Django REST framework中认证和权限的使用方法

最新推荐文章于 2023-04-13 00:45:04 发布
最新推荐文章于 2023-04-13 00:45:04 发布
阅读量1k 收藏 1
点赞数 3
分类专栏: web框架 文章标签: DRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li944254211/article/details/109488224
版权

Django REST framework中认证和权限的使用方法

认证方式:

  • 基本认证
  • 会话认证(SessionAuthentication)
  • 令牌认证(TokenAuthentication)

基本认证:
此身份验证方案使用HTTP基本身份验证,该身份针对用户的用户名和密码进行了签名。基本身份验证通常仅适用于测试。
如果成功通过身份验证request.user将是DjangoUser实例。
未经授权的身份验证的响应将被拒绝 HTTP 401 Unauthorized

会话认证(SessionAuthentication):
此身份验证方案使用Django的默认会话后端进行身份验证。会话身份验证适用于在与您的网站相同的会话上下文中运行的AJAX客户端。

如果成功通过身份验证request.user将是DjangoUser实例。

未经授权的身份验证的响应将被拒绝HTTP 403 Forbidden。

令牌认证(TokenAuthentication)
此身份验证方案使用简单的基于令牌的HTTP身份验证方案。令牌认证适用于客户端-服务器设置,例如本机台式机和移动客户端。

为了使客户端进行身份验证,令牌密钥应包含在AuthorizationHTTP标头中。密钥应以字符串文字“ Token”作为前缀,并用空格分隔两个字符串。例如:

Authorization:Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b

认证失败会有两种可能的返回值:

401 Unauthorized 未认证
403 Permission Denied 权限被禁止

认证全局设置
可以在配置文件中配置全局默认的认证方案,配这里是应用在全局的

REST_FRAMEWORK = {
    # 默认的认证列表: session
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.SessionAuthentication',  # session认证
    )
}

因为 认证一般都是和权限配合使用,当我们不设置权限时,是没有任何效果的。为了让大家看到最佳效果,我们额外添加一条配置信息。配置信息的意思是 只有认证登录用户才可以访问视图

REST_FRAMEWORK = {
    # 默认的认证列表: session
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.SessionAuthentication',
    ],
    # 默认的权限列表: 只有登录用户才可以访问
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

指定视图认证设置
我们也可以在每个视图中通过设置authentication_classess属性来设置

from book.models import BookInfo
from book.serializers import BookInfoModelSerializer
from rest_framework.viewsets import ModelViewSet
from rest_framework.authentication import TokenAuthentication


class BookModelViewSet(ModelViewSet):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoModelSerializer

    #单个视图,设置单独认证方式
    authentication_classes = [TokenAuthentication]

单个视图进行认证,仅对该视图有效。

权限Permissions

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

  • 在执行视图的dispatch()方法前,会先进行视图访问权限的判断
  • 在通过get_object()获取具体对象时,会进行对象访问权限的判断

1.权限的种类

  • AllowAny 允许所有用户
  • IsAuthenticated 仅通过认证的用户
  • IsAdminUser 仅管理员用户
  • IsAuthenticatedOrReadOnly 认证的用户可以完全操作,否则只能get读取

2.使用
可以在配置文件中设置默认的权限管理类,如

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',# 仅通过认证的用户
    )
}

如果未指明,则采用如下默认配置:

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)

也可以在具体的视图中通过permission_classes属性来设置,如

from book.models import BookInfo
from book.serializers import BookInfoModelSerializer
from rest_framework.viewsets import ModelViewSet
from rest_framework.authentication import SessionAuthentication

class BookModelViewSet(ModelViewSet):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoModelSerializer

    #单个视图,设置单独认证方式
    authentication_classes = [SessionAuthentication]
    permission_classes = [AllowAny]

3.指定视图设置(仅在该视图生效)

from book.models import BookInfo
from book.serializers import BookInfoModelSerializer
from rest_framework.viewsets import ModelViewSet
from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import AllowAny

class BookModelViewSet(ModelViewSet):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoModelSerializer

    #单个视图,设置单独认证方式
    authentication_classes = [SessionAuthentication]
    #设置单独的权限
    permission_classes = [AllowAny]
来一串八二年的葡萄干
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Django REST Framework教程(5): 认证(Authentication)与权限(Permission)初识
大江狗
10-17 2689
在前面教程我们以博客为例,使用DRF开发了博客文章列表资源和单篇文章资源这两个API,支持客户端以各种请求方式对文章资源进行增删查改。然而目前的 API 对谁可以新建、编辑或删除文章资...
权限 - Permissions - 自定义
weixin_41957017的博客
11-17 2404
分类 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 提供的权限分类(不够用,就自定义) AllowAny 允许所有用户 IsAuthenticated 仅通过认证的用户 IsAdminUser 仅管理员用户 IsAuthentic...
rest_framework11:jwt简单例子/自定制基于jwt认证
winterye12的博客
10-28 327
jwt简单例子 一、登陆设置 1.不需要写login的视图类,使用jwt内置的。 2.需要前置条件,已有继承AbstractUser models,并且有数据,用于校验,返回token。 urls.py from rest_framework_jwt.views import obtain_jwt_token urlpatterns = [ path('login/', obtain_jwt_token), ... ] 二、访问视图类设置 需要两者搭配,才能校验 .
权限认证[还是有问题]
weixin_38107457的博客
09-14 361
权限认证
django restful权限认证方式
m0_62520968的博客
04-24 670
1.session认证: # # 全局所有页面都有权限认证 # REST_FRAMEWORK = { # 'DEFAULT_AUTHENTICATION_CLASSES': ( # 'rest_framework.authentication.BasicAuthentication', # 'rest_framework.authentication.SessionAuthentication', # ), .
Django REST framework 实现 API 认证和授权
最新发布
weixin_41276201的博客
04-13 830
要在 Django REST framework 实现 API 认证和授权,您可以使用内置的身份验证和权限类。步骤 2:安装django-rest-auth django-rest-auth 提供了简单易用的登录、登出、注册等认证功能。默认情况下,您的 API 端点将需要身份验证,因为我们在步骤 4 配置了。在使用这些端点时,请确保每个需要身份验证的请求都包含了正确的认证令牌。根据您的需要,您还可以在视图层面覆盖默认的身份验证和权限类。的一个分支,支持更新的 Django 版本。
Django restframework 框架认证权限、限流用法示例
09-18
Django Rest Framework(DRF)是一个为开发高质量API而设计...总结,Django Rest Framework提供了强大的认证权限和限流机制,使开发者能够构建安全、可控的API。通过合理配置和自定义,可以满足各种复杂的应用场景。
Django REST framework讲义PDF全集,文文档PDF版
08-11
Django REST Framework提供了一系列工具和库,简化了开发RESTful API的过程。它包括序列化、认证权限管理、分页、过滤等关键功能,并且支持自定义,以满足各种项目需求。DRF的API友好,文档详尽,社区活跃,是开发...
Django Rest framework认证组件详细用法
09-18
下面将详细介绍DRF认证组件的使用和实现原理。 ### 一、DRF认证组件的原理 DRF认证组件的核心在于`authenticate`方法,该方法通常在`BaseAuthentication`类被重写。当请求到达时,DRF会调用这个方法来验证请求...
Django Rest framework权限的实现示例
01-01
为了更好的管理各个功能组件,在django rest framework认证 我们说到可以将认证类单独的拿出来,放到其他目录下,然后导入到 views.py 文件,在权限环节我们亦可以这么做,目录结构就变成这样 在api这个app...
初识Django(2)
ngjgyg的博客
08-12 133
MVT&MVC这个框架的设计模式,Django主要采用MVT模式模型,操作数据库功能部分视图,接收请求,发送请求,响应对象模版,用来展示视图操作后的数据,也可以在模版为用户提供表单,让用户可以提交数据在其他语言框架,还有另外一种盛行的模式,叫做MVC,类似与Django的MVT模型,和MVT的 m 是一样的,同样用来操作数据库视图,和MVT的 T 是一样的,用来进行数据的可视化:控制器,相当于MVT的 V,用来进行数据的逻辑操作。...
permissions
jiang_xiaoo24的博客
03-21 408
1、在model表添加用户user owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE) 2、在序列化表添加如下关联信息 对应表 owner = serializers.ReadOnlyField(source='owner.username') 用户表 ...
Django通过rest_framework.permissions模块IsAuthenticated实现身份验证
阳光女孩---python-Girl
01-04 4986
今天我给大家介绍如何写用户信息页面,当我们在登录完后,可以查看自己的用户信息,这里仅介绍登录的情况下。那是如何实现的呢?首先我们在登录的时候,用ajax请求把用户id和username以及token信息存储到sessionstorage,这里的 id,username,token是login时候后端实现传到前端的哦,这里不将介绍,我的token是用的django-restframe-jwt实现的...
drf - Django Rest Framework Permissions权限验证详解
weixin_51098806的博客
03-24 3394
来我的GitHub来看更多关于DRF的资料吧 十分钟学会DRF的企业级用法 官方解释: 权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求的身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权 限用于授予或拒绝不同类型的用户对API不同部分的访问。 最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架的IsAuthenticated类。 其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继
python权限框架_Django restframework 框架认证权限、限流用法示例
weixin_42501161的博客
12-24 235
本文实例讲述了Django restframework 框架认证权限、限流用法。分享给大家供大家参考,具体如下:概述Django Rest Framework 是一个强大且灵活的工具包,使用Django REST Framework可以在Django的基础上迅速实现API,用以构建Web API。认证Authentication可以在配置文件配置全局默认的认证方案REST_FRAMEWORK ...
DRF框架(十二)——认证Authentication,权限Permissions
一天不写代码难受的博客
02-10 642
目录认证权限提供的权限自定义权限 认证 可以在配置文件配置全局默认的认证方案 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthentication', # 基本认证 'rest_framework.authentication.SessionAuthentication', # session认证 ) } 也可
DRF(九):认证权限
qingyanhuan的博客
09-14 889
认证 自定义认证 权限 自定义权限
Django restframework permission 权限
水野与小太郎的博客
12-05 1127
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性的身份验证信息来确定是否允许传入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架权限认证一样:为权限类列表。 在运行视图主体之前,将检查列表的每个权限。如...
rest_framework学习之认证(Authentication)&权限(Permissions)
zhubaoJay的博客
06-15 4725
认证权限控制是web开发较为重要的知识点,我们看下django rest_framework认证权限是如何实现的 概述 我们知道,在django,提供内置的认证权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证权限。 re...
Django Rest Framework 文教程:序列化与API开发
"这篇教程是关于Django Rest Framework文版,适合初学者跟随学习。教程涵盖了序列化、请求...通过遵循教程的指导,你将逐步学习到如何在Django Rest Framework设置和使用这些组件,从而构建出功能完善的API服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值