REST framework 权限组件

最新推荐文章于 2024-04-12 04:04:52 发布
最新推荐文章于 2024-04-12 04:04:52 发布
阅读量363 收藏 1
点赞数
分类专栏: REST framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waller_/article/details/104416752
版权

说明

校验用户权限(用户不同权限不同):

  1. 认证通过: 返回True 进入下一步校验(频率校验)
  2. 认证失败: 返回False 抛出异常,返回403权限异常

权限类型: 所有合法用户都有权限, 必须登录用户才有权限, 登录读写游客只读,

源码

权限组件入口
    self.check_permissions(request)
    认证细则:
    def check_permissions(self, request):
        # 遍历权限对象列表得到一个个权限对象(权限器),进行权限认证
        for permission in self.get_permissions():
            # 权限类一定有一个has_permission权限方法,用来做权限认证的
            # 参数:权限对象self、请求对象request、视图类对象
            # 返回值:有权限返回True,无权限返回False
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )
    
    
    def get_permissions(self):

        return [permission() for permission in self.permission_classes]

drf 中的settings.py 中
'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',  # 默认的权限认证配置
    ],

# 根据配置路径找到 permissions

四个权限类

权限组件自带的四个权限,默认全局配置的是AllowAny,

  • 可以在settings.py中更换全局配置
  • 可以在视图类中针对性的局部配置
  • 可以自定义

AllowAny

游客与登陆用户都有所有权限

class AllowAny(BasePermission):
    # 游客与登陆用户都有所有权限
    def has_permission(self, request, view):
        return True

IsAuthenticated

游客没有任何权限,登陆用户才有权限

class IsAuthenticated(BasePermission):
    # 游客没有任何权限,登陆用户才有权限
    def has_permission(self, request, view):
        return bool(request.user and request.user.is_authenticated)

IsAdminUser

游客没有任何权限,登陆用户并且是管理员才有权限

class IsAdminUser(BasePermission):
    # 游客没有任何权限,登陆用户并且是管理员才有权限
    def has_permission(self, request, view):
        return bool(request.user and request.user.is_staff)

IsAuthenticatedOrReadOnly

认证规则必须是只读请求或是合法用户: 游客只读,合法用户无限制

class IsAuthenticatedOrReadOnly(BasePermission):
    # 认证规则必须是只读请求或是合法用户: 游客只读,合法用户无限制
    def has_permission(self, request, view):
        return bool(
            request.method in SAFE_METHODS or 
            request.user and
            request.user.is_authenticated
        )

自定义权限类

1) 创建继承BasePermission的权限类
2) 重写has_permission方法
3) 实现体根据权限规则 确定有无权限
4) 进行全局或局部配置
认证规则:
i.满足设置的用户条件,代表有权限,返回True
ii.不满足设置的用户条件,代表没有权限,返回False

使用:

  • permissions.py 
from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group

需求: 游客只读, 登录用户只读, 只有登录用户属于管理员才有写权限

class MyPermission(BasePermission):
    def has_permission(self, request, view):
        # 只读接口判断
        r1 = request.method in ('GET', 'HEAD', 'OPTIONS')
        # group为有权限的分组
        group = Group.objects.filter(name='管理员').first()
        # groups为当前用户所属的所有分组
        groups = request.user.groups.all()
        r2 = group and groups
        r3 = group in groups
        # 读接口大家都有权限,写接口必须为指定分组下的登陆用户
        return r1 or (r2 and r3)
  • view.py
# 游客只读,登录用户只读,只有登录用户属于 管理员 分组,才可以增删改
from utils.permissions import MyPermission
class TestAdminOrReadOnlyAPIView(APIView):
    permission_classes = [MyPermission]  # 局部配置
    # 所有用户都可以访问
    def get(self, request, *args, **kwargs):
        return APIResponse(0, '自定义读 OK')
    # 必须是 自定义“管理员”分组 下的用户
    def post(self, request, *args, **kwargs):
        return APIResponse(0, '自定义写 OK')
  • settings.py
REST_FRAMEWORK = {
    # 权限类配置
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
        'rest_framework.permissions.IsAuthenticated',
        'rest_framework.permissions.IsAdminUser',
        'rest_framework.permissions.IsAuthenticatedOrReadOnly',
        
        # 全局配置自定义的
        'rest_framework.permissions.MyPermission',
    ],
}

 

i0208
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django Rest framework认证组件详细用法
09-18
Django Rest Framework(DRF)是一个强大的用于构建Web API的工具,它提供了许多开箱即用的功能,包括认证和授权。...在实际开发中,应结合权限组件(如`permissions`)一起使用,以实现完整的用户访问控制。
REST framework 简介
Waller_的博客
02-13 5264
作用 Django Rest Framework 是一个强大且灵活的工具包,用以构建Web API Django REST Framework可以在Django的基础上迅速实现API,并且自身还带有WEB的测试页面,可以方便的测试自己的API Web项目的两种模式 前后端不分离 在前后端不分离的引用模式中,前端页面看到的效果都是由后端控制的,由后端页面渲染或者重定向(每次返回时都是使用r...
二、rest_framework 简介和简单示例
光明小学王小雨的博客
01-05 5253
一、安装 DRF是以Django扩展应用的方式提供的,所以我们可以直接利用已有的Django环境而无需从新创建。(若没有Django环境,需要先创建环境安装Django) 1、安装 pip install djangorestframework 2、添加rest_framework应用 在settings.py的INSTALLED_APPS中添加’rest_framework’。 INSTALLED_APPS = [ ... 'rest_framework', ] 接下来就可以使用DRF
django-rest-framework源码分析3—权限(permissions)源码解析_django-dry-rest-permissions
最新发布
2401_84247341的博客
04-12 638
message = ‘VIP用户才能访问’“”"自定义权限只有VIP用户才能访问“”"
rest_framework】入门教程 | 虚拟环境
Marianas Trench
08-26 863
新建项目 新建一个名为mysite的项目 django-admin startproject mysite
Django(16):rest_framework框架使用指南
qq_43745578的博客
01-12 3187
rest_framework框架使用总结
Restframework介绍
daruan1111的博客
07-31 497
1.REST介绍   REST与技术无关,它代表的是一种软件架构风格,全称Representational State Transfer,中文翻译为“表征状态转移”   REST从资源的角度类审视整个网络,它将分布在网络中某个节点的资源通过URL进行标识,客户端应用通过URL来获取资源的表征,获得这些表征致使这些应用转变状态 1.1.RESTful API设计   当前发展前端设...
Django Rest framework权限的详细用法
09-18
2. 自定义权限组件:创建一个名为`MyPermission`的权限类,该类继承自`BasePermission`。`has_permission`方法根据用户类型判断权限,如果用户类型为1(普通用户),则返回False,否则返回True。 ```python from ...
Django Rest framework权限实现示例
01-01
为了更好的管理各个功能组件,在django rest framework 之 认证 中我们说到可以将认证类单独的拿出来,放到其他目录下,然后导入到 views.py 文件中,在权限环节我们亦可以这么做,目录结构就变成这样 在api这个app...
43.Permission源码解析和自定义权限
weixin_43247178的博客
10-13 140
drf的权限类位于permission模块 如何确定权限 认证、限流,权限决定是否应该接收请求或拒绝访问 权限检查在视图的最开始处执行,在继续执行其他代码前 权限检查通常会使用request.user和request.auth属性中的身份认证信息来决定是否允许请求 不同级别的用户访问不同的api过程中,使用权限来控制访问的许可 DRF框架的权限被定义为一个权限类的列表,表示拥有列表中...
Django的web框架Django Rest_Framework精讲(一)
景天科技苑
01-31 3563
Django REST framework是一个建立在Django基础之上的Web 应用开发框架,可以快速的开发REST API接口应用,简称DRF。 在REST framework中,提供了序列化器Serialzier的定义,可以帮助我们简化序列化与反序列化的过程,把queryset类型数据自动转化为json等可以传到前端的数据类型 不仅如此,还提供丰富的类视图、扩展类、视图集来简化视图的编写工作。
Django Rest framework Permissions
JosephThatwho的博客
04-26 445
权限(Permissions)和认证(Authentication)以及节流(Throttling)一起决定一个请求是否会被接受或拒绝。 权限检查会在视图最开始执行,先于视图中的其他代码。权限校验通常使用认证阶段产生的request.user和request.auth参数。 最简单的权限校验是接受所有携带了认证用户的请求以及用户未被认证的访问只读信息的请求。这中权限控制可以通过REST Frame...
【Django】REST_Framework框架——序列化器serializers源码解析
python全栈
10-26 2331
1、在客户端请求时,使用序列化器可以完成对数据的反序列化(将字典格式的数据转化为模型对象)。 2、在服务器响应时,使用序列化器可以完成对数据的序列化(将模型对象转化为字典格式的数据)。Serializer的构造方法为:使用序列化器进行反序列化输入时,需要进行验证,通过后,才能获取验证成功后的数据案例1: 案例2 4.3、validate_字段名:对字段进行校验 单个字段进行校验:项目名称不能多于10个字 4.4、validate:多字段校验 5、反序列化-保存数据 前面的验证数据成功后,我们可以使用序列化
REST_FRAMEWORK权限permission
weixin_40310390的博客
08-03 682
REST_FRAMEWORK重要组件--->permission2.权限(permission) 2.权限(permission) (1).如果说认证是浏览器带token或者其他字段与后台字段建立起来的一座桥梁,那么权限就是穿越桥梁所遇到的     一个门槛。当你的权限很高时,你所能跨越的门槛就很高,即系统向你提供的信息就很多。相反,则只能看...
【django2.0之Rest_Framework框架二】rest_framework视图介绍
monoplasty的博客
10-17 243
REST framework 提供了众多的通用视图基类与扩展类,以简化视图的编写。
「Django REST Framework 框架」Permissions权限解析及应用举例
qinzuoyu996的博客
08-23 1068
全部 Django Web 开发文章索引目录传送门: 【Django Web 开发】全部文章目录索引 文章目录 内容介绍 Permissions权限 应用举例 内容介绍 代码内容基于「Django REST Framework API框架」源码版本 3.12.x ,更新内容会进行标记说明对应版本。 身份认证和权限组合使用,用来确定请求是否返回数据还是拒绝请求数据。 Permissions权限 1.确定权限 # 在运行视图前检查每个请求的权限 # 如果检查失败则会引发 exceptions.Perm
Django注册rest_framework报错(已安装但是只要一注册就报错NO Model ‘rest_framework’)
m0_58013970的博客
06-16 1324
报no model错误,并且已安装了djangorestframework包但依然报错,可能是版本的问题,重装或者指定python版本就可以解决
rest_framework的使用
weixin_44634704的博客
08-10 1271
序列化的使用 假设有一张数据表,名为(Tag)数据内容和字段如下 urls.py中配置路由 .. path('api/ceshi/',ceshi), views.py中写视图函数(序列化返回数据) 序列化最简单的使用 #方法一 def ceshi(request): queryset = Tag.objects.all() queryset = queryset.values_list() queryset = list(queryset) query_json = json.dumps(que
Django restframework permission 权限
水野与小太郎的博客
12-05 1124
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性中的身份验证信息来确定是否允许传入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架中的权限和认证一样:为权限类列表。 在运行视图主体之前,将检查列表中的每个权限。如...
Django Rest Framework 核心组件详解
04-08
好的,关于 Django Rest Framework 核心组件,它包括以下几个部分:视图(View)、序列化器(Serializer)、路由(Router)和认证(Authentication)。视图是 Django Rest Framework 的核心组件之一,它负责接收请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值