Django REST Framework之頻率限制
- 2019 年 10 月 3 日
- 筆記
開放平台的API介面調用需要限制其頻率,以節約伺服器資源和避免惡意的頻繁調用
使用
自定義頻率限制組件:utils/thottle.py
class MyThrottle(BaseThrottle): def __init__(self): self.history = None def allow_request(self, request, view): # 實現限流的邏輯 # 以IP限流 # 訪問列表 {IP: [time1, time2, time3]} # 1, 獲取請求的IP地址 ip = request.META.get("REMOTE_ADDR") # 2,判斷IP地址是否在訪問列表 now = time.time() if ip not in VISIT_RECORD: # --1, 不在 需要給訪問列表添加key,value VISIT_RECORD[ip] = [now,] return True # --2 在 需要把這個IP的訪問記錄 把當前時間加入到列表 history = VISIT_RECORD[ip] history.insert(0, now) # 3, 確保列表裡最新訪問時間以及最老的訪問時間差 是1分鐘 while history and history[0] - history[-1] > 60: history.pop() self.history = history # 4,得到列表長度,判斷是否是允許的次數 if len(history) > 3: return False else: return True def wait(self): # 返回需要再等多久才能訪問 time = 60 - (self.history[0] - self.history[-1]) return time
views.py
class TestThrottle(APIView): throttle_classes = [MyThrottle, ] def get(self, request, *args, **kwargs): pass
- allow_request() 方法內定義頻率控制的實現
- wait() 方法的返回值代表了距離下次允許訪問還剩多久,單位:秒
全局使用
同樣,需要配置setttings文件
REST_FRAMEWORK = { "DEFAULT_PERMISSION_CLASSES": [] # 默認的許可權類 }
使用REST Framework提供的頻率控制組件
DRF提供了四種頻率控制組件:
SimpleRateThrottle AnonRateThrottle UserRateThrottle ScopedRateThrottle
以SimpleRateThrottle為例:
settings.py
REST_FRAMEWORK = { 'DEFAULT_THROTTLE_CLASSES':['api.utils.mythrottle.UserThrottle',] 'DEFAULT_THROTTLE_RATES': { '未認證用戶': '10/m', '已認證用戶': '100/h', }, }
utils.thorttle.py
from rest_framework.views import APIView from rest_framework.response import Response from rest_framework import exceptions from rest_framework.throttling import SimpleRateThrottle class VisitThrottle(SimpleRateThrottle): scope = "未認證用戶" def get_cache_key(self, request, view): return self.get_ident(request) class UserThrottle(SimpleRateThrottle): scope = "已認證用戶" def get_cache_key(self, request, view): return request.user # 認證通過後,認證方法authenticate的返回值之一
views.py
class TestThrottle(APIView):<br> # 這樣設置後,節流功能就會使用VisitThrottle類,而不會使用UserThrottle類 throttle_classes = [VisitThrottle,] def get(self, request, *args, **kwargs):
這裡使用的節流類是繼承了SimplePateThrottle類,而這個類利用了django內置的快取來存儲訪問記錄。通過全局節流設置,所有的視圖類默認是使用UserThrottle類進行節流,如果不想使用默認的類就自定義給throttle_classes屬性變數賦值,如:“throttle_classes = [VisitThrottle,]”。
源碼分析
1.為什麼會使用“scope”屬性變數,它有什麼用?
由內置介面程式碼基本結構中可以看到,視圖類TestThrottle繼承了SimpleRateThrottle類,跳轉到這個類中,就可以看到scope屬性變數。
由“THROTTLE_RATES[self.scope]”知,scope一定是一個key值,而THROTTLE_RATES不就是在配置文件中所設置的變數嗎?所以說scope代表的就是“未認證用戶”和“已認證用戶”這兩個key值,而這兩個key值代表的就是不同的節流方案。返回值就這這兩個key值所對應的value值,具體是哪一個,那就看視圖類TestTrottle中對scope屬性變數的值是什麼了,如果這個scope值不存在,就會拋出異常。
2.為什麼會使用“get_cache_key”方法?該方法的返回值是什麼?
在分析get_cache_key方法前,先分析一下SimpleRateThrottle類:
cache = default_cache 它表示的就是存儲用戶訪問記錄的快取,而這個快取正是django默認的快取。
get_rate 方法,前面已經說過了,是用來獲取節流方式的。
parse_rate方法,解析節流方式
allow_request方法,就是跟在自定義節流方法一樣,是實現節流演算法的。之所以會用內置節流方法,就是因為在這裡,已經實現了節流演算法。
wait方法,就是跟在自定義節流類中的wait方法一樣,返回提示用戶還有多長時間就可以再次訪問了。
通過初始化方法,獲取並解析好要使用的節流方式,供allow_request方法使用。
通過調用check_throttles方法,來調用allow_request方法,由上面關於allow_request截圖來看,要完成它的功能,就必須通過get_cache_key方法獲取到當前用戶的唯一標識,所以get_cache_key應該返回唯一標識。
get_cache_key 方法,這就是在視圖類TestThrottle中重寫的方法。由上圖可知,該方法是必須重寫的,不然就會拋出異常。
3.為什麼會使用“throttle_classes”屬性變數,它有什麼用?
通過查看dispatch方法中的intial方法可以看到調用的節流方法“check_throttles”。
這個for循環返回的一定是一個列表,類似於認證和授權的源碼,那麼這個列表一定是保存節流類的列表。
get_throttles方法返回的是一個列表生成式,而這裡的throttle_classes就是在視圖類TestThrottle中使用的,該變數就保存節流類對象。
4.“DEAFULT_THROTTLE_CLASSES”從哪裡來?有什麼用?
通過throttle_classes屬性變數,跳轉到該圖,可以看到配置文件中說的“DEFAULT_THROTTLE_CLASSES”,它是用來通過配置文件settings來對全局節流類進行配置,功能等價於throttle_classes屬性變數
5.“DEAFULT_THROTTLE_RATES”從哪裡來?有什麼用?
由SimpleRateThrottle類和上文對scope屬性變數的分析可知,THROTTLE_RATES就是為了存儲在配置文件中設置的不同的節流方法的。
綜上所述,可以看出,在利用內置節流介面時,通過配置文件settings的設置和提供該介面所需的用戶唯一標識外,不需要我們做再多的操作,這就形成了我們上文寫的內置介面程式碼基本結構的樣式。
