一、restful架构
1、restful概述
——REST即表述性状态传递(英文:Representational State Transfer,简称REST)是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。它是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性。
——目前在三种主流的Web服务实现方案中,因为REST模式的Web服务与复杂的SOAP和XML-RPC对比来讲明显的更加简洁,越来越多的web服务开始采用REST风格设计和实现。例如,Amazon.com提供接近REST风格的Web服务进行图书查找;雅虎提供的Web服务也是REST风格的
2、restful规范(10点)
~~1. 建议用https,更安全(非必须)
http://example.org/
https://example.org/ # 推荐,但需要购买安全证书
~~2. 体现是API
http://example.org/api/ # 推荐使用
http://api.example.org/ # 域名变了,可能存在跨域,需要做额外处理
跨域时,引发发送多次请求。解决跨域问题:
1.header("Access-Control-Allow-Origin:http://www.xxx.com") //这里即指定http://www.xxx.com 这个域可以请求它;
2.header("Access-Control-Allow-Origin:*") //这里即所有域都可以请求它;
~~3. 在url上体现版本,如:
https://v3.bootcss.com
https://example.org/api/v1/
~~4. 条件过滤,通过在url上传参的形式传递搜索条件
https://example.org/api/v1/order?page=1&size=10 --》指定第几页,以及每页的记录数
https://example.org/api/v1/order?sortby=name&order=asc --》指定返回结果按照哪个属性排序,以及排序顺序
~~5. 根据method不同,进行不同操作。常见method类型:
- GET(SELECT):从服务器取出资源(一项或多项)。
- POST(CREATE):在服务器新建一个资源。
- PUT(UPDATE):在服务器更新资源(客户端提供完整资源数据)。
- PATCH(UPDATE):在服务器更新资源(客户端提供需要修改的资源数据)。
- DELETE(DELETE):从服务器删除资源。
~~6. 面向资源编程
http://example.org/order
~~7. 响应式设置状态码
return HttpRespose('data', status=200)
200 OK - [GET]:服务器成功返回用户请求的数据,该操作是幂等的(Idempotent)。
201 CREATED - [POST/PUT/PATCH]:用户新建或修改数据成功。
202 Accepted - [*]:表示一个请求已经进入后台排队(异步任务)
204 NO CONTENT - [DELETE]:用户删除数据成功。
400 INVALID REQUEST - [POST/PUT/PATCH]:用户发出的请求有错误,服务器没有进行新建或修改数据的操作,该操作是幂等的。
401 Unauthorized - [*]:表示用户没有权限(令牌、用户名、密码错误)。
403 Forbidden - [*] 表示用户得到授权(与401错误相对),但是访问是被禁止的。
404 NOT FOUND - [*]:用户发出的请求针对的是不存在的记录,服务器没有进行操作,该操作是幂等的。
406 Not Acceptable - [GET]:用户请求的格式不可得(比如用户请求JSON格式,但是只有XML格式)。
410 Gone -[GET]:用户请求的资源被永久删除,且不会再得到的。
422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时,发生一个验证错误。
500 INTERNAL SERVER ERROR - [*]:服务器发生错误,用户将无法判断发出的请求是否成功。
~~8. 返回值(json格式)
https://example.org/api/v1/order
GET:返回资源对象的列表(数组)
[{'id': 1, 'title': 'aa'},{'id': 2, 'title': 'bb'},{'id': 3, 'title': 'cc'},]
POST:返回新生成的资源对象
{'id': 3, 'title': 'cc'}
https://example.org/api/v1/order/1/
GET:返回单个资源对象
{'id': 3, 'title': 'cc'}
PUT:返回完整的资源对象
{'id': 3, 'title': 'cc'}
PATCH:返回完整的资源对象
{'id': 3, 'title': 'cc'}
DELETE:返回一个空文档
~~9. 返回错误信息(状态码、错误详细),error当做key
{code: 10001, error: ''xxx错误'}
~~10. Hypermedia API
Hypermedia API,RESTful API最好做到Hypermedia,即返回结果中提供链接,连向其他API方法,使得用户不查文档,也知道下一步应该做什么。例如:
{"link": {
"rel": "collection https://www.example.com/order",
"href": "https://api.example.com/order",
"title": "List of order",
"type": "application/vnd.yourformat+json"
}}
3、OAuth认证机制
——OAuth是一个访问授权的开放标准,通常用作Internet用户授权网站或应用程序访问其他网站上的信息但不向他们提供密码的方式。亚马逊,谷歌,Facebook,微软和Twitter 等公司使用此机制允许用户与第三方应用程序或网站共享有关其帐户的信息。
——通常,OAuth代表资源所有者向客户端提供对服务器资源的“安全委托访问”。它指定资源所有者授权第三方访问其服务器资源而不共享其凭据的过程。OAuth 专门设计用于超文本传输协议(HTTP),实质上允许授权服务器在资源所有者的批准下向第三方客户端发出访问令牌。然后,第三方使用访问令牌访问资源服务器托管的受保护资源。正是由于OAuth的严谨性和安全性,现在OAuth已成为RESTful架构风格中最常用的认证机制,和RESTful架构风格一起,成为企业级服务的标配。
二、Django rest framework框架
安装rest framework:
pip install djangorestframework
或是使用豆瓣源:pip install djangorestframework -i http://pypi.douban.com/simple/ --trusted-host=pypi.douban.com
安装完之后需要在项目的配置文件的app里注册rest_framework
INSTALLED_APPS = (
...
'rest_framework',
)
1、Django生命周期:
① Django的生命周期是:
前端请求---->nginx---->uwsgi---->中间件---->路由系统---->视图---->ORM去数据库取数,拿到数据返回给视图---->视图将数据渲染到模版中(模板字符串)---->中间件---->uwsgi---->nginx---->前端渲染成实际网页页面。
② Django rest framework的生命周期是:
前端请求---->nginx---->uwsgi---->中间件---->版本解析and渲染器---->路由系统,执行CBV的as_view(),实质执行了其dispatch方法---->执行dispatch时,将request进行封装---->版本确认---->认证---->限流---->视图---->【如果视图使用缓存request.data或request.query_params时,解析器登场】---->视图取数进行序列化操作(对数据进行序列化或验证)---->视图将数据渲染到模版中(模板字符串),有分页需求就进行分页操作---->中间件---->uwsgi---->nginx---->前端渲染成实际网页页面。
【每次请求都会执行一次dispatch,或者说是由dispatch触发rest framework的功能】
局部避免crsf的方式
针对FBV:
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def foo(request):
return HttpResponse("foo")
针对CBV:
# 方式1 在类上方使用
@method_decorator(csrf_exempt,name="dispatch")
class IndexView(View):
# 方式2 在类的 dispatch 方法上使用 @csrf_exempt
@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs):
print("hello world")
# 执行父类的dispatch方法
res=super(IndexView,self).dispatch(request, *args, **kwargs)
print("hello boy")
return res
在url中配置:
from django.views.decorators.csrf import csrf_exempt
urlpatterns = [
url(r'^myview/$', csrf_exempt(views.MyView.as_view()), name='myview'),
]
2、Django rest framework源码分析
① Django rest framework简单流程
一个简单的api实例:
原理分析:
- rest_framework重写了一个APIView的类,这个类是之前django中的view类的派生类,在写CBV的视图函数是,让视图函数继承了rest_framework这个APIView类
- 在视图函数中写具体方法,例如get,port,put,delete,可以使用rest_framework的Response对返回数据进行渲染
- 在url的写法和Django是一样的
- 通过对http://127.0.0.1:8000/user/ 的访问,可以得到如图显示的数据
如果想要对全局进行配置,则需要配置文件setting.py中写入配置即可
② Django rest framework源码
- 首先我们访问http://127.0.0.1:8000/user/ 根据urls.py中的配置,执行views.UserView.as_view()函数
- as_view方法是被定义在rest_framework/views.py里面的一个静态方法,所以可以通过类名直接调用。
- 父类的as_view方法是定义在django/views/generic/base.py里面的View类中的方法。在这个方法中最终会执行cls.dispatch,在第一步中我们知道cls是<class 'api.views.UserView'>
- dispatch是定义在UserView继承的父类APIView(rest_framework/views.py)里面的方法。在这个方法里面,首先通过
request = self.initialize_request(request, *args, **kwargs)这条语句重新封装了request对象
- initialize_request是APIView类里面的一个方法,重新封装了request对象,增加了一些属性信息
- 认证信息。主要通过APIView类中的get_authenticators(rest_framework/views.py)方法获取,这个方法会返回一个所有认证对象的列表
在全局定义的authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
- 默认的认证配置信息是在rest_framework/settings.py文件中定义的
- 在rest_framework/authentication.py中定义了几种认证类型,一般情况我们需要自定义认证类,也可以使用django-oauth-toolkit组件进行认证。
- dispatch中的initialize_request方法执行完成之后,还有执行一个重要方法是self.initial(request, *args, **kwargs),这个方法也是APIView类里的。在这个方法里面初始化被重新封装的request对象
实现功能:
- 版本处理
- 用户认证
- 权限
- 访问频率限制(限流)
- 执行APIView里面的perform_authentication方法,该方法返回request.user,则会调用<rest_framework.request.Request object at 0x10e80eb70>里面的user方法。在user方法里面最终调用了Request类里面的_authenticate方法
- 执行rest_framework.request.Request类中的_authenticate方法,这个方法会遍历认证类,并根据认证结果给self.user, self.auth赋值。由于user,和auth都有property属性,所以给赋值的时候先在先执行setter方法
- dispatch中的initial方法执行完之后,会继续判断request.method并执行method相应的method。最后执行TestView中定义的get方法,返回数据
