在django rest framework (drf) 中,通过重写 `apiview` 的 `get_throttles` 方法,可以实现对特定 http 请求方法(如 post)应用限流,而对其他方法(如 get)豁免限流,从而提供更精细的 api 访问控制策略,满足不同业务场景的需求。
理解 DRF 中的请求限流机制
Django REST Framework 提供了强大的请求限流(Throttling)功能,用于限制用户或 IP 地址在特定时间段内的 API 访问频率,以防止滥用、保护服务器资源。通常,我们通过在 APIView 或视图集 (ViewSet) 中设置 throttle_classes 属性来应用限流策略。默认情况下,这些限流策略会应用于该视图处理的所有 HTTP 方法(如 GET、POST、PUT、DELETE 等)。
然而,在实际开发中,我们可能遇到需要对不同 HTTP 方法应用不同限流策略的场景。例如,一个 API 允许用户频繁地查询(GET 请求),但对创建资源(POST 请求)的操作需要进行严格的频率限制。在这种情况下,简单的类级别 throttle_classes 就无法满足需求。
实现特定 HTTP 方法的限流
为了实现对特定 HTTP 方法(例如仅对 POST 方法)进行限流,而对其他方法(例如 GET 方法)不进行限流,我们可以重写 APIView 中的 get_throttles 方法。get_throttles 方法负责返回一个限流器实例列表,这些限流器将应用于当前的请求。通过在这个方法中检查请求的 HTTP 方法,我们可以动态地决定应用哪些限流器。
示例代码
以下是如何修改 APIView 来实现仅对 POST 方法进行限流的示例:
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.throttling import UserRateThrottle # 假设已定义或导入用户级别限流器
from rest_framework import status
# 定义一个自定义的用户级别限流器,例如每分钟允许3次请求
# class CustomUserRateThrottle(UserRateThrottle):
# rate = '3/minute'
class SpecificMethodThrottleView(APIView):
# 在视图级别定义我们希望应用于POST请求的限流器
# 这里的UserRateThrottle将作为POST请求的潜在限流器
throttle_classes = [UserRateThrottle]
def get_throttles(self):
"""
根据请求方法动态调整应用的限流器。
此示例中,POST方法将应用throttle_classes中定义的限流器,
而GET方法将不应用任何限流器。
"""
if self.request.method == 'POST':
# 如果是POST请求,调用父类的get_throttles方法,
# 从而应用在throttle_classes中定义的限流器(例如UserRateThrottle)
return super().get_throttles()
else:
# 对于其他请求方法(如GET),返回一个空列表,表示不应用任何限流器
return []
def get(self, request, format=None):
"""
处理GET请求。此方法不受限流影响。
"""
content = {
'status': 'GET request was permitted without throttling',
'message': '您可以自由访问GET请求。'
}
return Response(content)
def post(self, request, format=None):
"""
处理POST请求。此方法将受到UserRateThrottle的限制。
"""
content = {
'status': 'POST request was permitted (subject to throttling)',
'message': '您的POST请求已处理。'
}
return Response(content, status=status.HTTP_201_CREATED)
代码解析
- throttle_classes = [UserRateThrottle]: 我们首先在 SpecificMethodThrottleView 类中定义了 throttle_classes。这里 UserRateThrottle 是我们希望应用于 POST 请求的限流器。
-
get_throttles(self) 方法重写:
- 当接收到一个请求时,DRF 会调用 get_throttles 方法来获取应用于当前请求的限流器列表。
- if self.request.method == 'POST':: 我们检查当前请求的 HTTP 方法。
- return super().get_throttles(): 如果请求是 POST 方法,我们调用父类 APIView 的 get_throttles 方法。父类的方法会根据 SpecificMethodThrottleView 中定义的 throttle_classes 返回相应的限流器实例(即 [UserRateThrottle()])。这样,POST 请求就会受到 UserRateThrottle 的限制。
- else: return []: 如果请求是 GET 方法(或其他非 POST 方法),我们直接返回一个空列表 []。这意味着对于这些方法,不会应用任何限流器,请求将直接通过限流检查。
注意事项与扩展
- 灵活性: 这种方法非常灵活。你可以根据 self.request.method 返回不同的限流器列表,从而为每个 HTTP 方法应用不同的限流策略,甚至不应用任何限流。
- 多重限流: 如果你需要对某个方法应用多个限流器,只需在 throttle_classes 中定义多个限流器,并在 get_throttles 中根据需要返回 super().get_throttles()。
- 自定义限流器: 你可以创建自己的自定义限流器类,并在 throttle_classes 中使用它们,以实现更复杂的限流逻辑。
- 全局限流与视图级限流: get_throttles 方法的优先级高于 DEFAULT_THROTTLE_CLASSES 配置项。它允许你对视图进行更细粒度的控制。
总结
通过重写 Django REST Framework APIView 的 get_throttles 方法,开发者可以精确控制哪些 HTTP 方法需要应用限流,以及应用何种限流策略。这种方式提供了极大的灵活性,使得 API 设计者能够根据不同操作的资源消耗和业务重要性,制定出更合理、更健壮的访问控制方案,从而优化 API 的性能和安全性。
