Django DRF实现用户数据权限控制

已于 2025-04-23 19:51:21 修改
阅读量417 收藏 10
点赞数 4
文章标签: django python 后端
于 2025-04-23 19:05:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carrousel0516/article/details/147461223
版权

在 Django DRF 中使用 ModelViewSet 时,若需实现用户仅能查看和操作自己的数据详情,同时允许所有认证用户访问列表,需结合权限类和动态权限分配。以下是具体步骤:

1. 自定义对象权限类

创建一个 IsOwner 权限类,检查请求用户是否为对象所有者:

python
from rest_framework import permissions

class IsOwner(permissions.BasePermission):
    def has_object_permission(self, request, view, obj):
        # 确保只有所有者可以执行对象级别的操作(如详情、更新、删除)
        return obj.owner == request.user
### 2. 在 ModelViewSet 中动态分配权限

覆盖 get_permissions 方法,根据不同操作应用不同权限:

python
from rest_framework import viewsets, permissions
from .models import MyModel
from .serializers import MyModelSerializer

class MyModelViewSet(viewsets.ModelViewSet):
    queryset = MyModel.objects.all()
    serializer_class = MyModelSerializer

    def get_permissions(self):
        # 针对列表和创建操作,仅需用户认证
        if self.action in ['list', 'create']:
            permission_classes = [permissions.IsAuthenticated]
        else:
            # 针对详情、更新、删除,需认证且是所有者
            permission_classes = [permissions.IsAuthenticated, IsOwner]
        return [permission() for permission in permission_classes]

3. 过滤列表数据(推荐)

通常更安全的做法是过滤列表仅显示用户自己的数据,避免信息泄露:

python
def get_queryset(self):
    # 确保用户只能看到自己的数据
    return MyModel.objects.filter(owner=self.request.user)

此时权限类只需 IsAuthenticated,因为列表和详情已通过过滤限制数据访问:

python
class MyModelViewSet(viewsets.ModelViewSet):
    permission_classes = [permissions.IsAuthenticated]
    
    def get_queryset(self):
        return MyModel.objects.filter(owner=self.request.user)

总结方案

动态权限分配:通过 get_permissions 区分列表和详情操作的权限,允许列表访问但限制详情。

数据过滤:使用 get_queryset 过滤数据,确保用户只能访问自己的条目,这是更安全的做法。

选择方案取决于需求:

允许列表显示所有数据:动态权限 + 不过滤 queryset,但需注意数据暴露。

仅显示用户数据:过滤 queryset + 简单权限,更推荐此方式以确保数据安全。

八九燕来
关注
Django DRF的使用
Y_toffee的博客
06-03 804
DRF 框架,全称为 Django Rest Framework,是 Django 内置模块的扩展,用于创建标准化 RESTful API;它利用 ORM 映射数据库,并自定义序列化数据进行返回,多用于前后端分离项目。:将数据库的东西通过ORM的映射取出来,通过view文件,按照template文件排出的模板渲染成HTML。当用户请求相应的url时,返回相应的结果。
Django DRF权限组件
知远同学的博客
11-20 513
Djangodrf框架内的权限组件,如果遇到多个权限认证类,是需要所有的权限类都要通过验证,才能访问视图。3、settings.py ,如果需要全局设置,可以如下设置。1、per.py 自定义权限类。
Djangodrf实现简单认证、权限管理、限流功能
weixin_40453090的博客
07-19 452
目的:在原来的request对象基础中再进行封装一些drf中需要用到的值。比如认证、权限管理、限流。由上面的代码可知drfDjango原生request对象封装成Request对象,并且初始化authenticators参数,该参数正是认证功能。那么一个请求到达后台后,Djangodrf的执行顺序是如何的呢?
Django DRF - 权限Permissions
Mr_WoLong
04-14 880
Django DRF - 权限Permissions
Django DRF 实现权限管理
qq_42343318的博客
04-04 780
在 Web 应用中,**权限管理** 是一个核心功能,尤其是在多用户系统中,需要精细化控制不同用户的[访问权限](https://so.csdn.net/so/search?q=访问权限&spm=1001.2101.3001.7020)。本文介绍如何使用 **Django + DRF** 设计并实现 **RBAC(基于角色的访问控制)系统**,支持 **目录、菜单、按钮权限**。
Django DRF 认证、权限、频率
XWenXiang的博客
06-21 928
在前面说的 APIView 中封装了三大认证,分别为认证、权限、频率。认证即登录认证,权限表示该用户是否有权限访问接口,频率表示用户指定时间内能访问接口的次数为了方便举例说明,事先定义好模型表 2. 认证 2.1 自定义认证 自定义登录认证可以生成随机字符串,并添加进 UserToken 表中,每一次登录都会生成,若该字符串已存在则更新,不存在则新建。登录视图函数 自定义认证表需要创建认证类,首先继承拓展 BaseAuthentication 导入语句:自定义认证类 2.1.1 全局使用 在配置文件中添加配
Django一分钟:DRF快速实现JWT授权以及RBAC权限校验
2201_75632987的博客
10-14 1075
djangodrf快速实现JWT授权以及RBAC权限校验
后端】【Django DRF】从零实现RBAC 权限管理系统
qq_59344127的博客
03-26 613
RBAC是一个核心功能,尤其是在多用户系统中,需要精细化控制不同用户的访问权限。使用 Django Rest Framework。处理 API 逻辑,提供。继承 Django 的。用户登录后,前端可根据。,实现精细化权限管理。
Django+drf限制用户请求方式
m0_62665450的博客
02-27 162
Django+drf限制用户请求方式
django drf 实现只有超级用户才能注册账号(涉及自定义权限permissions,获取token信息解析token信息)
热门推荐
亚索的博客
02-18 2万+
django drf 实现只有超级用户才能注册账号编写注册序列化器编写注册视图配置二级路由,一级路由和之前登录一样测试注册视图自定义权限测试自定义权限 编写注册序列化器 和之前的登录序列化器写在一个地方 from django.contrib.auth import get_user_model User = get_user_model() class RegisterSerializers(serializers.ModelSerializer): '''增加用户的序列化器''' cl
基于Django+DRF实现的企业管理系统源码,前后端分离,前端Vue,后端Django
06-24
这是一个使用PythonDjango框架和REST Framework(DRF)构建的企业管理系统源代码项目,结合了前端的Vue.js技术实现后端分离。以下是对这个项目的关键知识点的详细解释: 1. **Django**: DjangoPython中的一款...
django drf框架自带的路由及最简化的视图
09-18
在开发Web API时,Django REST Framework(DRF)是一个非常强大的工具,它提供了一整套功能丰富的组件,包括路由和视图。本篇文章将详细探讨DRF框架中自带的路由系统以及如何使用最简化的视图。 ## 路由(Routing)...
基于Django+vue3的rbac权限和数据权限管理系统.zip
01-15
【标题】"基于Django+vue3的rbac权限和数据权限管理系统" 是一个现代Web应用的实现,它结合了PythonDjango框架与前端的Vue.js 3框架,用于构建一套完整的角色基础访问控制(Role-Based Access Control,RBAC)和...
python 脚本引用django中的数据库model
weixin_43632687的博客
04-22 234
假如你现在有这个需求,需要在django工程外的一个python脚本引用django model,那么你可以这么做。
Django】新增字段后兼容旧接口 This field is required
qq_39057568的博客
04-25 183
我在Django模型里新增了两个字段后,旧的接口由于没有同时新增这两个字段的处理,因此旧的接口就报: 把序列化时的 required 的字段设置为即可
基于Django的个性化股票交易管理系统
小宝的博客
04-25 759
本项目基于Python3.6、Django2.1、MySql8.0(最好不要使用5.6,字符集等方面均不兼容,否则导入数据库会出错)与股票信息工具包TuShare实现。创建或激活对应Python开发环境这里使用了conda来管理环境,强烈推荐,避免不同环境包干扰、依赖的问题。(Webdev)$
django之账号管理功能
最新发布
m0_55297736的博客
04-26 588
这一片文章, 我们需要新增账号管理功能, 今天我们写到的代码, 基本上都是用到以前所过的知识, 不过也有需要注意的细节。
使用Django REST Framework快速开发API接口
qq_44623314的博客
04-24 478
什么是DRFDjango REST Framework(DRF) 是基于Django的一个强大且灵活的工具包,用于快速构建Web API。它提供了序列化、认证、权限、分页等开箱即用的功能,极大简化了API开发流程。1.模型定义:通过 Django 模型定义数据结构。2.迁移操作:使用 makemigrations 和 migrate 同步数据库。3.序列化器:DRF 的 ModelSerializer 将模型转换为 JSON。
django之优化分页功能(利用参数共存及封装来实现
m0_55297736的博客
04-26 709
django之优化分页功能(利用参数共存及封装来实现)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值