前言

用户验证用户权限，根据不同访问权限控制对不同内容的访问。

建议了解视图、token验证的内容。

使用流程

1. 自定义访问权限类，继承BasePermission，重写has_permission()方法，如果权限通过，就返回True，不通过就返回False。has_permission()方法接受两个参数，分别是request和view，也就是视图类的实例化本身。

2. 配置。

局部配置：

全局配置：

示例

源码分析

进入dispatch函数，查看initial方法（执行三大验证）中的check_permissions方法：

self.check_permissions(request)将会根据request中的用户内容进行权限控制。

由上可知，permission_classes要么读取配置文件中的DEFAULT_PERMISSION_CLASSES（全局），要么就在视图类中直接对permission_classes赋值（局部）。

节流限制

前言

控制网站访问频率。

使用流程

1. 自定义限制类，继承BaseThrottle。
2. 指定从配置文件中要读取的scope（key），形式为scope="key"

全局配置：

局部配置：

就比如UserRateThrottle，继承了SimpleRateThrottle，指定了它所限制的scope，重写了get_cache_key方法。

源码分析

在APIView的initial方法中，三大验证还剩下最后一个没有分析，那就是访问频率验证，如下图：

接下来让我们查看check_throttles，可以看到，验证访问频率的时候，调用的方法为频率验证类的allow_request方法。

其中get_throttles用的还是老套路：

示例

自定义一个频率限制类：

注意：官方内置的 SimpleRateThrottle 类中对scope的处理值得一看。

__EOF__