◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
DRF框架如何对匿名用户进行限流?
ID:19727 / 打印
drf框架是如何对匿名用户进行限流的?
问题: drf框架提供限流功能以防止滥用,但是当用户未登录时,drf是如何对匿名用户进行限流的呢?
答案: drf通过ip地址对匿名用户进行限流。
源码中的这段代码展示了drf如何识别机器:
def get_ident(self, request): xff = request.META.get('HTTP_X_FORWARDED_FOR') remote_addr = request.META.get('REMOTE_ADDR') num_proxies = api_settings.NUM_PROXIES if num_proxies is not None: if num_proxies == 0 or xff is None: return remote_addr addrs = xff.split(',') client_addr = addrs[-min(num_proxies, len(addrs))] return client_addr.strip() return ''.join(xff.split()) if xff else remote_addr此函数检查 http_x_forwarded_for 标头,该标头包含来自代理客户端的原始 ip 地址。如果该标头不存在,它将回退到 remote_addr 标头,该标头包含客户端的直接 ip 地址。通过这样做,drf可以标识发出请求的特定机器,并对它们进行限流。
