专题六:限速截流
DRF提供一套限速截流的方法,通过设置访问的频率和次数来限制爬虫和异常请求行为,保护服务器。
限速截流配置分为两种,第一种是全局配置settings.REST_FRAMEWORK,第二种是针对每个视图函数进行设置。具体配置分为两个,一个是throttle_classes(节流的方式,对那些角色),另一个throttle_rate(节流的策略,限制频率) 。
简单的理解:是给谁限制(throttle_classes),怎么限制(throttle_rate),其中给谁设置,又分为全局设置(REST_FRAMEWORK),局部设置(throttle_classes)
通用限流
全局配置限流
在工程配置文件settings.py下配置限流角色和限流策略,示例代码如下:
#settings.py
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_CLASSES': [
'rest_framework.throttling.AnonRateThrottle', #限制匿名角色,通过ip进行辨识
'rest_framework.throttling.UserRateThrottle', #限制登录角色,通过用户id进行辨识
],
'DEFAULT_THROTTLE_RATES': {
'anon': '3/day', #限流策略,AnonRateThrottle对应anon,一天三次
'user': '5/day',#限流策略,UserRateThrottle对应user,一天三次
}
}
类视图限制
在类视图下配置限流角色,工程配置文件settings.py下配置限流策略,示例代码如下:
#views.py
from rest_framework.throttling import UserRateThrottle, AnonRateThrottle
class HostAPIView(views.APIView):
permission_classes = [IsAuthenticated]
authentication_classes = [JWTAuthentication]
throttle_classes = [UserRateThrottle] #设置限流角色,
def get(self, request, pk=None):
"""
pk!=None,查询单个;pk=None,获取所有
"""
if pk:
host = models.Host.objects.get(pk=pk)
serializer = serializers.HostSerializer(host)
return Response(serializer.data)
else:
host = models.Host.objects.all()
serializer = serializers.HostSerializer(host, many=True)
return Response(serializer.data)
#setttings.py
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_RATES': {
'anon': '3/day',
'user': '5/day'
}
}
节流类
节流类即节流对象,如上文提到的DRF默认提供AnonRateThrottle(匿名),UserRateThrottle(登录)两类,同时通过继承UserRateThrottle可以实现不同接口的频率设置;同时ScopedRateThrottle还提供scope策略实现节流(不依赖角色)
AnonRateThrottle
针对那些没有登录的用户进行节流。默认会根据REMOTE_ADDR,也就是用户的IP地址作为限制的标记。如果用户使用了透明代理(匿名代理没法追踪),那么在X-Forwarded-For中会保留所有的代理的IP。
UserRateThrottle:
根据用户的id来作为节流的标识。可以通过两种方式设置节流的策略。
在settings.REST_FRAMEWORK.DEFAULT_THROTTLE_RATES['user']设置。
自定义节流类,继承自UserRateThrottle,然后重写rate属性。
如果想要针对不同类型的用户实现不同策略的节流,我们可以通过继承UserRateThrottle类,然后设置scope属性,然后针对不同的scope设置不同的节流策略。比如针对管理员admin和普通用户normal,可以设置不同的策略。代码如下:
from rest_framework.throttling import UserRateThrottle, AnonRateThrottle
#自定义UserRateThrottle,scope为admin
class AdminRateThrottle(UserRateThrottle):
scope = "admin"
class HostAPIView(views.APIView):
permission_classes = [IsAuthenticated]
authentication_classes = [JWTAuthentication]
#限流方式注册
throttle_classes = [AdminRateThrottle]
def get(self, request, pk=None):
"""
pk!=None,查询单个;pk=None,获取所有
"""
if pk:
host = models.Host.objects.get(pk=pk)
serializer = serializers.HostSerializer(host)
return Response(serializer.data)
else:
host = models.Host.objects.all()
serializer = serializers.HostSerializer(host, many=True)
return Response(serializer.data)
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_RATES': {
'anon': '3/day',
'user': '5/day',
'admin': '7/day', # 自定义的scope
}
}
ScopeRateThrottle
这个就不管是登录用户,还是没有登录的用户。都是根据scope来实现节流策略的。这个就只需要在视图中,重写throttle_scope属性,指定具体的scope,然后在settings.py中进行设置。示例代码如下:
#views.py
class HostAPIView(views.APIView):
permission_classes = [IsAuthenticated]
authentication_classes = [JWTAuthentication]
# 定义类视图的throttle_scope属性
throttle_scope = "host"
def get(self, request, pk=None):
"""
pk!=None,查询单个;pk=None,获取所有
"""
if pk:
host = models.Host.objects.get(pk=pk)
serializer = serializers.HostSerializer(host)
return Response(serializer.data)
else:
host = models.Host.objects.all()
serializer = serializers.HostSerializer(host, many=True)
return Response(serializer.data)
#settings.py
REST_FRAMEWORK = {
'DEFAULT_THROTTLE_CLASSES':[
'rest_framework.throttling.ScopedRateThrottle'
],
'DEFAULT_THROTTLE_RATES': {
'host': '3/day', #对应scope
}
}
