4 - Authentication and permissions

最新推荐文章于 2020-06-23 09:55:17 发布
最新推荐文章于 2020-06-23 09:55:17 发布
阅读量226 收藏
点赞数
分类专栏: Django REST framework 中文翻译(全) 文章标签: Django REST framework

教程 4:身份验证和权限

目前我们的 API 对谁可以编辑或删除 snippet 代码没有任何限制。我们希望有一些更高级的行为来确保:

  • snippets 代码始终与创建者相关联。
  • 只有经过身份验证的用户可以创建 snippets。
  • 只有 snippets 的创建者可以更新或删除它。
  • 未经身份验证的请求应具有完全只读访问权限。

将信息添加到我们的模型

我们将对 Snippet 模型类进行一些更改。首先,我们添加几个字段。其中一个字段将用于表示创建 snippet 代码的用户。另一个字段将用于存储高亮显示的 HTML 内容表示的代码。

将以下两个字段添加到 models.py 文件中的 Snippet 模型中。

class Snippet(models.Model):
    created = models.DateTimeField(auto_now_add=True)
    title = models.CharField(max_length=100, blank=True, default='')
    code = models.TextField()
    linenos = models.BooleanField(default=False)  # 是否显示行号
    language = models.CharField(choices=LANGUAGE_CHOICES, default='python', max_length=100)
    style = models.CharField(choices=STYLE_CHOICES, default='friendly', max_length=100)
    owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
    highlighted = models.TextField()

我们还需要确保在保存模型时,使用 pygments 代码高亮库填充 highlighted 字段。

我们需要导入额外的模块:

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

现在我们可以在我们的模型类中添加一个 .save() 方法:

def save(self, *args, **kwargs):
    """
    使用 pygments 库创建一个高亮显示的 HTML 表示的 snippet 代码。
    """
    lexer = get_lexer_by_name(self.language)
    linenos = 'table' if self.linenos else False
    options = {'title': self.title} if self.title else {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos, full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super(Snippet, self).save(*args, **kwargs)

完成这些工作后,我们需要更新我们的数据库表。通常这种情况我们会创建一个数据库迁移来实现这一点,但作为教程的目的,让我们删除数据库并重新开始。

rm -f db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate

您可能还想创建几个不同的用户,以用于测试 API。最快捷的方法是使用 createsuperuser 命令。

python manage.py createsuperuser

为我们的用户模型添加端点

现在我们有一些用户可以使用,我们最好将这些用户的表示添加到我们的 API 中。创建一个新的序列化器很简单,在 serializers.py 文件中添加:

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

由于 'snippets' 在用户模型上是反向关系,当在使用 ModelSerializer 类时,它将不会被默认包含,所以我们需要为它添加一个显式字段。

我们还会在 views.py 中添加几个视图。我们想要使用用户表示的只读视图,所以我们将使用 ListAPIViewRetrieveAPIView 通用的基于类的视图。

from django.contrib.auth.models import User


class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

确保也导入了 UserSerializer

from snippets.serializers import UserSerializer

最后,我们需要通过在 URL conf 中引用这些视图来将这些视图添加到 API 中。将以下内容添加到 urls.py 中的模式中。

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

将 Snippets 和用户关联

现在,如果我们创建了一个 snippet 代码,那么无法将创建 snippet 的用户与 snippet 实例关联起来。用户不是作为序列化表示的一部分发送的,而是作为传入请求的属性。

我们处理方式是在我们的 snippet 视图上覆盖 .perform_create() 方法,这允许我们修改实例保存的管理方式,并处理传入请求或请求的 URL 中隐含的任何信息。

SnippetList 视图类中(snippets/views.py),添加以下方法:

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

现在我们的序列化器的 create() 方法将被传递一个附加的 'owner' 字段以及来自请求的验证数据。

更新我们的序列化器

现在 snippets 与创建它们的用户相关联了,让我们更新我们的 SnippetSerializer 以体现这一点。将以下字段添加到 serializers.py 中的序列化器的定义中:

owner = serializers.ReadOnlyField(source='owner.username')

注意:确保您还将 'owner' 添加到内部 Meta 类的字段列表中。

这个字段正在做一件很有趣的事情。source 参数控制哪个属性用于填充字段,并且可以指向序列化实例上的任何属性。它也可以采用如上所示的点符号(.),在这种情况下,它将以与 Django 模板语言相似的方式遍历给定的属性。

我们添加的字段是无类型的 ReadOnlyField 类,与其他类型的字段相反,如 CharFieldBooleanField 等…无类型的 ReadOnlyField 始终是只读的,只能用于序列化表示,但不能用于在反序列化时更新模型实例。我们在这里也可以使用 CharField(read_only=True)

添加视图所需的权限

现在,snippets 和用户相关联,我们希望确保只有经过身份验证的用户才能创建,更新和删除 snippets。

REST framework 包含许多权限类,我们可以用来限制谁可以访问给定的视图。在这种情况下,我们需要的是 IsAuthenticatedOrReadOnly 类,它将确保经过身份验证的请求获得读写访问权限,未经身份验证的请求将获得只读访问权限。

首先要在视图模块中导入以下内容

from rest_framework import permissions

然后,将以下属性添加到 SnippetListSnippetDetail 视图类中。

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登录到可浏览 API

如果您现在打开浏览器并导航到可浏览的 API,那么您将发现无法再创建新的 snippets。为了做到这一点,我们需要能够以用户身份登录。

我们可以通过编辑项目级 urls.py 文件(tutorial/urls.py)中的 URLconf 来添加可浏览 API 的登录视图。

在文件顶部添加以下导入:

from django.conf.urls import include

并且,在文件末尾添加一个模式以包括可浏览的 API 的登录和注销视图。

urlpatterns = [
    url(r'^api-auth/', include('rest_framework.urls')),
]

模式的 r'^api-auth/' 部分实际上可以是你要使用的任何 URL。

现在,如果您再次打开浏览器并刷新页面,则会在页面右上方看到一个“登录”链接。如果您用前面创建的用户登录,就可以再次创建 snippets。

一旦创建了一些 snippets 后,导航到 '/users/' 端点,并注意到在每个用户的 ‘snippets’ 字段中包含与每个用户相关联的 snippet id 的列表。

对象级权限

实际上,我们希望所有人都可以看到所有 snippets,但也要确保只有创建 snippet 的用户才能更新或删除它。

为此,我们需要创建一个自定义权限。

在 snippets 应用中,创建一个新文件 permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    自定义权限只允许对象的所有者编辑它。
    """
    def has_object_permission(self, request, view, obj):
        # 读取权限被允许用于任何请求,
        # 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。
        if request.method in permissions.SAFE_METHODS:
            return True

        # 写入权限只允许给 snippet 的所有者。
        return obj.owner == request.user

现在我们可以通过编辑 SnippetDetail 视图类中的 permission_classes 属性来将自定义权限添加到我们的snippet 实例端点:

permission_classes = (permissions.IsAuthenticatedOrReadOnly, IsOwnerOrReadOnly,)

确保要先导入 IsOwnerOrReadOnly 类。

from snippets.permissions import IsOwnerOrReadOnly

现在,如果再次打开浏览器,你会发现 “DELETE” 和 “PUT” 操作只出现在以 snippet 创建者的身份登录的 snippet 实例端点上。

使用 API 进行身份验证

因为现在我们在 API 上有一组权限,如果我们想要编辑任何 snippet,我们需要验证我们的请求。我们还没有设置任何认证类,因此当前应用的是默认的 SessionAuthenticationBasicAuthentication

当我们通过 Web 浏览器与 API 进行交互时,我们可以登录,然后浏览器会话将为请求提供所需的身份验证。

如果我们以编程方式与 API 进行交互,那么我们需要在每个请求上明确提供身份验证凭据。

如果我们尝试创建一个没有进行身份验证的 snippet,我们会得到一个错误:

(venv) fangweiren@ubuntu:~/Django_REST_framework$ http POST http://127.0.0.1:8000/snippets/ code="print 123"
HTTP/1.1 403 Forbidden
Allow: GET, HEAD, OPTIONS
Content-Length: 58
Content-Type: application/json
Date: Sun, 17 Jun 2018 14:56:36 GMT
Server: WSGIServer/0.2 CPython/3.5.2
Vary: Accept, Cookie
X-Frame-Options: SAMEORIGIN

{
    "detail": "Authentication credentials were not provided."
}

我们可以通过添加我们之前创建的用户的用户名和密码来发送成功的请求。

(venv) fangweiren@ubuntu:~/Django_REST_framework$ http -a djrest:aa112211 POST http://127.0.0.1:8000/snippets/ code="print 789"
HTTP/1.1 201 Created
Allow: GET, POST, HEAD, OPTIONS
Content-Length: 110
Content-Type: application/json
Date: Mon, 18 Jun 2018 14:55:44 GMT
Server: WSGIServer/0.2 CPython/3.5.2
Vary: Accept, Cookie
X-Frame-Options: SAMEORIGIN

{
    "code": "print 789",
    "id": 4,
    "language": "python",
    "linenos": false,
    "owner": "djrest",
    "style": "friendly",
    "title": ""
}

总结

我们现在已经在我们的 Web API 上获得了相当精细的一组权限集合,并为系统用户和他们创建的 snippet 提供了终点。

本教程的第 5 部分中,我们将介绍如何通过为高亮显示 snippet 创建 HTML 端点来将所有内容联结在一起,并通过对系统内的关系使用超链接来提高 API 的凝聚力。

御剑把酒听秋雨丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django REST Framework教程(5): 认证(Authentication)与权限(Permission)初识
大江狗
10-17 2693
在前面教程中我们以博客为例,使用DRF开发了博客文章列表资源和单篇文章资源这两个API,支持客户端以各种请求方式对文章资源进行增删查改。然而目前的 API 对谁可以新建、编辑或删除文章资...
Django通过rest_framework.permissions模块中IsAuthenticated实现身份验证
阳光女孩---python-Girl
01-04 4987
今天我给大家介绍如何写用户信息页面,当我们在登录完后,可以查看自己的用户信息,这里仅介绍登录的情况下。那是如何实现的呢?首先我们在登录的时候,用ajax请求把用户id和username以及token信息存储到sessionstorage中,这里的 id,username,token是login时候后端实现传到前端的哦,这里不将介绍,我的token是用的django-restframe-jwt实现的...
权限 - Permissions - 自定义
weixin_41957017的博客
11-17 2405
分类 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 提供的权限分类(不够用,就自定义) AllowAny 允许所有用户 IsAuthenticated 仅通过认证用户 IsAdminUser 仅管理员用户 IsAuthentic...
Django之权限
Lovehanxiaoyan的博客
02-23 308
权限Permissions 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 使用 可以在配置文件中设置默认的权限管理类,如 REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( ...
permissions
jiang_xiaoo24的博客
03-21 410
1、在model表中添加用户user owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE) 2、在序列化表中添加如下关联信息 对应表 owner = serializers.ReadOnlyField(source='owner.username') 用户表 ...
Authentication or permission failure
weixin_34208185的博客
12-16 2210
容器里使用ansible 项目报错 PLAY [bootstrap installer] **** GATHERING FACTS ***fatal: [localhost] => Authentication or permission failure. In some cases, you may have been able to authenticate and did not h...
权限Permissions
weixin_40226313的博客
06-28 2641
权限Permissions权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。在执行视图的dispatch()方法前,会先进行视图访问权限的判断在通过get_object()获取具体对象时,会进行对象访问权限的判断使用可以在配置文件中设置默认的权限管理类,如REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'res...
Django 权限Permissions python
你的才华撑不起野心时,静下心学习;你的能力驾驭不了目标时,沉下心努力
06-23 903
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 如果不指定就用默认的配置: 'DEFAULT_PERM...
django-rest-framework权限配置问题
做最好的自己
11-19 890
django-rest-framework权限配置问题1、视图内设置权限2、后台rootapi页面登录权限问题 1、视图内设置权限 views.py class SnippetViewSet(viewsets.ModelViewSet): """ This viewset automatically provides `list`, `create`, `retrieve`, ...
django REST framework 中的认证和权限
浮云
10-03 504
认证方式一般来说有三种 1 传统的认证方式,客户端每次访问都要带上用户名和密码,这种认证方式不安全。 2.session 认证 ,客户端访问带上服务端发给的session_id , -3. token 认证django REST framework认证方式的配置 1 在全局中配置。 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CL...
05 rest-framework用户认证和权限管理
FireinDarKK的博客
11-07 1417
目的 数据库中字段的on update 和 on delete参数 删除原数据库和迁移记录 添加用户控制入口 设置断点 更新serializer 为我们的视图函数添加权限认证 添加登录窗口urlrest_framework自带 用户权限内等级管理 用户认证 1. 目的 实例对象始终与创建者相关联 只有通过身份验证的用户可以创建实例 只有对象的创建者能够更新和删除该对象 未认证用户应该只有只读权限 2
ansible的Q&A:Failed to connect to the host via ssh: ssh_exchange_identification和Authentication or per
热门推荐
xiaofang2015的博客
09-13 1万+
本文档记录ansible使用中遇到的错误及解决办法  问题一:   [root@host-10-1-241-158 logs]# ssh 10.1.241.161 ssh_exchange_identification: read: Connection reset by peer ips10.1.241.159 | UNREACHABLE! =&gt; {     "changed"...
Permissions
Nancy 博客
12-19 2073
权限 (Permissions) 认证或识别本身通常不足以获得对信息或代码的访问。为此,请求访问的实体必须具有授权。—— Apple 开发人员文档 与身份验证和限流一起,权限确定是否应该授予或拒绝访问请求。 在允许任何其他代码继续之前,权限检查始终在视图的最开始运行。权限检查通常会使用 request.user 和 request.auth 属性中的认证信息来确定是否允许传入请求。 权限用于授予或...
DjangoRestFramework系列教程(4):身份验证(Authentication)和权限(Permissions)
qq_40733949的博客
07-19 1540
教程4:身份验证和权限 目前,我们的API对谁可以编辑或删除代码段没有任何限制。为了确保: 代码段总是与创建者相关联。 只有经过身份验证的用户才能创建代码段。 只有片段的创建者可以更新或删除它。 未经身份验证的请求应具有完全只读访问权限。 将信息添加到我们的模型中 我们将对我们的Snippet模特课。首先,让我们添加几个字段。其中一个字段将用于表示创建代码段的用户。另一个字段将用于存储代码的突出显...
django Rest Framework 系列 4 - Authentication & Permissions
蓝精灵
04-16 1868
当前我们的API 并没有限制谁可以编辑或删除snippets代码, 我们需要一些更高级的行为来确保: . snippets代码总是与创建者联系在一起 . 只有认证用户才可以创建 snippets . 只有snippet的创建者才可以更新或删除信息 . 未认证的请求只能有只读访问权限
五, AuthenticationPermissions
anbingzhong1132的博客
02-27 202
概述 在介绍Django REST Framework(二):Request和Response 时提到,DRF提供了对身份验证和权限的处理机制,特点如下: 1.对API的不同部分使用不同的认证策略; 2.支持多种身份验证策略; 3.对每个请求提供了用户和token信息。 在这篇文章中,将对身份验证和权限进行总结。使用时需要导入对应包: from rest_fram...
rest_framework学习之认证Authentication)&权限(Permissions
zhubaoJay的博客
06-15 4733
认证和权限控制是web开发中较为重要的知识点,我们看下django rest_framework认证和权限是如何实现的 概述 我们知道,在django中,提供内置的认证与权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证与权限。 re...
Django restful 403解决办法
平头哥(Adger)的博客
03-13 3028
原文:https://www.jianshu.com/p/65b824ec1504 用了Djangorestful,但在访问url的时候遇到403错误: image.png 为什么这个错误发生? 这是由于SessionAuthenticationDRF使用的默认方案。DRF SessionAuthentication使用Django的会话框架进行认证,这需要检查CSRF。 由...
GitHub authentication
最新发布
06-10
GitHub Authentication, also known as GitHub OAuth, is a secure method for users to authenticate and authorize third-party applications to access their GitHub account data or perform actions on their ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值