Django-Rest-Framework 教程: 4. 验证和权限

最新推荐文章于 2022-07-06 14:14:19 发布
最新推荐文章于 2022-07-06 14:14:19 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: django rest framework
作者: Desmond Chen, 发布日期: 2014-06-01, 修改日期: 2014-06-02

到目前为止, 我们的API并未指明哪些人有权限编辑或删除snippet, 接下来我们要实现:

  • 为snippet增加创建者
  • 特定用户才能创建snippet
  • snippet创建者才能更新或删除该snippet
  • 未授权用户只能查看

1. 为snippet model增加field

我们现为snippet model增加两个field, 一个用于储存创建者信息, 另一个则用作储存高亮HTML信息:

    # snippets/models.py
    from django.db import models
    from pygments.lexers import get_all_lexers
    from pygments.styles import get_all_styles

    LEXERS = [item for item in get_all_lexers() if item[1]]
    LANGUAGE_CHOICES = sorted([(item[1][0], item[0]) for item in LEXERS])
    STYLE_CHOICES = sorted((item, item) for item in get_all_styles())


    class Snippet(models.Model):
        created = models.DateTimeField(auto_now_add=True)
        title = models.CharField(max_length=100, blank=True, default='')
        code = models.TextField()
        linenos = models.BooleanField(default=False)
        language = models.CharField(choices=LANGUAGE_CHOICES,
                                    default='python',
                                    max_length=100)
        style = models.CharField(choices=STYLE_CHOICES,
                                 default='friendly',
                                 max_length=100)
        owner = models.ForeignKey('auth.User', related_name='snippets')
        highlighted = models.TextField()

        class Meta:
            ordering = ('created',)

当执行save()时, 我们使用pygments生成高亮后的HTML:

    # snippets/models.py
    from pygments.lexers import get_lexer_by_name
    from pygments.formatters.html import HtmlFormatter
    from pygments import highlight

    class Snippet(models.Model):

        ...

        def save(self, *args, **kwargs):
            """
            使用pygments创建高亮的HTML文本
            """
            lexer = get_lexer_by_name(self.language)
            linenos = self.linenos and 'table' or False
            options = self.title and {'title': self.title} or {}
            formatter = HtmlFormatter(style=self.style, linenos=linenos,
                                      full=True, **options)
            self.highlighted = highlight(self.code, lexer, formatter)
            super(Snippet, self).save(*args, **kwargs)

修改完毕之后我们删除原来的数据库, 然后重新创建数据库:

    python ./manage.py syncdb

你可能需要再创建几个用户, 可以通过以下命令创建:

    python ./manage.py createsuperuser

2. 为User model增加endpoints

在serializer.py中增加UserSerializer:

    # snippets/serializers.py
    from django.contrib.auth.models import User

    class UserSerializer(serializers.ModelSerializer):
        snippets = serializers.PrimaryKeyRelatedField(many=True)

        class Meta:
            model = User
            fields = ('id', 'username', 'snippets')

由于"snippets"是User的一个反向关系, 因此我们需要用field明确指明.

我们只需要为user model添加只读的API, 因此使用ListAPIView和RetrieveAPIView即可:

    # snippets/views.py
    from django.contrib.auth.models import User
    from snippets.serializers import UserSerializer


    class UserList(generics.ListAPIView):
        queryset = User.objects.all()
        serializer_class = UserSerializer


    class UserDetail(generics.RetrieveAPIView):
        queryset = User.objects.all()
        serializer_class = UserSerializer

最后修改urls.py, 添加users:

    url(r'^users/$', views.UserList.as_view()),
    url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

3. 关联user和snippet

如果现在我们通过API创建snippet, 我们无法将创建者将其关联起来. 因为创建者信息并不是以serialized数据传进来的, 而是通过request获取的.

我们的解决方法是重写SnippetList和SnippetDetail view的pre_save()方法. 该方法允许我们处理request或request URL中的任何信息.

    # snippets/views.py
    class SnippetList(APIView):

        ...

        def pre_save(self, obj):
            obj.owner = self.request.user


    class SnippetDetail(APIView):

        ...

        def pre_save(self, obj):
            obj.owner = self.request.user

4. 更新 serializer

现在snippet已经与创建者关联, 接下来我们修改serializer来反映该变化:

# snippets/serializers.py
class SnippetSerializer(serializers.ModelSerializer):
    owner = serializers.Field(source='owner.username')

    class Meta:
        model = Snippet
        fields = ('id', 'title', 'code', 'linenos', 'language', 'style', 'owner')

ower field十分有趣, source参数控制着使用snippet哪个attribute作为来源填充该field, 并且能使用"."语法.

Field类, 相对于其他field类(CharField, BooleanField等), 是只读field. 它能用作呈现序列化的数据, 但不会在凡序列化时被用做更新数据.

5. 添加权限

到此为止, snippet已经与user关联了. 接下来我们实现只有授权用户才能创建, 更新和删除snippet.

Django REST Framework为我们提供了许多permission类. 在此, 我们使用IsAuthenticatedOrReadOnly, 它能保证只有授权用户才有读写权限, 而一般用户只有读得权限:

    # snippets/views.py
    from rest_framework import permissions
    class SnippetList(APIView):

        ...

        permission_classes = (permissions.IsAuthenticatedOrReadOnly,)


    class SnippetDetail(APIView):

        ...

        permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

6. 增加可浏览的授权API

在tutorial/urls.py中:

    # 在tutorial/urls.py

    urlpatterns = patterns('',
                       ...
    )

    urlpatterns += patterns('',
        url(r'^api-auth/', include('rest_framework.urls',
                                   namespace='rest_framework')),
    )

r'^api-auth/'可以是你能想得到的所有pattern. 到此你可以使用/api-auth/进行登录了. 登录成功之后你才能创建snippet.

添加好snippet之后, 在浏览/users/ endpoint, 你可以发现每个用户下都有对应的snippet的pk.

7. 添加对象权限

接下来, 我们实现只有snippet的创建者才能更新, 编辑或删除snippet, 创建snippets/permissions.py:

    # snippets/permissions.py
    from rest_framework import permissions


    class IsOwnerOrReadOnly(permissions.BasePermission):
        """
        允许创建者编辑的自定义权限
        """

        def has_object_permission(self, request, view, obj):
            # 任何request都有只读权限, 所以总是允许GET, HEAD 或 OPTIONS
            if request.method in permissions.SAFE_METHODS:
                return True

            # 只有snippet的创建者有写的权限
            return obj.owner == request.user

修改SnippetDetail view:

    # snippets/views.py
    from snippets.permissions import IsOwnerOrReadOnly


    class SnippetDetail(APIView):

        ...

        permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

8. 使用API授权

目前为止, 我们没有设置 authentication classes, 因此 authentication classes 还是默认的SessionAuthentication和BasicAuthentication.

当我们使用浏览器时, 我们可以通过浏览器登录并使用session授权接下来的request.

但当我们使用程序调用API时, 我们必须为每次request提供授权信息:

    curl -X POST http://127.0.0.1:8000/snippets/ -d "code=print 789" -u tom:password

    {"id": 5, "owner": "tom", "title": "foo", "code": "print 789", "linenos": false, "language": "python", "style": "friendly"}
sunmantan007
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django-Vue-Extend:基于 django2.x + vue2.x 的集成项目
05-04
vue2.x 的 集成项目技术栈后端框架:基于 Django 2.X + django-rest-framework前端框架:基于 Vue 2.X + Element UI数据模型:基于 PyMySQL 存储授权验证:基于 JWT内置功能:个人中心、用户管理、权限管理、审批流&...
drf之day11: 排序源码分析,基于jwt的认证类,RBAC的介绍,ACL、RBAC、ABAC(PBAC,CBAC)权限控制的介绍,casbin的入门使用,后台管理simplui的介绍和使用
Yydsaoligei的博客
10-13 526
排序源码分析,基于jwt的认证类,RBAC的介绍,ACL、RBAC、ABAC(PBAC,CBAC)权限控制的介绍,casbin的入门使用,后台管理simplui的介绍和使用
Django REST framework ——序列化
_Tsun 的博客
11-26 342
Django REST framework教程——序列化 创建项目 # python项目的虚拟环境 略 # 安装我们所需的包 pip install django pip install djangorestframework pip install pygments # 高亮显示代码 # 开始创建django项目 django-admin startproject tutorial # p...
十一、Django REST framework自定义使用RBAC权限
光明小学王小雨的博客
01-04 2609
参考,主要参考第一个链接的,然后根据自己的场景做了些改动 drf_admin(权限RBAC)后台管理系统(RBAC权限篇) Django实战【六】—权限管理系统rbac组件实现 CRM【第一篇】: 权限组件之权限控制 一、流程 根据需求,创建不同角色,例如:admin、visitor 依据角色,给不同的角色分配不同的权限 根据用户的岗位及职责分配角色,使不同用户具有不同的权限 用户请求后端接口时,验证用户权限,通过则放行,否则返回403 操作数据库 二、数据库表设计 Users用户表 Roles
基于Django REST framework的 接口级别权限 角色访问控制 (使用RBAC7表 / 可自动生成权限数据 / 可自动进行权限校验)
WRhan的博客
03-17 5511
drfRBAC 基于Django REST framework的 接口级别 角色访问控制 django-rest-framework RBAC 角色访问控制 接口级别权限 自动权限类生成 自动权限表数据生成 自动权限校验 只需着重于权限的分配
Django REST Framework----认证及权限
hrj199036的博客
07-06 591
认证只是验证用户身份信息、权限是可不可以访问。所有认证与权限要一起使用才起作用。 认证与权限的运行逻辑是先找局部、再找配置、最后找默认配置。
django-RESTfulAPI:基于Django 3.x的RESTfulAPI样式的项目模板,用于快速构建企业级高性能的服务端
02-04
基于django 3.X + django-rest-framework数据模型:基于MySQLClient存储,测试也可使用内置sqlite3授权验证:基于JWT内置功能:代码生成,文件处理,用户系统,异常处理,初始化处理,全文检索,动态权限,...
django-restful教程.pdf
03-21
django-restframework中文教程,教程很详细,包含快速入门;序列化;序列化高级;序列化验证;请求和响应;类视图;认证和权限;使用jwt进行认证;限制频率;版本控制;分页;解析器;视图集和路由器;API文档等。
django-restful-admin:Django admin restful api
02-05
Django的管理员公开为RESTFUL服务 支持所有静态API 自动生成序列化器 使用 完全定制支持 使用Django Rest Framework ViewSet作为AdminModels 支持默认的Django身份验证权限 通过简单的配置即可支持Django自定义...
drf-firebase-auth:Firebase后端接收用户idToken并通过Django REST Framework'authentication.BaseAuthentication'进行身份验证。 (可选)可以在此过程中创建一个新的本地用户
05-23
请注意,如果您想为本地创建的用户保留对可浏览API的访问权限,那么您可能还希望保留rest_framework.authentication.SessionAuthentication 。 REST_FRAMEWORK = { ... ' DEFAULT_AUTHENTICATION_CLASSES ': [ ...
solf:Solf-卫生在线预订系统
04-03
身份验证(JWT,社交登录) 授权(权限类) 仪表盘分析 预订(设计模型) 文件/图像处理(生成缩略图) 确定管理员主题(JET) 实现序列化器,端点 为消息代理实现Redis缓存 实施芹菜,花 Devops(Docker...
Python-基于djangorestframeworkjwt的统一认证系统
08-11
基于 django rest framework jwt 的统一认证系统
Python编程实战课程:从小白到熟练掌握技能 五阶段 DRF框架第4天
03-25
DRF(Django Rest Framework)是一个基于Django的API开发框架,它可以让我们更容易地构建和维护RESTful API。 以下是一些基本的概念和步骤: 安装 DRF: 可以通过 pip install djangorestframework 命令进行安装 ...
yamdb_final:yamdb_final
03-06
技术堆栈:Python3,Django Rest Framework,HTTP,HTTPS,PostgreSQL,Gunicorn,Nginx,Linux,Docker,Postman,Visual Studio Code,Yandex Cloud,GitHubActions。 入门 您可以按以下步骤构建它: cd ......
Python编程实战课程:从小白到熟练掌握技能 五阶段 DRF框架第10天
03-25
DRF(Django Rest Framework)是一个基于Django的API开发框架,它可以让我们更容易地构建和维护RESTful API。 以下是一些基本的概念和步骤: 安装 DRF: 可以通过 pip install djangorestframework 命令进行安装 ...
Rest framework 学习(1)序列化
Good_Luck_Kevin2018的博客
07-01 221
序列化定义 将一种对象的状态信息装换成可以存储或者可以传输形式的过程。比如将模型类转换成JSON数据,整个过程将序列化(序列化和反序列化执行的过程相似的,也就是可以封装代码) 创建新的APP python manage.py startapp snippets 配置app # 配置 INSTALLED_APPS = ( ... 'rest_framework', ...
Django REST Framework教程(5): 认证(Authentication)与权限(Permission)初识
大江狗
10-17 2666
在前面教程中我们以博客为例,使用DRF开发了博客文章列表资源和单篇文章资源这两个API,支持客户端以各种请求方式对文章资源进行增删查改。然而目前的 API 对谁可以新建、编辑或删除文章资...
05 rest-framework之用户认证和权限管理
FireinDarKK的博客
11-07 1400
目的 数据库中字段的on update 和 on delete参数 删除原数据库和迁移记录 添加用户控制入口 设置断点 更新serializer 为我们的视图函数添加权限认证 添加登录窗口urlrest_framework自带 用户权限内等级管理 用户认证 1. 目的 实例对象始终与创建者相关联 只有通过身份验证的用户可以创建实例 只有对象的创建者能够更新和删除该对象 未认证用户应该只有只读权限 2
Django restframework 权限管理
江玉郎
04-13 1814
昨天我们写了如何通过认证管理,来实现登录后才可以访问的某些视图,并且可以有多种认证方式。今天主要讲一下权限的管理,实现不同的权限可以访问不同的视图。 首先,跟昨天一样,建表,并模拟加入三个不同的用户 2. 编写视图函数(和昨天的是一样的) 3. 配置路由 4. 进行权限验证,user_type 就是我们刚开始建立数据库时,建立的字段。通过查看BasePermission 方法,可以看到定义...
Django-rest-framework用户注册与登录
最新发布
05-24
Django-rest-framework是一个用于构建Web API的强大框架,它提供了许多有用的工具和库,可以帮助我们轻松地构建出一个安全可靠的用户注册和登录系统。 下面是一个简单的Django-rest-framework用户注册与登录的实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值