REST framework 权限组件

最新推荐文章于 2024-04-13 06:28:31 发布
最新推荐文章于 2024-04-13 06:28:31 发布
阅读量406 收藏 1
点赞数
分类专栏: REST framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waller_/article/details/104416752
版权

说明

校验用户权限(用户不同权限不同):

  1. 认证通过: 返回True 进入下一步校验(频率校验)
  2. 认证失败: 返回False 抛出异常,返回403权限异常

权限类型: 所有合法用户都有权限, 必须登录用户才有权限, 登录读写游客只读,

源码

权限组件入口
    self.check_permissions(request)
    认证细则:
    def check_permissions(self, request):
        # 遍历权限对象列表得到一个个权限对象(权限器),进行权限认证
        for permission in self.get_permissions():
            # 权限类一定有一个has_permission权限方法,用来做权限认证的
            # 参数:权限对象self、请求对象request、视图类对象
            # 返回值:有权限返回True,无权限返回False
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )
    
    
    def get_permissions(self):

        return [permission() for permission in self.permission_classes]

drf 中的settings.py 中
'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',  # 默认的权限认证配置
    ],

# 根据配置路径找到 permissions

四个权限类

权限组件自带的四个权限,默认全局配置的是AllowAny,

  • 可以在settings.py中更换全局配置
  • 可以在视图类中针对性的局部配置
  • 可以自定义

AllowAny

游客与登陆用户都有所有权限

class AllowAny(BasePermission):
    # 游客与登陆用户都有所有权限
    def has_permission(self, request, view):
        return True

IsAuthenticated

游客没有任何权限,登陆用户才有权限

class IsAuthenticated(BasePermission):
    # 游客没有任何权限,登陆用户才有权限
    def has_permission(self, request, view):
        return bool(request.user and request.user.is_authenticated)

IsAdminUser

游客没有任何权限,登陆用户并且是管理员才有权限

class IsAdminUser(BasePermission):
    # 游客没有任何权限,登陆用户并且是管理员才有权限
    def has_permission(self, request, view):
        return bool(request.user and request.user.is_staff)

IsAuthenticatedOrReadOnly

认证规则必须是只读请求或是合法用户: 游客只读,合法用户无限制

class IsAuthenticatedOrReadOnly(BasePermission):
    # 认证规则必须是只读请求或是合法用户: 游客只读,合法用户无限制
    def has_permission(self, request, view):
        return bool(
            request.method in SAFE_METHODS or 
            request.user and
            request.user.is_authenticated
        )

自定义权限类

1) 创建继承BasePermission的权限类
2) 重写has_permission方法
3) 实现体根据权限规则 确定有无权限
4) 进行全局或局部配置
认证规则:
i.满足设置的用户条件,代表有权限,返回True
ii.不满足设置的用户条件,代表没有权限,返回False

使用:

  • permissions.py 
from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group

需求: 游客只读, 登录用户只读, 只有登录用户属于管理员才有写权限

class MyPermission(BasePermission):
    def has_permission(self, request, view):
        # 只读接口判断
        r1 = request.method in ('GET', 'HEAD', 'OPTIONS')
        # group为有权限的分组
        group = Group.objects.filter(name='管理员').first()
        # groups为当前用户所属的所有分组
        groups = request.user.groups.all()
        r2 = group and groups
        r3 = group in groups
        # 读接口大家都有权限,写接口必须为指定分组下的登陆用户
        return r1 or (r2 and r3)
  • view.py
# 游客只读,登录用户只读,只有登录用户属于 管理员 分组,才可以增删改
from utils.permissions import MyPermission
class TestAdminOrReadOnlyAPIView(APIView):
    permission_classes = [MyPermission]  # 局部配置
    # 所有用户都可以访问
    def get(self, request, *args, **kwargs):
        return APIResponse(0, '自定义读 OK')
    # 必须是 自定义“管理员”分组 下的用户
    def post(self, request, *args, **kwargs):
        return APIResponse(0, '自定义写 OK')
  • settings.py
REST_FRAMEWORK = {
    # 权限类配置
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
        'rest_framework.permissions.IsAuthenticated',
        'rest_framework.permissions.IsAdminUser',
        'rest_framework.permissions.IsAuthenticatedOrReadOnly',
        
        # 全局配置自定义的
        'rest_framework.permissions.MyPermission',
    ],
}

 

i0208
关注
专栏目录
django rest framework 实现用户登录认证详解
09-18
它提供了很多用于序列化、权限控制、版本管理等功能的组件,其中用户认证和权限控制是DRF提供的核心功能之一。用户登录认证作为Web应用安全性的基石,是实现用户验证和授权过程的关键。 1. 安装Django REST ...
REST framework 简介
Waller_的博客
02-13 5397
作用 Django Rest Framework 是一个强大且灵活的工具包,用以构建Web API Django REST Framework可以在Django的基础上迅速实现API,并且自身还带有WEB的测试页面,可以方便的测试自己的API Web项目的两种模式 前后端不分离 在前后端不分离的引用模式中,前端页面看到的效果都是由后端控制的,由后端页面渲染或者重定向(每次返回时都是使用r...
Django的web框架Django Rest_Framework精讲(一)
景天科技苑
01-31 6343
Django REST framework是一个建立在Django基础之上的Web 应用开发框架,可以快速的开发REST API接口应用,简称DRF。 在REST framework中,提供了序列化器Serialzier的定义,可以帮助我们简化序列化与反序列化的过程,把queryset类型数据自动转化为json等可以传到前端的数据类型 不仅如此,还提供丰富的类视图、扩展类、视图集来简化视图的编写工作。
二、rest_framework 简介和简单示例
光明小学王小雨的博客
01-05 5384
一、安装 DRF是以Django扩展应用的方式提供的,所以我们可以直接利用已有的Django环境而无需从新创建。(若没有Django环境,需要先创建环境安装Django) 1、安装 pip install djangorestframework 2、添加rest_framework应用 在settings.py的INSTALLED_APPS中添加’rest_framework’。 INSTALLED_APPS = [ ... 'rest_framework', ] 接下来就可以使用DRF
rest_framework】入门教程 | 虚拟环境
Marianas Trench
08-26 1070
新建项目 新建一个名为mysite的项目 django-admin startproject mysite
Django(16):rest_framework框架使用指南
qq_43745578的博客
01-12 3786
rest_framework框架使用总结
Restframework介绍
daruan1111的博客
07-31 529
1.REST介绍   REST与技术无关,它代表的是一种软件架构风格,全称Representational State Transfer,中文翻译为“表征状态转移”   REST从资源的角度类审视整个网络,它将分布在网络中某个节点的资源通过URL进行标识,客户端应用通过URL来获取资源的表征,获得这些表征致使这些应用转变状态 1.1.RESTful API设计   当前发展前端设...
43.Permission源码解析和自定义权限
木子七的博客
10-13 173
drf的权限类位于permission模块 如何确定权限 认证、限流,权限决定是否应该接收请求或拒绝访问 权限检查在视图的最开始处执行,在继续执行其他代码前 权限检查通常会使用request.user和request.auth属性中的身份认证信息来决定是否允许请求 不同级别的用户访问不同的api过程中,使用权限来控制访问的许可 DRF框架的权限被定义为一个权限类的列表,表示拥有列表中...
Django Rest framework Permissions
JosephThatwho的博客
04-26 501
权限(Permissions)和认证(Authentication)以及节流(Throttling)一起决定一个请求是否会被接受或拒绝。 权限检查会在视图最开始执行,先于视图中的其他代码。权限校验通常使用认证阶段产生的request.user和request.auth参数。 最简单的权限校验是接受所有携带了认证用户的请求以及用户未被认证的访问只读信息的请求。这中权限控制可以通过REST Frame...
「Django REST Framework 框架」Permissions权限解析及应用举例
qinzuoyu996的博客
08-23 1136
全部 Django Web 开发文章索引目录传送门: 【Django Web 开发】全部文章目录索引 文章目录 内容介绍 Permissions权限 应用举例 内容介绍 代码内容基于「Django REST Framework API框架」源码版本 3.12.x ,更新内容会进行标记说明对应版本。 身份认证和权限组合使用,用来确定请求是否返回数据还是拒绝请求数据。 Permissions权限 1.确定权限 # 在运行视图前检查每个请求的权限 # 如果检查失败则会引发 exceptions.Perm
【Django】REST_Framework框架——序列化器serializers源码解析
python全栈
10-26 2868
1、在客户端请求时,使用序列化器可以完成对数据的反序列化(将字典格式的数据转化为模型对象)。 2、在服务器响应时,使用序列化器可以完成对数据的序列化(将模型对象转化为字典格式的数据)。Serializer的构造方法为:使用序列化器进行反序列化输入时,需要进行验证,通过后,才能获取验证成功后的数据案例1: 案例2 4.3、validate_字段名:对字段进行校验 单个字段进行校验:项目名称不能多于10个字 4.4、validate:多字段校验 5、反序列化-保存数据 前面的验证数据成功后,我们可以使用序列化
REST_FRAMEWORK权限permission
weixin_40310390的博客
08-03 717
REST_FRAMEWORK重要组件--->permission2.权限(permission) 2.权限(permission) (1).如果说认证是浏览器带token或者其他字段与后台字段建立起来的一座桥梁,那么权限就是穿越桥梁所遇到的     一个门槛。当你的权限很高时,你所能跨越的门槛就很高,即系统向你提供的信息就很多。相反,则只能看...
【django2.0之Rest_Framework框架二】rest_framework视图介绍
monoplasty的博客
10-17 316
REST framework 提供了众多的通用视图基类与扩展类,以简化视图的编写。
Django REST framework 简介与中文教程_restframework教程中文版(1)
最新发布
2301_77033672的博客
04-13 1481
现在,我们已经在Web API上获得了一组相当细粒度的权限,以及系统用户和他们创建的代码片段的端点。在本教程的第5部分中,我们将研究如何通过为高亮显示的代码段创建HTML端点来将所有内容连接在一起,并通过使用超链接处理系统中的关系来提高API的内聚性。
Django注册rest_framework报错(已安装但是只要一注册就报错NO Model ‘rest_framework’)
m0_58013970的博客
06-16 1506
报no model错误,并且已安装了djangorestframework包但依然报错,可能是版本的问题,重装或者指定python版本就可以解决
rest_framework_django学习笔记三(异常、登录认证)
weixin_51715424的博客
11-30 1482
rest framework django 异常 登录认证
Django Rest_Framework(DRF)
m0_61810345的博客
02-26 2032
Django REST framework中的Serializer使用类来定义,必须直接或间接继承于rest_framework.serializers.Serializer。rest_framework.serializers 是drf提供给开发者调用的序列化器模块里面声明了所有的可用序列化器的基类,常用的有:Serializer 序列化器基类,drf中所有的序列化器类都必须继承于 Serializer。
Django Rest Framework权限组件深度解析
"Django Rest framework权限的详细用法" 在Django Rest Framework (DRF)中,权限管理是至关重要的,它允许你控制哪些用户或角色可以访问特定的API端点。权限系统确保只有具备相应权限的用户才能执行特定操作,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值