，过滤功能只能在ListAPIView、ListModelMixin中使用，也就是说只能用在获取全部数据的操作中。
在类视图中添加filter_fields属性，指定可以过滤的字段

class BookListView(ListAPIView):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    filter_fields = ('btitle', 'bread')

请求URL路径示例：

127.0.0.1:8000/books/?btitle=天龙八部
# 返回所有图书中标题为"天龙八部"的数据

在该视图类中定义的filter_fields = ('btitle', 'bread')指过滤的字段指定为元祖中包括的两个字段，及前端访问的URL中，只匹配btitle、 bread两个查询字符串内容并返回。

五、OrderingFilter：排序过滤

OrderingFilter是带有排序功能的过滤器，和Filtering过滤器相同的是，它也只能在继承了ListAPIView或ListModelMixin的视图类中使用。
同时，在一个视图类中，Filtering与OrderingFilter只能二选一使用。

1. 配置过滤器
   在Filtering配置时已经完成配置文件配置。
2. 使用方法
   REST framework会在请求的查询字符串参数中检查是否包含了ordering参数，如果包含了ordering参数，则按照ordering参数指明的排序字段对数据集进行排序。

• ordering_fields包含内容为前端可以传递的ordering参数。
• ordering指定按该字段进行默认排序（当前端未传递ordering参数时）

class BookListView(ListAPIView):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    # filter_backends指定使用OrderingFilter还是Filtering，二者只能同时用其一
    filter_backends = [OrderingFilter]
    # 指定允许前端传递的查询字符串ording字段   
    ordering_fields = ('id', 'bread', 'bpub_date')
    # 指定默认的排序字段
    ordering = （"id"）

请求URL路径示例：

127.0.0.1:8000/books/?ordering=-bread
# 返回所有图书并按阅读量降序排序

还可指定多字段排序：

127.0.0.1:8000/books/?ordering=-bread，-bpub_data
# 先按阅读量降序排序，阅读量相同的则按发布时间降序排序。

六、Pagination：分页

（一）使用PageNumberPagination分页

1. 全局设置

REST_FRAMEWORK = {
    'DEFAULT_PAGINATION_CLASS':  'rest_framework.pagination.PageNumberPagination',
    'PAGE_SIZE': 100  # 每页数目
}

2. 局部设置
   通过继承并自定义PageNumberPagination类，为视图添加不同分页行为。

class LargeResultsSetPagination(PageNumberPagination):
    # 每页最大显示数量
    page_size = 1000
    # 指定前端查询第几页的关键字
    page_query_param = 'page'
    # 指定前端控制每页显示数量的关键字，默认为None不可控制
    page_size_query_param = 'page_size'
    # 每页最大显示数量限制，仅在设置了page_size_query_param时有效
    max_page_size = 10000

然后在类视图下通过pagination_class属性来指明该类视图下的分页设置。

class BookDetailView(ListAPIView):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    # 指明使用的pagination_class分页类
    pagination_class = LargeResultsSetPagination

若需在视图内关闭分页功能，只需如下设置：

pagination_class = None

3. PageNumberPagination类可定义属性

• page_size ：每页数目
• page_query_param ：前端发送的页数关键字名，默认为"page"
• page_size_query_param ：前端发送的每页数目关键字名，默认为None
• max_page_size ：前端最多能设置的每页数量

前端请求示例：请求第一页，每页显示数量为2。

127.0.0.1/books/?page=1&page_size=2

（二）使用LimitOffsetPagination分页

与PageNumberPagination基本相似

1. 全局设置

REST_FRAMEWORK = {
    'DEFAULT_PAGINATION_CLASS': 'rest_framework.pagination.LimitOffsetPagination',
    'PAGE_SIZE': 100  # 每页数目
}

2. 局部设置
   继承LimitOffsetPagination类并自定义分页规则,或直接导入该类使用其默认设置。

使用默认设置示例：

from rest_framework.pagination import LimitOffsetPagination

class BookListView(ListAPIView):
    queryset = BookInfo.objects.all().order_by('id')
    serializer_class = BookInfoSerializer
    pagination_class = LimitOffsetPagination

3. LimitOffsetPagination类可定义属性

• default_limit :默认限制值，默认值与PAGE_SIZE设置一致
• limit_query_param :limit参数名，默认'limit'
• offset_query_param :offset参数名，默认'offset'
• max_limit :最大limit限制，默认None

前端请求示例：查询偏移量3，限制长度为2的页面数据

127.0.0.1:8000/books/?offset=3&limit=2

自定义分页数据返回格式

在定义的分页器类中，重写get_paginated_response方法

class PageNum(PageNumberPagination):
    # 每页最大显示数量
    page_size = 20
    # 指定前端查询第几页的关键字
    page_query_param = 'page'
    # 指定前端控制每页显示数量的关键字，默认为None不可控制
    page_size_query_param = 'page_size'
    # 每页最大显示数量限制，仅在设置了page_size_query_param时有效
    max_page_size = 10000
    
#重写该方法，自定义返回结果格式
    def get_paginated_response(self,data):
        retrun Response({
            'count':XXX,
            'result':XXX,
            ......
        })