最近在项目中需要使用django rest framework框架进行rest api设计,这很符合现在的restful 设计理念.
在设计好api视图函数后,需要对请求进行权限限制和审查,对于有权限的则允许通过,对于无权限的拒绝请求.同时,最初的设想是超级用户拥有对api里增删改查的权限,而其他普通用户只有只读权限.对于这个设想.之前的设计是用django的has_perm进行权限判断,有即放行.无就拒绝,同时,对于放行的用户,判断其request.method是否在permissions.SAFE_METHODS里,是就放行,否则拒绝.
后来仍感觉不妥,询问大佬.说需求没这么复杂,暂时就是通过权限来判断即可,对于请求方法的判断是多余.于是通过观察权限判断的源码重写一个MIxin函数来重构rest framework中ModelViewSet的判断权限的方法.Mixin函数如下:
class CheckPermMixin(object):
def check_permissions(self, request):
if not request.user.has_perms(self.perms):
self.permission_denied(request, message='forbidden')
对于我们给定的权限self.perms,有,则通过,否则拒绝
同时,视图函数中也需要继承.在构建视图函数时,我用的是viewsets.ModelViewSet,好处是这很python.一个视通函数即可表示出get,post,put,option,delete等各种方法.如下所示:
class YourViewSet(CheckPermMixin, viewsets.ModelViewSet):
queryset = YourModel.objec