Django编写RESTful API(四):认证和权限

最新推荐文章于 2022-08-24 19:15:00 发布
最新推荐文章于 2022-08-24 19:15:00 发布
阅读量435 收藏 1
点赞数

欢迎访问我的个人网站:www.comingnext.cn

前言:

按照前面几篇文章里那样做,使用Django编写RESTful API的基本功能已经像模像样了。我们可以通过不同的URL访问到不同的资源,通过不同的HTTP请求来实现对资源的不同操作。

但是现在我们的API还有一个很明显的缺陷,那就是没有认证和权限功能,任何资源都会任何用户被随意更改,所以我们要改进程序,实现以下功能:

  1. snippet与其创建者相互关联
  2. 只有经过身份验证(登录)的用户才可以创建snippets
  3. 只有创建该snippet的用户才可以对其进行更改或者删除
  4. 未经验证的用户只具有访问(只读)的功能

修改snippet模型

首先,我们想让snippets都和它们的创建用户关联起来,所以我们自然的要在Snippet模型添加一个owner字段来表示。另外,我们还添加一个highlighted字段用来实现代码高亮,修改snippets/models.py的Snippet:

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

 

想要实现代码高亮,当然不是上面一行代码就搞定了,它现在还只是一个普通的字段而已。我们要做的是在保存的时候,也就是当执行save()时, 我们使用pygments生成高亮后的HTML,还是在model.py,首先导入相关的库:

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

 

然后在Snippet类中添加save()方法:

def save(self, *args, **kwargs):
    """
    使用pygments库来生成能使代码高亮的HTML代码
    """
    lexer = get_lexer_by_name(self.language)
    linenos = self.linenos and 'table' or False
    options = self.title and {'title': self.title} or {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos,
                              full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super(Snippet, self).save(*args, **kwargs)

 

在保存数据的时候就会执行上面这个方法,整个方法的功能如注释所示,在这一篇文章中还不会具体的展示这个功能,在接下来的文章中会展示。

修改了模型当然需要同步一下数据库了,在这里我们和官方文档一样把数据库删了在重新生成,首先把工程目录下的db.sqlite3以及snippets下的migrations文件夹删除,然后再执行迁移步骤:

python manage.py makemigrations snippets
python manage.py migrate

 

同时,由于我们想要实现的是访问各个snippet时显示相应的创建者,所以这里需要创建几个不同的账户稍后才可以显示。

python manage.py createsuperuser

 

为我们的用户模型添加端点

原理和之前的SnippetSerializer基本一样,在snippets/serializers.py中添加一个User序列化器:

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

 

注意到里面的:

snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

 

因为snippets在User模型中是一个反向关系,在使用ModelSerializer类时默认情况是不会包括这个关系,就是说通过Snippet的owner能查询到User,而User这边查询不到一个用户创建的snippet,所以我们需要手动为用户序列添加这个字段。

弄好了User的序列化器,接着就要让其能够显示出来,所以要添加相关的视图类,编辑view.py:

from django.contrib.auth.models import User
from snippets.serializers import UserSerializer


class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

 

写好了视图函数,想要通过URL访问到它们,肯定是配置一下路由分发啦,编辑snippets/urls.py,添加下面的匹配模式:

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

 

把Snippets和Users关联起来

到了这里,如果像之前那样创建代码段的话,我们还不能把Snippets和Users关联起来。因为在使用的时候User的数据是通过request传入的,而不是以序列化的数据传递过来。

而我们刚才添加了一个owner作为外键,这个时候就要看到它的用处了,编辑view.py,为SnippetList视图类添加一个方法:

class SnippetList(generics.ListCreateAPIView):
    queryset = Snippet.objects.all()
    serializer_class = SnippetSerializer
    permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

    def perform_create(self, serializer):
        serializer.save(owner=self.request.user)

 

这个perform_create() 可以让用户在通过POST请求创建一个新的Snippet时,在保存新的Snippet数据的时候会把request中的user赋值给Snippet的owner。等下具体使用的时候就可以轻松的理解了。

更新serializer

上一步已经把两者关联起来了,owner会在创建新的Snippet的时候拥有User的各个属性,那么在API中要让owner显示id还是用户名,为了提高可读性,答案当然是显示用户名了,所以我们在SnippetSerializer 下面增加一个字段:

owner = serializers.ReadOnlyField(source='owner.username')

 

这里的source参数就指定了哪个属性用于填充字段,为了在使用的时候显示owner,但是还要把它添加进Meta类里面,所以整个SnippetSerializer如下:
class SnippetSerializer(serializers.ModelSerializer):
    # 这里可以使用也 CharField(read_only=True) 来替换
    owner = serializers.ReadOnlyField(source='owner.username')

    class Meta:
        model = Snippet
        fields = ('id', 'title', 'code', 'linenos', 'language', 'style','owner')

 

添加权限

现在Snippet和User已经关联起来并且是可浏览的。接下来我们要实现的及时权限的问题了。也就是我们一开始说的几点中的:

  1. 只有经过身份验证(登录)的用户才可以创建snippet

  2. 只有创建该snippet的用户才可以对其进行更改或者删除

  3. 未经验证的用户只具有访问(只读)的功能

首先在views.py导入一个库:

from rest_framework import permissions

 

接着为SnippetList 和 SnippetDetail添加权限判断,在这两个视图类中都加入:

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

这里要特别注意,有一个坑,就是那个逗号一定要加上去,不然就会报错。

这行代码的作用就是判断当前用户是否为该Snippet的创建者,而其他用户只有只读属性,就是只能查看。

 

为可浏览的API添加登录功能

刚才添加了权限判断,如果没有登录用户,那就相当于游客啦,什么功能都没有只能看,所以在浏览器浏览API的时候就需要登录 功能。在这里,强大的django-rest-framework又为我们做了很多事情,想要在添加登录按钮和页面,只需要修改一个rest_tutorial/urls.py,添加一个URL匹配:

urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

 

这里的r'^api-auth/'你可以设置成任意你喜欢的,但是命名空间一定要相同,就是namespace='rest_framework'。

好了,现在打开浏览器,就可以看到在我们的API页面的右上角有一个登录的按钮,点击之后就可以使用之前创建的用户登录了。

这个时候访问单个用户的详情,就可以看到该用户创建的所有Snippet的id值(需要先创建好几个Snippet,可以按照本系列第一篇文章中在shell模式中的方法来创建)。比如访问:

http://127.0.0.1:8000/users/2/

 

可以看到: 
image

添加对象权限

接着我们要实现的是让所有的Snippet可以被所有人访问到,但是每个Snippet只有其创建者才可以对其进行更改、删除等操作。

因此,我们需要设置一下自定义权限,使每个Snippet只允许其创建者编辑它。在snippets目录下新建一个permissions.py:

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    使每个Snippet只允许其创建者编辑它
    """

        def has_object_permission(self, request, view, obj):
        # 任何用户或者游客都可以访问任何Snippet,所以当请求动作在安全范围内,
        # 也就是GET,HEAD,OPTIONS请求时,都会被允许
        if request.method in permissions.SAFE_METHODS:
            return True

        # 而当请求不是上面的安全模式的话,那就需要判断一下当前的用户
        # 如果Snippet所有者和当前的用户一致,那就允许,否则返回错误信息
        return obj.owner == request.user

 

代码的逻辑已在注释中,简单说就是提供判断功能,然后我们要把它运用起来,在view.py中的SnippetDetail 修改一下:

class SnippetDetail(generics.RetrieveUpdateDestroyAPIView):
    queryset = Snippet.objects.all()
    serializer_class = SnippetSerializer
    permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                          IsOwnerOrReadOnly,)

 

注意要导入IsOwnerOrReadOnly类:

from snippets.permissions import IsOwnerOrReadOnly

 

现在用浏览器打开单个Snippet详情页,如果你当前登录的用户是这个Snippet的创建者,那你会发现多了DELETE和PUT两个操作,比如访问http://127.0.0.1:8000/snippets/2/,效果如下: 
image

使用API授权

由于现在我们还没使用authentication 类,所以项目目前还是使用默认的SessionAuthentication 和 BasicAuthentication.

在使用浏览器访问API的时候,浏览器会帮我们保存会话信息,所以当权限满足时就可以对一个Snippet进行删除或者更改,或者是创建一个新的Snippet。

当如果是通过命令行来操作API,我们就必须在每次发送请求的时候添加授权信息,也就是用户名和密码,没有的话就会报错,比如:

http POST http://127.0.0.1:8000/snippets/ code="print 123"

{
    "detail": "Authentication credentials were not provided."
}

 

正确的操作如下:

http -a username1:password POST http://127.0.0.1:8000/snippets/ code="print 789"

{
    "id": 1,
    "owner": "username1",
    "title": "",
    "code": "print 789",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

 

我们可以看出owner就是提交过来的用户名,这就是上面代码的功能体现:

    def perform_create(self, serializer):
        serializer.save(owner=self.request.user)

 

通过实际使用更能理解程序,owner会在一个用户创建Snippet时得到该用户的信息就是这么来的。

关于认证和权限的部分就先到这了。我们在上面写的代码中,highlight部分,我们说它的功能是生成能让代码段高亮的HTML代码,这一部分还没有使用到,接下来就介绍它。

hhhh222222
关注
django-oscar-apidjango-oscar的RESTful JSON API
02-04
**django-oscar-api** 是一个基于 **Django** 和 **Django-Oscar** 的扩展库,专门为 **Oscar** 框架提供了 **RESTful** 风格的 **JSON API** 支持。这个库使得开发人员可以方便地创建、读取、更新和删除(CRUD)...
django restframework 中 APIView中 验证 权限 以及节流使用 以及一点点原理说明
dandanfengyun的博客
01-05 2512
本博客作为个人笔记使用 主要是 记录 APIView 类的 用户认证 权限校验 以及 节流的使用与一些 原理说明 水平十分有限 创建 用户 使用的是django自带的User。 序列化器 如下 from django.contrib.auth.models import User from rest_framework import serializers class MyUserSeria...
如何在Python中使用Rest API
寒冰屋的专栏
08-24 1767
当今数字世界中的大多数Web服务都通过应用程序编程接口(API)使第三方应用程序可以访问其数据。要构建这些API,我们需要一些架构风格。REST是构建API最流行的架构风格之一,Python可能是从REST API获取数据以及构建我们自己的Python REST API的最佳选择。
Django 架设 Restful APIAPI开发:OAuth2.0 认证和鉴权
anbuqi的博客
05-02 3354
1.Django 架设 Restful API(三)
DRF-基于APIView认证流程
weixin_34119545的博客
01-10 249
rest framework框架 我们来看一段伪代码,MyClassView继承了APIView就有了APIView的功能 class APIView(View): pass class MyClassView(APIView): pass 基于Django的CBV from ...
django_REST_API:在Django中创建RESTful API
04-17
它提供了一系列简洁易用的组件,如序列化器(Serializers)、视图(Views)、路由器(Routers)和权限管理,使得开发RESTful API变得更加简单。 2. **序列化(Serialization)**: 序列化是将Python对象转换为JSON...
详解Django rest_framework实现RESTful API
09-20
Django REST framework不仅仅提供了构建RESTful API的工具,还提供了丰富的功能,比如序列化(serialization)、权限控制(permissions)、过滤(filtering)、分页(pagination)等等,这些都大大简化了RESTful API...
Python利用Django如何写restful api接口详解
09-20
总结来说,使用DjangoDjango REST framework编写RESTful API接口涉及到以下步骤: 1. 安装并配置DRF。 2. 创建视图,选择适当的视图类以支持所需的HTTP方法。 3. 编写序列化器,定义数据的序列化和反序列化规则。 ...
django-recipe-app:使用Django构建的REST API
03-15
django-recipe-app: 使用Django构建的REST API】是一个基于Python的Web开发框架Django创建的应用程序,它提供了一个RESTful(Representational State Transfer)API接口,用于处理食谱数据。REST API是一种广泛...
API接口开发 dome源码 加密 鉴权验证
11-29
开发安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)4种加密方式的Dome
Python+Vue+Django前后端分离项目实战
02-12
本门课程重实战,将基础知识拆解到项目里,让你在项目情境里学知识。 这样的学习方式能让你保持兴趣、充满动力,时刻知道学的东西能用在哪、能怎么用。 平时不明白的知识点,放在项目里去理解就恍然大悟了。   一、融汇贯通 本视频采用了前后端分离的开发模式,前端使用Vue.js+Element UI实现了Web页面的呈现,后端使用Python 的Django框架实现了数据访问的接口,前端通过Axios访问后端接口获得数据。在学习完本章节后,真正理解前后端的各自承担的工作。   二、贴近实战 本系列课程为练手项目实战:学生管理系统v4.0的开发,项目包含了如下几个内容:项目的总体介绍、基本功能的演示、Vuejs的初始化、Element UI的使用、在Django中实现针对数据的增删改查的接口、在Vuejs中实现前端增删改查的调用、实现文件的上传、实现表格的分页、实现导出数据到Excel、实现通过Excel导入数据、实现针对表格的批量化操作等等,所有的功能都通过演示完成、贴近了实战   三、课程亮点 在本案例中,最大的亮点在于前后端做了分离,真正理解前后端的各自承担的工作。前端如何和后端交互   适合人群: 1、有Python语言基础、web前端基础,想要深入学习Python Web框架的朋友; 2、有Django基础,但是想学习企业级项目实战的朋友; 3、有MySQL数据库基础的朋友  
django restful权限认证方式
m0_62520968的博客
04-24 702
1.session认证: # # 全局所有页面都有权限认证 # REST_FRAMEWORK = { # 'DEFAULT_AUTHENTICATION_CLASSES': ( # 'rest_framework.authentication.BasicAuthentication', # 'rest_framework.authentication.SessionAuthentication', # ), .
Django RESTful API (4) 认证权限
super1peng的博客
03-14 1284
欢迎关注个人微信公众号,大大大碗面,不定期分享AI论文解读和开发技术,互联网小白,轻喷~ 前言 按照前面几篇文章的介绍,使用Django编写RESTful API的基本功能已经像模像样了。我们可以通过不同的URL访问到不同的资源,通过不同的HTTP请求来实现对资源的不同操作。 但是现在我们的API还有一个明显的缺陷,那就是没有认证权限功能,任何资源都会被任何用户随意更改,所以我们要改进程序,实...
django restful token认证
点点先生的博客
09-13 2445
一、TokenAuthentication 基于令牌的HTTP认证方案。令牌身份验证适用于客户端 - 服务器设置。 (1)settings中添加authtoken INSTALLED_APPS = ( ... 'rest_framework.authtoken' ) ps:迁移数据库 migrate (2)设置权限 只能被注册的用户访问 REST_F...
django中的api安全验证解析
Lin的博客
06-20 4608
文章转自--铠甲巨人:https://www.cnblogs.com/ArmoredTitan/p/7639387.html目的:为了客户端与服务器端之间的访问安全,不被第三者拦截,所以需要api验证。客户端部分:首先需要写一段复杂的key,用key来作为安全秘钥,同样在服务器端也会有一个相同的key。然后我们还需要一个时间戳。#时间戳可以相当于动态加密之后将key和时间戳拼接,再用Md5方法加密...
Django 鉴权 - 利用 djangorestframework_simplejwt
IT技术讨论
08-07 7967
安装 pip install djangorestframework_simplejwt 设置 settings.py 设置: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_simplejwt.authentication.JWTAuthentication', ], } 路由配置: from...
Django实现API Token认证机制 --- Django+restframework+JWT
狼性书生
05-27 5154
Django 实现 API Token认证机制 项目地址:https://github.com/ylpxzx/django_jwt_example Session鉴权与Token鉴权的区别 传统session认证 HTTP协议是无状态的,而session的主要目的就是给无状态的HTTP协议添加状态保持,通常在浏览器作为客户端的情况下比较通用,需要在服务端去保留用户的认证信息或者会话信息。 流程: 注册账号 登录页面输入账号密码提交表单后,发送请求给服务器 服务器对账号密码进行验证鉴权,验证鉴权通过后,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值