在讲解源码之前,先介绍一下 APIView和django中的View有什么不同
- APIView是REST framework提供的所有视图的基类,继承自Django的View父类。
APIView与View的不同之处在于:
- 传入到视图方法中的是REST framework的Request对象,而不是Django的HttpRequeset对象;REST framework 提供了Parser解析器,在接收到请求后会自动根据Content-Type指明的请求数据类型(如JSON、表单等)将请求数据进行parse解析,解析为类字典对象保存到Request对象中;
- 视图方法可以返回REST framework的Response对象,视图会为响应数据设置(render)符合前端要求的格式;
- 任何APIException异常都会被捕获到,并且处理成合适的响应信息;
在进行dispatch()分发前,会对请求进行身份认证、权限检查、流量控制。
好的,关于用户认证的源代码分析,我们现在从`dispatch()`这个函数开始分析:
def dispatch(self, request, *args, **kwargs):
"""
`.dispatch()` is pretty much the same as Django's regular dispatch,
but with extra hooks for startup, finalize, and exception handling.
"""
self.args = args
self.kwargs = kwargs
---> request = self.initialize_request(request, *args, **kwargs)
self.request = request
self.headers = self.default_response_headers # deprecate?
try:
---> self.initial(request, *args, **kwargs)
# Get the appropriate handler method
if request.method.lower() in self.http_method_names:
handler = getattr(self, request.method.lower(),
self.http_method_not_allowed)
else:
handler = self.http_method_not_allowed
response = handler(request, *args, **kwargs)
except Exception as exc:
response = self.handle_exception(exc)
self.response = self.finalize_response(request, response, *args, **kwargs)
return self.response
这个函数首先是给了我们一个注释:
.dispatch()`与Django的常规调度几乎相同,
但有额外的钩子,用于启动,结束和异常的处理
在dispatch类方法中,在request执行get\post\put\delete\等方法时候,会先对request请求进行用户验证,也就是如下2行代码:
1:request = self.initialize_request(request, *args, **kwargs)
2:self.initial(request, *args, **kwargs)
request = self.initialize_request(request, *args, **kwargs)
关于第一行代码initialize_request
,从字面意思来看,就是对请求来的request,进行再次初始化封装,得到初始化后request,那就看看是如何进行初始化的:
def initialize_request(self, request, *args, **kwargs):
"""
Returns the initial request object.
"""
parser_context = self.get_parser_context(request)
return Request(
request,
parsers=self.get_parsers(),
authenticators=self.get_authenticators(),
negotiator=self.get_content_negotiator(),
parser_context=parser_context
)
嗯,这个函数里面的注释是验证了刚才的说法,这个是用来初始化请求对象的:
先分析这一段代码parser_context = self.get_parser_context(request)
,我们可以通过这个函数的返回值看到,它是返回的一个字典类型的数据
def get_parser_context(self, http_request):
"""
Returns a dict that is passed through to Parser.parse(),
as the `parser_context` keyword argument.
"""
# Note: Additionally `request` and `encoding` will also be added
# to the context by the Request object.
return {
'view': self,
'args': getattr(self, 'args', ()),
'kwargs': getattr(self, 'kwargs', {})
}
在进行字典格式转换之后,initialize_request
方法最终返回一个django自己封装的Request:
return Request(
request,
parsers=self.get_parsers(),
authenticators=self.get_authenticators(),
negotiator=self.get_content_negotiator(),
parser_context=parser_context
)
来细看一下它这个Request在返回的时候,做了哪些事情:
1:parsers=self.get_parsers()
是获取解析器(用来解析通过get_parser_context构造的字典数据的)
2:parser_context=parser_context是构造好的原生request封装的字典格式数据
3:negotiator=self.get_content_negotiator()
一个内容协商类,它决定如何为响应选择一个呈现器,给定一个传入请求 ;
4:authenticators=self.get_authenticators()
是获取 [auth() for auth in self.authentication_classes]
认证列表,里面是存放的一个个认证类对象;
get_authenticators方法如下,最后跟代码定位到如下键值对
我们可以先看一下父类BaseAuthentication
的代码,如下,里面有2个方法,也就是进行认证,我们可以利用此来扩充校验认证规则
get_authenticators
方法就是去遍历继承类SessionAuthentication、BasicAuthentication的子类的列表,里面是一个一个子类对象,因为在列表推导是中[auth() for auth in self.authentication_classes]
通过auth()获取类的实例对象;(其实这里面还有关于局部配置和全局配置,简单理解就是:单纯在某个类视图里面的配置,还是在settings.py中配置的,下一次会有进一步说明,get_authenticators会从自身找寻,查询不到,在去全局配置中查找)。
好的request = self.initialize_request(request, *args, **kwargs)
在此告一段落,现在开始说self.initial(request, *args, **kwargs)
self.initial(request, *args, **kwargs)
def initial(self, request, *args, **kwargs):
"""
Runs anything that needs to occur prior to calling the method handler.
"""
self.format_kwarg = self.get_format_suffix(**kwargs)
# Perform content negotiation and store the accepted info on the request
neg = self.perform_content_negotiation(request)
request.accepted_renderer, request.accepted_media_type = neg
# Determine the API version, if versioning is in use.
version, scheme = self.determine_version(request, *args, **kwargs)
request.version, request.versioning_scheme = version, scheme
# Ensure that the incoming request is permitted
self.perform_authentication(request)
self.check_permissions(request)
self.check_throttles(request)
这个注释挺好玩的:
在调用方法处理程序之前运行需要发生的任何事情。
我们来着重看一下我们需要了解的信息,也就是最后三段代码的用户认证、权限认证、访问频率控制(本篇不做说明):
1.self.perform_authentication(request) 认证
哈哈,真是惊讶,就一段代码 request.user
, 其实看到这里,我们应该知道,这个user肯定是被@property装饰过的,不然是不可能被直接调用而且不加任何括号;可以在DRF中找一下这个Request中带有@property的user:
@property
def user(self):
"""
Returns the user associated with the current request, as authenticated
by the authentication classes provided to the request.
"""
#判断当前类中是否有已经认证过的user
if not hasattr(self, '_user'):
#没有认证则去认证
self._authenticate()
#认证过了直接返回
return self._user
没有认证的话,就需要调用Request类中的_authenticate()方法进行认证
def _authenticate(self):
"""
Attempt to authenticate the request using each authentication instance
in turn.
"""
#遍历request对象中封装的Authentication对象
for authenticator in self.authenticators:
try:
#调用Authentication对象中的authenticate方法,必须要有这个方法不然抛出异常
#当然Authentication类一般有我们自己定义,实现这个方法就可以了
user_auth_tuple = authenticator.authenticate(self)
except exceptions.APIException:
self._not_authenticated()
raise
if user_auth_tuple is not None:
self._authenticator = authenticator
self.user, self.auth = user_auth_tuple
return
self._not_authenticated()
2. self.check_permissions(request) 权限
#检查权限
def check_permissions(self, request):
"""
Check if the request should be permitted.
Raises an appropriate exception if the request is not permitted.
"""
#self.get_permissions()得到的是一个权限对象列表
for permission in self.get_permissions():
#在自定义的Permission中has_permission方法是必须要有的
#判断当前has_permission返回的是True,False,还是抛出异常
#如果是True则表示权限通过,False执行下面代码
if not permission.has_permission(request, self):
#为False的话则抛出异常,当然这个异常返回的提示信息是英文的,如果我们想让他显示我们自定义的提示信息
#我们重写permission_denied方法即可
self.permission_denied(
#从自定义的Permission类中获取message(权限错误提示信息),一般自定义的话都建议写上,如果没有则为默认的(英文提示)
request, message=getattr(permission, 'message', None)
)
#self.get_permissions()得到的是一个权限对象列表,如下图
如果has_permission位False执行下面的代码
def permission_denied(self, request, message=None):
"""
If request is not permitted, determine what kind of exception to raise.
"""
if request.authenticators and not request.successful_authenticator:
#没有登录提示的错误信息
raise exceptions.NotAuthenticated()
#一般是登陆了但是没有权限提示
raise exceptions.PermissionDenied(detail=message)