Rest framework 学习(4) 身份验证和权限

最新推荐文章于 2023-04-13 00:45:04 发布
最新推荐文章于 2023-04-13 00:45:04 发布
阅读量559 收藏 1
点赞数
分类专栏: Django Rest Framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Good_Luck_Kevin2018/article/details/94630117
版权

目前,我们的API对谁可以编辑或删除代码段没有任何限制。我们希望有一些更高级的行为,以确保:

  • 代码段始终与创建者相关联。
  • 只有经过身份验证的用户才能创建摘要。
  • 只有代码段的创建者可以更新或删除它。
  • 未经身份验证的请求应具有完全只读访问权限。

修改模型添加信息

将对我们的Snippet模型类进行一些更改。首先,让我们添加几个字段。其中一个字段将用于表示创建代码段的用户。另一个字段将用于存储代码的突出显示的HTML表示。

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

我们还需要确保在保存模型时,使用pygments代码突出显示库填充突出显示的字段

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

 完成所有操作后,我们需要更新数据库表。通常我们会创建一个数据库迁移来执行此操作,但是出于本教程的目的,我们只需删除数据库并重新开始。 

# 删除原先的数据库和数据迁移记录
# Linux:
rm -f db.sqlite3
rm -r snippets/migrations

# window:
del db.sqlite3
rd /s/q snippets\migrations


# 数据库生成河迁移
python manage.py makemigrations snippets
python manage.py migrate


# 您可能还想创建一些不同的用户,以用于测试API。最快的方法是使用createsuperuser命令。

python manage.py createsuperuser

 修改用户,实现用户与代码片段的反向关系

  • 修改UserSerializer 序列化器

 

# serializers.py

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')
  •  修改User相关View.py(使用新的序列化器)
from django.contrib.auth.models import User
from snippets.serializers import UserSerializer


class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer
  • 修改urls.py:将视图加入到urlpattern 中
# Django version >=2.0
path('users/', views.UserList.as_view()),
path('users/<int:pk>/', views.UserDetail.as_view()),

# Django version <2.0
from django.conf.urls import include,url

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

代码片段与用户关联起来

截至目前,我们有代码段到用户的模型,序列化器,用户的序列化器,能够实现查询时候的相互查询。

但是当我们新建代码时,还是无法实现用户与代码段的互相关联的。

原因是:新建一个代码片段时候,根据已经完成的model(保含有owner),View;但我们需要的用户信息不是想代码code那样在在请求提交的form表单里面的,而是在request.user里。我们还需要对View进行修改。

我们通过的.perform_create()方法是通过覆盖我们的代码段视图上的方法,它允许我们修改实例保存的管理方式,并处理传入请求或请求的URL中隐含的任何信息。 

 

class SnippetList(generics.ListCreateAPIView):
    queryset = Snippet.objects.all()
    serializer_class = SnippetSerializer
    permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

    def perform_create(self, serializer):
        # 保存之前按,加入owner信息
        # 通过覆盖我们的代码段视图上的方法,允许我们修改实例保存的管理方式,并处理传入请求或请求的URL中隐含的任何信息。
        serializer.save(owner=self.request.user)
  • 更新我们的片段序列化器
class SnippetSerializer(serializers.ModelSerializer):
    owner = serializers.ReadOnlyField(source='owner.username')
    # source 用于填充的字段,连接其他表的任何字段
    # ReadOnlyField 是只读字段,能用于序列化,但不作为更新model使用,效果等价于CharField(read_only=True)

    class Meta:
        model = Snippet
        fields = ('id', 'title', 'code', 'linenos', 'language', 'style','owner')

向视图添加所需权限

既然代码片段与用户相关联,我们希望确保只有经过身份验证的用户才能创建,更新和删除代码段。

REST框架包含许多权限类,我们可以使用这些权限来限制谁可以访问给定视图。在这种情况下,我们正在寻找的是IsAuthenticatedOrReadOnly,这将确保经过身份验证的请求获得读写访问权限,未经身份验证的请求将获得只读访问权限。

  • 首先在snippets\views.py模块中
# snippets\views.py
from rest_framework import permissions

# 在SnippetList和SnippetDetail视图类加入
permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登录到Browsable API

如果您此时打开浏览器并导航到可浏览的API,您将发现您无法再创建新的代码段。为此,我们需要能够以用户身份登录。

我们可以通过编辑项目级urls.py文件中的URLconf来添加用于可浏览API的登录视图。

修改如下:

from django.conf.urls import include
# if Django version >=2.0
。。。
urlpatterns += [
    path('api-auth/', include('rest_framework.urls')),
]
。。。
# else:
urlpatterns += [
    path('api-auth/', include('rest_framework.urls')),
]

打开浏览器访问

 

 对象级权限

实际上,我们希望所有人都可以看到所有代码段,但也要确保只有创建代码段的用户才能更新或删除它。

为此,我们需要创建自定义权限。

在代码段应用中,创建一个新文件, permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        return obj.owner == request.user

现在,我们可以通过编辑视图类的permission_classes属性将该自定义权限添加到我们的代码段实例端点SnippetDetail

from snippets.permissions import IsOwnerOrReadOnly

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

测试API

不进行身份验证的情况下创建代码段,则会收到错误消息

加了认证后,可以正常请求,换回201Created状态码,对象成功创建。

 总结:

对接口加权限是出于网站安全和业务需要的,主要实现依赖于permission,自定义权限继承permissions.BasePermission重构自己需要的业务权限,结果返波尔值。

 

# 如有理解错误,请指出 #

Good_Luck_Kevin2018
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django rest framework jwt登录及验证
dyzzby的博客
09-09 1324
django rest framework jwt登录及验证 安装相关的包 pip install django pip install djangorestframework pip install rest_framework_simplejwt 首先新建一个django项目名为project1 创建app python manage.py startapp [appname] 接下来在项目的setting中写入appname INSTALLED_APPS = [ ... '
Django-restframework登陆认证 token
Pythoner的博客
05-23 355
【urls】 urlpatterns = [ re_path('^api/v1/auth/$', AuthView.as_view()), ] 【models】 ############ 用户登陆与认证 ######################################################### class UserInfo(models.Model): user_type_choices=( (1,'普通用户'), (2,'VIP
Django REST framework 之 API认证
afftl7302的博客
01-27 258
RESTful API 认证   和 Web 应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessions 或 cookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access token 可以唯一识别...
django-rest-framework框架总结之认证、权限、限流、过滤、分页及异常处理
weixin_43865008的博客
01-28 1964
针对 django-rest-framework框架中的认证、权限、限流、过滤、分页及异常处进行总结理。
Django rest framework 使用自定义认证方式
kongxx的专栏
01-18 7626
Django rest framework 使用自定义认证方式Django使用自定义认证方式 介绍了 “Django使用自定义认证方式”,这一篇说说怎样在前一篇的基础上提供rest api。修改settings.py中INSTALLED_APPS,添加 ‘login’ app。给login app增加serializers.py文件#coding:utf-8 from django.contrib.
drf-auther:Django Rest Framework身份验证和授权
02-08
"drf-auther:Django Rest Framework身份验证和授权" 这个标题揭示了我们讨论的主题是关于Django Rest Framework (DRF) 的一个扩展库,专门用于增强其内置的身份验证和授权功能。DRF是Python开发Web API时常用的一...
Django restframework 框架认证、权限、限流用法示例
09-18
Django Rest Framework(DRF)是一个为开发高质量API而设计...总结,Django Rest Framework提供了强大的认证、权限和限流机制,使开发者能够构建安全、可控的API。通过合理配置和自定义,可以满足各种复杂的应用场景。
Django REST framwork的权限验证实例
09-17
在Django REST Framework中,权限验证是至关重要的一个环节,它确保了只有授权的用户才能访问和操作特定的资源。本实例将详细讲解如何在Django REST Framework中实现权限验证。 首先,我们来看如何判断用户是否已...
Django-Rest-Framework 权限管理源码浅析(小结)
09-19
Django Rest Framework权限管理通过`authentication_classes`和`permission_classes`实现了灵活的控制,允许开发者根据应用需求定制认证和授权策略。理解这些概念以及如何配置它们是构建安全RESTful API的关键。...
django3.0+rest framework + Vue 生鲜超市项目-后端
04-27
在本项目中,我们探索的是一个基于Django 3.0、Django Rest Framework和Vue.js构建的生鲜超市电子商务平台的后端实现。这个项目旨在提供一个完整的开发环境,供学习者深入理解如何将这些技术整合在一起,创建一个...
Django+RestFramework API接口及接口文档并返回json数据操作
09-16
主要介绍了Django+RestFramework API接口及接口文档并返回json数据操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
restframework权限,认证,限流配置
ACAMPUS
12-08 2882
认证Authentication DRF框架的默认全局认证方案如下: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', # session认证 'rest_framework.aut...
REST framework 用户认证源码
面向对象的笔记
11-08 122
REST 用户认证源码 在Django中,从URL调度器中过来的HTTPRequest会传递给disatch(),使用REST后也一样 # REST的dispatch def dispatch(self, request, *args, **kwargs): """ `.dispatch()` is pretty much the same as Django's regular ...
162.基于Django-rest_framework身份验证权限
m0_63953077的博客
12-04 517
到目前为止,程序的API对任何人都可以编辑或删除,没有任何限制。我们希望有一些更高级的行为,进行身份验证权限分配
Django REST framwork的权限验证
走向未来
04-10 637
一、用户是否登录 (1)判断用户是否登录; permission_classes = (IsAuthenticated, ) (2)设置用户认证方式; authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication) 具体代码如下: from rest_framework.permissions imp...
Django(16):rest_framework框架使用指南
qq_43745578的博客
01-12 3200
rest_framework框架使用总结
在 Django REST framework 中实现 API 认证和授权
最新发布
weixin_41276201的博客
04-13 821
要在 Django REST framework 中实现 API 认证和授权,您可以使用内置的身份验证权限类。步骤 2:安装django-rest-auth django-rest-auth 提供了简单易用的登录、登出、注册等认证功能。默认情况下,您的 API 端点将需要身份验证,因为我们在步骤 4 中配置了。在使用这些端点时,请确保每个需要身份验证的请求都包含了正确的认证令牌。根据您的需要,您还可以在视图层面覆盖默认的身份验证权限类。的一个分支,支持更新的 Django 版本。
Django基础
01-03 243
Django基础一:安装django二:路由层2.1 path与re_path函数2.2 url的反向解析三:视图层3.1 HttpRequest对象属性3.2 HttpResponse对象四:模板层4.1 模板变量4.2 模板语法之过滤器4.3 模板标签4.4 静态文件的载入4.5 自定义过滤器4.6 verbatim标签 一:安装django 首先创建虚拟环境并进入虚拟环境(https://b...
django使用restframework实现安全的api
weixin_30918633的博客
03-01 112
参考地址:https://github.com/tomchristie/django-rest-framework/ 一般如果在批量修改多的时候,不建议使用,一般在get请求,或者修改单条数据的时候使用; 安装:pip installdjangorestframework 要通过rest-framework实现api,settings的配置如下: INSTALLED_AP...
django rest framework
03-17
Django REST framework 是一个用于构建Web API的Django扩展。它提供了一组工具和类库,帮助开发人员在Django项目中快速构建和维护RESTful API。该框架包括了身份验证权限控制、序列化、视图和路由等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值