DRF学习——权限组件(一)

已于 2023-06-27 14:29:59 修改
阅读量518 收藏 1
点赞数
分类专栏: DRF学习 文章标签: 学习
于 2023-06-27 11:42:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hemameba/article/details/131410744
版权

一、简介

本篇文章主要介绍drf权限组件的快速使用,并从源码角度分析drf权限组件的调用过程

二、快速使用

①与认证组件一样,需要在除开views.py的任意地方定义一个权限组件

# ext/per.py
from rest_framework.permissions import BasePermission
from rest_framework.exceptions import PermissionDenied
import random


class MyPermission(BasePermission):
    message = {"code": 203, "data": "你没有该api的权限"}
    
    def has_permission(self, request, view):
        # v1取1到3的随机值
        v1 = random.randint(1, 3)
        # 如果v1等于2则返回ture,否则返回false
        if v1 == 2:
            return True
        # raise PermissionDenied({"code": 203, "data": "你没有该api的权限"})
        return False

 自定义错误返回,如上代码所示有两种方式,一种是自定义message,另一种是 raise PermissionDenied

②在settings.py中全局引用编写的认证组件

# day13/settings.py
REST_FRAMEWORK = {
    # 匿名用户
    'UNAUTHENTICATED_USER': None,
    # 认证组件
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'ext.auth.QueryParamsAuthentication',
        'ext.auth.HeaderAuthentication',
        'ext.auth.NoAuthentication',
    ],
    # 权限组件
    'DEFAULT_PERMISSION_CLASSES': [
        'ext.per.MyPermission',
    ],
}

③测试接口

访问user接口,因为做的是随机值判定,因此有无权限都是有一定几率的

有权限: 

无权限:

三、源码分析

①首先找到APIView中的dispatch方法,其源码如下:

 def dispatch(self, request, *args, **kwargs):
        """
        `.dispatch()` is pretty much the same as Django's regular dispatch,
        but with extra hooks for startup, finalize, and exception handling.
        """
        self.args = args
        self.kwargs = kwargs
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
            self.initial(request, *args, **kwargs)

            # Get the appropriate handler method
            if request.method.lower() in self.http_method_names:
                handler = getattr(self, request.method.lower(),
                                  self.http_method_not_allowed)
            else:
                handler = self.http_method_not_allowed

            response = handler(request, *args, **kwargs)

        except Exception as exc:
            response = self.handle_exception(exc)

        self.response = self.finalize_response(request, response, *args, **kwargs)
        return self.response

如同分析认证组件一样,这次仍然是关注下面这段代码

self.initial(request, *args, **kwargs)

这时就去查看initial做了什么,其源码如下:

    def initial(self, request, *args, **kwargs):
        """
        Runs anything that needs to occur prior to calling the method handler.
        """
        self.format_kwarg = self.get_format_suffix(**kwargs)

        # Perform content negotiation and store the accepted info on the request
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg

        # Determine the API version, if versioning is in use.
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme

        # Ensure that the incoming request is permitted
        self.perform_authentication(request)
        self.check_permissions(request)
        self.check_throttles(request)

同样,这次我们关注如下代码

self.check_permissions(request)

这里需要提一下,认证组件的self.perform_authentication(request)在权限组件的上方,因此我们可以知道如果代码走到权限组件时,说明认证组件已经通过了,此时的request.user和request.auth就已经存储了我们当前登录的用户和token

当然这里的重点还是查看check_permissions实现的功能,其源码如下:

    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request,
                    message=getattr(permission, 'message', None),
                    code=getattr(permission, 'code', None)
                )

首先做的是一个for循环,调用了get_permissions()方法

for permission in self.get_permissions():

get_permissions()方法的源码如下:

    def get_permissions(self):
        return [permission() for permission in self.permission_classes]

实现的将当前对象的permission_classes读取到permission中并实例化,而当前对象的permission_classes未在view中定义,便会去读取APIView中的permission_classes,其定义如下:

permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES

即读取在settings里面定义的DEFAULT_PERMISSION_CLASSES,如:

REST_FRAMEWORK = {
    'UNAUTHENTICATED_USER': None,
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'ext.auth.QueryParamsAuthentication',
        'ext.auth.HeaderAuthentication',
        'ext.auth.NoAuthentication',
    ],
    # 权限组件
    'DEFAULT_PERMISSION_CLASSES': [
        'ext.per.MyPermission',
    ],
}

回到check_permissions,for循环走完之后,便是判断权限组件中的has_permission()的返回值,如果返回值为True则不执行if语句,如果返回值为Flase则执行if语句

而if语句调用的是permission_denied()方法,其源码如下:

    def permission_denied(self, request, message=None, code=None): 
        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated()
        raise exceptions.PermissionDenied(detail=message, code=code)

 可见是是一个返回错误的方法,因此,权限组件和认证组件不同,可以将各个不同的权限组件理解为“与”的关系,有一个Flase便会报错

其中raise exceptions.PermissionDenied(detail=message, code=code)的message在check_permissions中传入的值是如下定义的:

message=getattr(permission, 'message', None)

因此第二小节中提到的自定义错误返回有两种方式,其中一种是自定义message,这里将在权限组件中定义的messag作为传入PermissionDenied中,从而作为报错返回值返回

四、补充

之所以要分析源码,不仅是让我们能够理解底层逻辑是如何运作的,还可以让我们更加地灵活处理底层逻辑,前面提到权限组件与认证组件稍有不同,权限组件之间的关系是“与”,如果写在需要将权限组件之间的关系改为“或”应该从哪里入手呢?

回忆上面的源码解析,在处理权限组件之间关系的代码应该是check_permissions,其源码如下:

    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request,
                    message=getattr(permission, 'message', None),
                    code=getattr(permission, 'code', None)
                )

其中的if语句便是导致“与”关系的原因,只要有一个权限组件返回的Flase,便会调用permission_denied报错,因此如果需要该写权限组件之间的关系,便需要重写该方法,回到代码当中,调用此方法的self其实就是定义在views中的类,如OrderView,UserView等,因此将其代码修改如下:

class OrderView(APIView):
    def check_permissions(self, request):

        for permission in self.get_permissions():
            # 如果有返回Ture的权限组件则直接return,不用再向后执行
            if permission.has_permission(request, self):
                return
        # 当所有的权限组件都返回的Flase时,则执行报错
        self.permission_denied(
            request,
            message=getattr(permission, 'message', None),
            code=getattr(permission, 'code', None)
            )

    def get(self, request):
        return Response({'code': 0, 'data': ['番茄炒蛋', '鸡米芽菜']})

Hemameba
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Django--权限Permissions
gy的博客
07-17 2803
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过ge...
drf - Django Rest Framework Permissions权限验证详解
weixin_51098806的博客
03-24 3411
来我的GitHub来看更多关于DRF的资料吧 十分钟学会DRF的企业级用法 官方解释: 权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求中的身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权 限用于授予或拒绝不同类型的用户对API不同部分的访问。 最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架中的IsAuthenticated类。 其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继
Django3.2.12 使用自定义权限验证permission_classes遇到的问题
weixin_44154358的博客
01-24 542
各位好,最近在写项目时遇到过一个问题就是我的一个视图类,我加了permission_classes = [IsAuthenticated, AccountManagementPermission],我发现IsAuthenticated这个验证是否登录的功能执行了,但是我自定义的AccountManagementPermission我打了断点发现压根就没走进去是为啥。
restframework(6):权限组件
submarineas的博客
11-15 723
restframework(6):权限权限简介权限说明权限要求restframework中的权限权限简单实例文本样式列表链接代码片 权限简介 权限说明 权限是针对某种对象的全局性的设置,而不是针对某种对象的某个特定实例的。例如,我们可以说“玛丽可以改写故事”,但是不能说“玛丽可以改写故事,但只限于她自己的故事”,也不能说“玛丽只能改写符合特定条件(如出版日期、编号)的故事”。后面的两种情况是 D...
Django 权限Permissions python
你的才华撑不起野心时,静下心学习;你的能力驾驭不了目标时,沉下心努力
06-23 903
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 如果不指定就用默认的配置: 'DEFAULT_PERM...
DRF的序列化——Serializers 序列化组件
01-20
为什么要用序列化组件 当我们做前后端分离的项目~~ 我们前后端交互一般都选择JSON数据格式,JSON是一个轻量级的数据交互格式。 那么我们给前端数据的时候都要转成json格式,那就需要对我们从数据库拿到的数据进行...
Django DRF认证组件流程实现原理详解
09-16
总的来说,Django DRF的认证组件通过定义不同的认证类并将其添加到`authentication_classes`中,提供了一种灵活的方式来控制谁可以访问API资源。通过自定义认证类,开发者可以根据项目需求实现特定的认证策略,如...
小白drf版本组件的解析
最新发布
06-03
drf版本解析
学习DRF
02-25
标题"学习DRF"指的是学习Django REST Framework(DRF),它是一个用于构建Web API的强大框架,基于Python编程语言,并且与Django Web框架紧密结合。DRF提供了一系列工具和功能,使得开发者能够高效地构建RESTful API...
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与DRF 3.x构建的。该项目采用Python语言编写,包含49个文件,其中Python源文件占45个,另外还包括.gitignore、SQL脚本、Markdown文档及文本文件各一个。本项目名...
20. drf权限管理
细致-专业-实操
04-12 1445
示例一: 登录了能访问视图 from .serializers import UserSerializer from rest_framework import viewsets from django.contrib.auth import get_user_model from django_filters.rest_framework import DjangoFilterBackend from rest_framework.authentication import SessionAuthenti
Django REST 框架详解 09 | 权限组件
Baimoc
05-21 1048
文章目录一、权限组件1. 分析源码2. 全局配置权限3. 局部配置权限4. 接口测试二、自定义权限类1. 代码实现2. 测试接口 一、权限组件 1. 分析源码 通过分析源码了解权限组件的方法调用过程 APIView 的 dispatch 中使用 initial 方法实现初始化并进行三大认证,第二步进行权限组件调用 rest_framework/views.py class APIView(View): # ... # 定义默认权限类 permission_classes = api_
Django REST Framework之权限组件
banketan1026的博客
09-29 235
权限控制是如何实现的? 一般来说,先有认证才有权限,也就是用户登录后才能判断其权限,未登录用户给他一个默认权限。 Django接收到一个请求,首先经过权限的检查,如果通过检查,拥有访问的权限,则予以放行,进入到视图处理。如果没有通过检查,不会进入视图层,直接返回前端相应信息。 使用权限控制 权限控制类: class MyPermission(BasePermission):...
rest_framework学习之认证(Authentication)&权限(Permissions)
zhubaoJay的博客
06-15 4730
认证和权限控制是web开发中较为重要的知识点,我们看下django rest_framework的认证和权限是如何实现的 概述 我们知道,在django中,提供内置的认证与权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证与权限。 re...
permissions
jiang_xiaoo24的博客
03-21 410
1、在model表中添加用户user owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE) 2、在序列化表中添加如下关联信息 对应表 owner = serializers.ReadOnlyField(source='owner.username') 用户表 ...
权限Permissions
qq_60976312的博客
12-08 309
权限Permissions
聊聊React中的权限组件设计
小王的技术库
10-13 1704
它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
DRF 3.x Permissions 权限使用示例和配置方法
热门推荐
Mr数据杨
01-26 3万+
大家好,我是Mr数据杨。想象一下,那个以天下著名的赤壁之战,当时的曹操,具备了最高的权限,他拥有巨大的军队,几乎可以称霸全国,这就好比他拥有了所有的权限查看方法。他可以查看所有的信息,了解每一个军队,每一处地形。但是,对于这些权限的使用,就需要一定的策略设置,就像曹操将军队分为水军和陆军,这就是权限策略设置。
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2637
Django REST Framework (DRF)提供了一系列的认证与权限功能来保护Web API不被未授权用户访问或滥用。
django template 可以使用drf哪些组件
04-05
Django REST framework(DRF)的组件可以在Django模板中使用,包括: 1. Serializer:序列化器用于将复杂的数据结构转换为简单的JSON,以便在模板中显示。 2. Viewsets:视图集是DRF的一种视图类,可以快速创建RESTful API视图。可以在Django模板中使用视图集。 3. Response:DRF的Response类提供了一种更方便的方式来构建HTTP响应,可以在Django模板中使用。 4. Authentication:DRF的身份验证类可以在Django模板中使用,以便在需要身份验证的API中使用。 5. Permissions:DRF权限类可以在Django模板中使用,以便在需要权限控制的API中使用。 6. Pagination:DRF的分页类可以在Django模板中使用,以便在需要分页的API中使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hemameba

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值