DRF学习笔记(4)——权限控制

最新推荐文章于 2024-01-21 21:18:58 发布
最新推荐文章于 2024-01-21 21:18:58 发布
阅读量470 收藏 3
点赞数
分类专栏: Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_dongd/article/details/107643001
版权

文章目录


认证确定了你是谁
权限确定你能不能访问某个接⼝
限制确定你访问某个接⼝的频率

认证

自定义认证类
MyAuthentications.py

实现⾃定义的认证⽅案,要继承BaseAuthentication类并且重写.authenticate(self, request) ⽅法。如果认证成功,该⽅法应返回(user, auth)的⼆元元组,否则返回None。
不管是全局认证还是局部认证,都要使用到自定义认证类。

App\MyAuthentications.py
import itsdangerous
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from App.models import User
from App.util import token_confirm

class MyAuthentaion(BaseAuthentication):
    # 自定义的认证类必须实现authenticate,
    # 认证的规则,自己定义,成功返回一个二元组(user,value)
    def authenticate(self, request):
        # 1.获取token
        # token可以从请求的get参数中获取
        token = request.query_params.get('token')

        try:
            uid = token_confirm.confirm_validate_token(token,expiration=3600)  # expiration=3600  token3600秒之后过期
        except itsdangerous.exc.SignatureExpired as e: # token过期
            print(e)
            raise AuthenticationFailed("token过期")
        except:
            return None  # 认证不成功

        # 如果获取到uid
        # 查询数据库,获取用户信息
        try:
            user = User.objects.get(pk=uid)
        except:
            print("数据库访问错误")
            return None

        # print(user.__dict__)
        print("认证通过")
        # 如果找到了用户,认证成功
        return (user, None)
util.py

实现token的生成、验证、移除等操作。

from itsdangerous import URLSafeTimedSerializer as utsr
import base64

class Token:
    def __init__(self, security_key):
        self.security_key = security_key
        self.salt = base64.encodebytes(security_key.encode('utf8'))
    # 生成token
    def generate_validate_token(self, username):
        serializer = utsr(self.security_key)
        res = serializer.dumps(username, self.salt)
        print(serializer)
        return res
    # 验证token
    def confirm_validate_token(self, token, expiration=3600):
        serializer = utsr(self.security_key)
        return serializer.loads(token, salt=self.salt, max_age=expiration)
    # 移除token
    def remove_validate_token(self, token):
        serializer = utsr(self.security_key)
        print(serializer.loads(token, salt=self.salt))
        return serializer.loads(token, salt=self.salt)


token_confirm = Token("sdkfksdfkl*(()872873784387#@#@94.,.,xcv,ksdkfi$#$#")    # 定义为全局变量
全局认证
  • setting设置
REST_FRAMEWORK = {
 'DEFAULT_AUTHENTICATION_CLASSES': (
	 'App.authentications.MyAuthentication', 
 )
}
  • 视图函数获取token
    获取的token是所有的user公用的token
views.py
class UserToken(GenericAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer
    def get(self,request):
        # 产生token
        user = User.objects.first()
        # 使用用户id生成token
        token = token_confirm.generate_validate_token(user.id)
        # 把token返回给客户端
        return Response({'token':token})

path('user/<int:pk>/',views.UserInfoView.as_view(),name='user'),
path('token/',views.UserToken.as_view(),name='usertoken'),
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

局部认证
  • 在视图函数中写认证函数
views.py
class UserInfoView(GenericAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer
    # 局部认证,只针对当前类
    authentication_classes = (MyAuthentaion,)
    lookup_field = 'pk'
    def get(self,request,pk):
        obj = self.get_object()  # 获取对象
        us = UserSerializer(instance=obj)  # 序列化
        return Response(us.data)

权限控制

权限控制可以限制⽤户对于视图的访问和对于具体数据对象的访问。

  • 在执行视图的dispatch()⽅法前,会先进行视图访问权限的判断。
  • 在通过get_object()获取具体对象时,会进行对象访问权限的判断
    权限针对模型或者视图对象
全局权限控制
  • 在setting中设置DEFAULT_PERMISSION_CLASSES
  • 限制访问
    最简单的权限是允许通过身份验证的用户访问,并拒绝未经身份验证的用户访问。这对应于 REST framework 中的 IsAuthenticated 类。
    稍微宽松的权限会允许通过身份验证的用户完全访问,而未通过身份验证的用户只能进行只读访问。这对应于 REST framework 中的 IsAuthenticatedOrReadOnly 类。
    AllowAny 允许所有用户
    IsAuthenticated 仅通过认证的用户
    IsAdminUser 仅管理员用户
    IsAuthenticatedOrReadOnly 认证的用户可以完全操作,否则只能get读取
REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}
  • 无限制访问
'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)
自定义权限控制
App\MyPerssions.py
class MyPermisson(BasePermission):
    # 对视图授权
    def has_permission(self, request, view):
        print("权限限制")
        # 返回True就是有权限
        # 返回False就是没权限
        # return False

        # 认证通过就有权限
        return request.user and isinstance(request.user,User)

views.py
class UserInfoView(GenericAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer
    # 局部认证,只针对当前类
    authentication_classes = (MyAuthentaion,)
    # 授权
    permission_classes = (MyPermisson,)
    lookup_field = 'pk'
    def get(self,request,pk):
        obj = self.get_object()  # 获取对象
        us = UserSerializer(instance=obj)  # 序列化
        return Response(us.data)

在这里插入图片描述

刘啊咚咚锵
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python学习笔记10——文件操作相关
星魂的博客
06-19 430
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 从本章开始,我们进入python学习的第二阶段 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings
DRF的序列化——Serializers 序列化
01-20
为什么要用序列化件 当我们做前后端分离的项目~~ 我们前后端交互一般都选择JSON数据格式,JSON是一个轻量级的数据交互格式。 那么我们给前端数据的时候都要转成json格式,那就需要对我们从数据库拿到的数据进行...
DRF学习——权限件(一)
Hemameba的博客
06-27 520
本篇文章主要介绍权限件的快速使用,并从源码角度分析drf权限件的调用过程。
DRF学习笔记(5)——节流、分页、过滤、生成接口文档
liu_dongd的博客
07-31 331
文章目录节流自定义类局部限制全局限制使用自定义节流类使用DRF提供的节流类可选节流类分页系统提供的可选分页器PageNumberPaginationLimitOffsetPagination全局分页针对视图写分页过滤 节流 节流类似于权限,⽤于控制客户端可以对API发出的请求的速率。 自定义类 继承自SimpleRateThrottle,要在里面设置rate和重写get_cache_key(self, request, view) App\MyThrottle.py from rest_framework.
Hadoop学习笔记
NotLency的博客
08-22 1815
Hadoop学习简介前言:大数据的概念一、Hadoop入门1.概念1.1 Hadoop是什么?1.2 Hadoop发展历史1.3 Hadoop三大发行版本1.4Hadoop的优势1.5Hadoop的成1.5.1 HDFS架构概述1.5.2 YARN架构概述1.5.3 MapReduce架构概述1.5.4 HDFS、YARN、MapRecduce三者间的关系1.6大数据技术生态体系1.7推荐系统案例2. 环境准备2.1模板虚拟机的准备2.2克隆2.3安装JDK以及Hadoop3.Hadoop生产集群搭建3.
django rest framework 学习笔记
种一棵树,最好的结果是十年前,其次是现在!
01-21 585
当用户进行登录的时候,运行了登录类的as_view()方法,进入了APIView类的dispatch方法 执行self.initialize_request这个方法,里面封装了request和认证对象列表等其他参数。校验数据,因为Excel表格里的数据没有约束,经常会出现数据不符合数据表字段约束条件的情况,若不校验会导致大量数据读出来以后存数据库时报错,导致写进数据库的操作失败!当您需要处理大型文件或数据时,生成器函数非常有用,因为它们可以在需要时按块生成数据,并且可以避免一次性加载大量数据到内存中。
Vue + drf 打造前后端分离的生鲜电商平台 —— 周报 4
MartinHub
02-10 535
—————— 学习周报 2019.2.10 掌握的技术: Vue + Django REST framework 前后端分离技术 restful api 开发流程 Django REST framework 的功能实现和核心源码分析 Sentry 完成线上系统的错误日志的监控和警告 第三方登录和支付宝支付的集成 本地调试远程服务器代码技巧 ...
rest_framework_django学习笔记一(序列化器)
weixin_51715424的博客
11-29 999
rest_framework——django 简单序列化器
RESTful API入门学习笔记
SCUhzs
04-28 546
文章目录参考资料1. 什么是RESTful风格?1.1 REST全称1.1 实例说明2. RESTful的概念2.1 资源与URI2.2 统一资源接口2.2.1 GET2.2.2 POST2.2.3 PUT2.2.4 DELETE2.3 资源的表述2.3.1 json格式2.3.2 XML格式2.3.3 常用的设计2.3.3.1 在URI里边带上版本号2.3.3.2 使用URI后缀来区分表述格式...
hadoop 集群常用命令(学习笔记) —— 筑梦之路
筑梦之路
02-27 2023
hadoop服务启停流程。单独启停某个服务进程。
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
最新发布
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与...本项目名为"mini-rbac",旨在提供轻量级的角色基础访问控制服务,方便进行权限管理和资源保护,适用于需要在Django和DRF框架下快速实现权限控制的中小型项目。
学习DRF
02-25
标题"学习DRF"指的是学习Django REST Framework(DRF),它是一个用于构建Web API的强大框架,基于Python编程语言,并且与Django Web框架紧密结合。DRF提供了一系列工具和功能,使得开发者能够高效地构建RESTful API...
DRF:学习DRF
03-13
**标题**: 学习DRF (Django Rest Framework) **描述**: Django Rest Framework(DRF)是基于Python的Django Web框架的一个强大扩展,专为构建API而设计。它提供了许多高级功能,使得开发RESTful API变得更加高效和...
warmmilk:DRF框架学习
03-05
【描述】"warmmilk:DRF框架学习" 提供的信息有限,但我们可以推断这可能是一个个人的学习笔记或者教程集合,主要关注如何使用DRF来创建API。DRF提供了许多功能,包括序列化、认证、权限管理、分页、过滤等,学习者...
Django使用migrate数据库表无法创建的解决方法
liu_dongd的博客
07-21 3934
Django使用migrate数据库表无法创建的解决方法遇到无法创建数据库表,一般有两种情况第一种情况第二种情况 遇到无法创建数据库表,一般有两种情况 第一种情况 更改了models.py 文件,增加或者减少数据表的列,此时如果要将更改同步到数据库中,需要删除对应App下migrations下的xxx_initial.py文件, 比如这个文件App\migrations\0001_initial.py。同时删除数据库中对应的表,删除数据库表django_migrations表下的记录。 此时再次进行 p
DRF学习笔记(1)——准备一个DRF项目、序列化、关联对象
liu_dongd的博客
07-26 562
Serializers数据迁移Serializer序列化正向序列化反向序列化自定义验证器(推荐使用)使用ModelSerializer进行序列化,自动生成create和update方法关联对象1.查询到的字典中只包含关联表的主键2.使用方法__str__(self),直接返回名字3.获取关联字段的所有信息 数据迁移 - 从数据库到models.py `python manage.py inspectdb > App/models.py` Serializer序列化 正向序列化 serializer.
DRF学习笔记(2)——解析器,Request,Response初步认识
liu_dongd的博客
07-27 273
文章目录解析器RequestResponse 解析器 REST framework 包含许多内置的解析器类,允许接受各种媒体类型(media types)的请求。还支持自定义解析器, 可以使用 DEFAULT_PARSER_CLASSES 设置默认的全局解析器。例如,以下设置将只允许带有 JSON 内容的请求,而不是默认的 JSON 或表单数据。 setting.py REST_FRAMEWORK = { 'DEFAULT_PARSER_CLASSES': ( 'rest_fra
DRF学习笔记(3)——CBV
liu_dongd的博客
07-28 215
文章目录基于函数的视图FBV基于类的视图CBVCreateModelMixin, GenericAPIViewCreateAPIViewRetrieveAPIView通用试图继承关系图 Django的视图分为基于类的视图(CBV)和基于函数的视图(FBV),在DRF里面这两种视图都可以使用。 基于函数的视图FBV @api_view(http_method_names=['GET']) api_view是一个装饰器,用 http_method_names 来设置视图允许响应的 HTTP 方法列表 @api_
DRF 有哪些认证和权限控制方式
05-12
DRF(Django Rest Framework)提供了多种认证和权限控制方式,包括: 1. 认证方式: - BasicAuthentication:基础认证方式,使用用户名和密码进行认证。 - TokenAuthentication:令牌认证方式,使用用户令牌进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值