DRF_权限和认证

最新推荐文章于 2024-08-15 01:55:01 发布
最新推荐文章于 2024-08-15 01:55:01 发布
阅读量717 收藏 7
点赞数
分类专栏: DRF 文章标签: python django 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51181022/article/details/128313248
版权

DRF权限认证

1. 认证Authentication

1.1 全局认证

全局认证只需要在Django的配置文件中加入一个字典即可,如下:

# project/settings.py

REST_FRAMEWORK = {
    # DRF中认证的配置
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.BasicAuthentication',		# 基本认证
        'rest_framework.authentication.SessionAuthentication',		# session认证
    ]
}

1.2 局部认证

局部认证需要在视图中配置,通过在每个视图中通过设置authentication_classess属性来设置局部认证

# project/app/views.py

from django.shortcuts import render
from rest_framework.views import APIView
from rest_framework.generics import GenericAPIView, CreateAPIView, UpdateAPIView, ListAPIView, RetrieveAPIView, DestroyAPIView
from rest_framework.response import Response
from rest_framework.mixins import CreateModelMixin, ListModelMixin, RetrieveModelMixin, UpdateModelMixin, DestroyModelMixin
from rest_framework.viewsets import ModelViewSet

from .models import BookMessage
from rest_framework import status
from .serializer import BookSerializer
from rest_framework.decorators import action
from rest_framework.authentication import SessionAuthentication

# Create your views here.

class BookOperation(ModelViewSet):
	queryset = BookMessage.objects.all()
	serializer_class = BookSerializer
	# 认证
	authentication_classes = [SessionAuthentication]

当全局认证及局部认证同时存在时,优先局部认证。

认证失败可能有两种可能的返回值:

  • 401-------------Unauthorized 未认证
  • 403-------------Permission Denied 权限被禁止

2. 权限 Permission

全局权限及局部权限设置方法和认证类似。

2.1 全局权限

  • IsAuthenticated----------------------允许普通用户访问
  • AllowAny--------------------------------允许任何用户访问
  • IsAdminUser----------------------------允许超级管理员访问
  • IsAuthenticatedOrReadOnly------- 认证的用户可以完全操作,否则只能get读取

全局配置方法,在配置文件汇总添加:

# project/app/settings.py

REST_FRAMEWORK = {
    # DRF中认证的配置
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.BasicAuthentication',		# 基本认证
        'rest_framework.authentication.SessionAuthentication',		# session认证
    ],
    # DRF中权限的配置:如果没有指明,系统默认的权限是允许所有人访问的
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permission.IsAuthenticated',
        'rest_framework.permission.AllowAny',
        'rest_framework.permission.IsAdminUser'
    ]
}

2.2 局部权限

局部权限需要在视图中配置,通过在每个视图中通过设置permission_classess属性来设置局部权限

# project/app/views.py

from django.shortcuts import render
from rest_framework.views import APIView
from rest_framework.generics import GenericAPIView, CreateAPIView, UpdateAPIView, ListAPIView, RetrieveAPIView, DestroyAPIView
from rest_framework.response import Response
from rest_framework.mixins import CreateModelMixin, ListModelMixin, RetrieveModelMixin, UpdateModelMixin, DestroyModelMixin
from rest_framework.viewsets import ModelViewSet

from .models import BookMessage
from rest_framework import status
from .serializer import BookSerializer
from rest_framework.decorators import action
from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import AllowAny,IsAdminUser

# Create your views here.

class BookOperation(ModelViewSet):
	queryset = BookMessage.objects.all()
	serializer_class = BookSerializer
	authentication_classes = [SessionAuthentication]
	# 只允许管理员访问
	permission_classes = [IsAdminUser]

2.3 自定义权限

如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部

  • .has_permission(self, request, view):是否可以访问视图, view表示当前视图对象,如果没有设置的话默认的是True,如果设置,False则表示所有的用户都不能访问该视图
  • .has_object_permission(self, request, view, obj):是否可以访问数据对象, view表示当前视图, obj为数据对象,控制视图能够访问添加了权限控制类的数据对象
# project/app/views.py

# 自定义权限
class MyPermission(BasePermission):
	def has_permission(self, request, view)
		"""让所有用户都有权限"""
		return True
    def has_object_permission(self, request, view, obj):
        """用户是否有权限访问添加了权限控制类的数据对象"""
        # 需求:用户能够访问id为1,3的对象,其他的不能够访问
        if obj.id in (1, 3):
        	return True
        else:
        	return False

class BookInfoViewSet(ModelViewSet):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    # 表示登录有权限
    permission_classes = [IsAuthenticated]
    # 表示所有用户都有权限,只能够访问id 为1,3的数据
    permission_classes = [MyPermission]

2.4 对视图集查询集单独做权限控制

上述自定义权限只能对接口做整体的权限控制,并不能根据用户角色权限返回相应的查询集,即不同用户返回不同结果。

2.4.1 在filter_backends中添加自定义的过滤类

# project/app/views.py

class ViewSetPermission(BaseFilterBackend):

    def filter_queryset(self, request, queryset, view):
        user_id = request.user.id

        # 添加逻辑判断,对查询集进行过滤
        if request.user.role.permission_name != 1:
            queryset = queryset.filter(sys_user=user_id)

        return queryset


# 模型管理视图
class ModelManageViews(mixins.ListModelMixin, GenericViewSet):
    """
    list:
        查看生成模型列表
    delete:
        删除模型
    """
    queryset = User.objects.all()
    serializer_class = UserSer

    # 权限:自定义权限类
    permission_classes = (MyPermission,)

    # 排序和过滤
    filter_backends = [OrderingFilter, SearchFilter, ViewSetPermission]

2.4.2 对修改和删除的权限控制

增加自定义的过滤类,只能对查询集进行过滤,对删除和修改的接口,虽然也支持,但并没有返回结果,因此还需要改写接口。

# project/app/views.py

class ViewSetPermission(BaseFilterBackend):

    def filter_queryset(self, request, queryset, view):
        user_id = request.user.id

        # 添加逻辑判断,对查询集进行过滤
        if request.method == 'get' and request.user.role.permission_name != 1:
            queryset = queryset.filter(sys_user=user_id)

        return queryset
    
    
class PermissionSet:
    """
    控制权限,返回是否有权限
    """
    # 此方法用于判断请求用户是否有删除权限
    def check_delete_permission(self, request, **kwargs):
        user = request.user
        # 如果是超级用户,则给与删除权限
        if user.role.permission_name == 1:
            return True
        # 临时用户
        elif user.role.permission_name == 3:
            return False


# 模型管理视图
class ModelManageViews(mixins.ListModelMixin,
                       mixins.DestroyModelMixin,
                       GenericViewSet,
                       PermissionSet):
    """
    list:
        查看生成模型列表
    delete:
        删除模型
    """
    queryset = User.objects.all()
    serializer_class = UserSer

    # 权限:自定义权限类
    permission_classes = (MyPermission,)

    # 排序和过滤
    filter_backends = [OrderingFilter, SearchFilter, ViewSetPermission]

    def destroy(self, request, *args, **kwargs):
        instance = self.get_object()
        if not self.check_delete_permission(request):
            return Response(data={"message": "暂无权限"}, status=status.HTTP_401_UNAUTHORIZED)

        self.perform_destroy(instance)
        return Response(status=status.HTTP_200_OK)
Joyce Lee
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
四、drf_admin(权限RBAC)后台管理系统(RBAC权限篇)
Mr_w_ang的博客
03-16 4647
四、drf_admin(权限RBAC)后台管理系统(RBAC权限篇) 本篇主要介绍基于DjangoDRF(Django REST framework)、RBAC,实现基于角色控制的权限管理 drf_admin采用PythonDjangoDRF等技术开发,志在用最短的时间、最简洁的代码,实现开箱即用的后台管理系统。 欢迎访问drf_admin;欢迎star,点个☆小星星☆哦。 项目地址 drf_admin(后端):https://github.com/TianPangJi/drf_admin fe_ad
drf:认证权限
qq_39787513的博客
01-24 1165
drf:认证权限一、认证Authentication1、全局认证2、局部认证二、权限1、全局权限2、局部权限三、测试 一、认证Authentication 在drf中我们还可以进行权限认证操作,我们先来看看认证 1、全局认证 全局认证我们只需在django配置文件中加入一个字典即可: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthenti
手把手带你入门Django REST framework
02-09
Django REST framework是基于Django的一套扩展,可以快速方便写出RESTful API。DRF给我提供了 序列化、请求和响应、@apiview装饰器、类视图、认证权限、jwt(扩展)认证、版本、分页、控制频率、解析器、视图集、路由器、文档(扩展)等等功能,建议有Django基础的人学习。
6、DRF实战总结:认证及使用Token认证,代码示例详解(附源码)
SteveRocket's-Blog
04-08 2769
身份验证是将传入的请求对象(request)与一组标识凭据(例如请求来自用户或其签名的令牌token)相关联的机制。REST framework 提供了一些开箱即用的身份验证方案,并且还允许实现自定义方案。 DRF的每个认证方案实际上是一个类。可以在视图中使用一个或多个认证方案类。REST framework将尝试使用列表中的每个类进行身份验证,并使用成功完成验证的第一个类返回的元组设置 request.user 和request.auth。
Django REST Framework 之认证权限(超详细)
她°
05-07 3809
Django认证权限 在没有使用 drf 之前,如何判断用户是否登录,一般是给前端提供一个获取用户信息的接口,如果未登录返回未授权等信息,权限的话一般是在 model 层通过字段来设置,这样只能完成简单的权限限制。
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2728
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
DRF之JWT认证
weixin_47035302的博客
05-29 829
jwt原理,使用jwt认证和使用session认证的区别,三段式,jwt开发流程,drf—jwt快速使用,drf—定制返回格式,def自定义用户表签发,drf-jwt自定义认证类,drf-jwt的签发源码分析,认证源码分析。
DRF认证权限频率
Yietong的博客
10-08 478
通过引发RestrictError(django.db.IntegrityError的一个子类)来防止删除被引用的对象, 与PROTECT不同的是, 如果被引用的对象也引用了一个在统一操作中被删除的不同对象, 但通过CASCADE关系,则允许删除被引用的对象。【当主表中的一条数据删除时, 从表中所有的关联数据字段设置为SET()中设置的值, 与models.SET_DEFAULT相似, 只不过此时从表中的相关字段不需要设置default参数】3. 重写authenticate方法。
Python库 | drf_spectacular-0.13.0-py2.py3-none-any.whl
02-16
DRF提供了一系列高级功能,如序列化、认证权限管理、分页以及强大的HTTP方法支持,使得开发者能够高效地构建高质量的API服务。 **drf_spectacular 功能与优势** 1. **自动化API文档生成**:`drf_spectacular`的...
DRF_4_lg
02-13
4. **权限认证**:DRF提供了一套强大的权限认证系统。默认情况下,只有认证用户才能访问API资源,但你可以根据需求自定义这些策略。例如,TokenAuthentication、SessionAuthentication等。 5. **分页**:对于...
drf_jwt_demo.zip
06-08
标题 "drf_jwt_demo.zip" 暗示了一个关于Django Rest Framework(DRF)实现JSON Web Token(JWT)认证的示例项目。这个压缩包包含了一整套用于理解和实践JWT认证的源代码,尽管已经存在相关的Python包,如`...
drf_oauth_react
03-29
5. **权限认证**:DRF 提供了多种权限认证类,可能在 `permissions.py` 或 `oauth2_provider` 目录下,用于控制哪些用户或应用可以访问特定的 API 资源。 6. **OAuth2 配置**:可能在 `oauth2_provider` 目录下...
drf_blog_api
02-18
4. **权限认证(Permissions and Authentication)**:DRF 提供了多种内置的权限策略,如基于角色的访问控制(RBAC),以及认证机制,如基于 token 的认证。这些可以在视图或全局设置中配置。 5. **分页...
DRF认证权限、限流等八大组件
m0_61810345的博客
02-27 1008
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部是否可以访问视图, view表示当前视图对象,request可以通过user属性获取当前用户是否可以访问模型对象, view表示当前视图, obj为模型数据对象,request可以通过user属性获取当前用户"""VVIP权限自定义权限,可用于全局配置,也可以用于局部配置""""""视图权限返回结果未True则表示允许访问视图类。
DRF 三大认证
weixin_48183870的博客
04-22 912
三大认证之首,只有通过这个认证才会进行两外两个认证认证组件用于确定请求是来自谁。例如,它可以检查一个请求是否附带了一个有效的用户会话token,从而识别出请求的用户。三大认证的第二个,到这里说明已经通过了认证组件权限组件用于确定已认证的用户是否有权限执行某个操作。例如,一个API视图可能只允许特定的用户组或具有特定权限的用户访问。三大认证的最后一个,到这里说明已经通过了认证权限组件权限组件用于确定已认证的用户是否有权限执行某个操作。例如,一个API视图可能只允许特定的用户组或具有特定权限的用户访问。
DRF框架学习-身份验证与权限
七恋的博客
05-04 128
在应用目录处创建序列化器文件(serializers.py)7、配置路由(应用层创建urls.py文件)3、在主目录setting.py处注册应用。在应用层创建permission.py文件。9、配置各个页面可登录,在主路由处添加。2、设计模型(models.py)6、编写试图集(views.py)
DRF 用户认证
梦忆安凉的博客
09-01 1028
DRF用户认证
8-drf-session的认证机制图解、 drf(过滤、分页、drf的异常处理方式)、补充(DateField和DateTimeField、auto_now_add和auto_now)
linjun的博客
09-07 150
session的认证机制图解、 drf(过滤、分页、drf的异常处理方式)、补充(DateField和DateTimeField、auto_now_add和auto_now)
Python】入门到放弃之第九章《字典》
最新发布
MP13537560060的博客
08-15 624
这是本系列的第九章节内容,《字典》。在Python中,字典(Dictionary)是一种内置的数据结构,用于存储键值对(key-value pairs)。字典是可变的,意味着你可以在创建字典后添加、删除或修改其中的元素。字典的键(key)必须是唯一的,并且是不可变的(即,它们必须是不可变数据类型,如字符串、数字或元组,但不能是列表或字典等可变类型)。字典的值(value)则可以是任何数据类型,包括列表、元组、字典等。以上,就是Python中字典的全部内容。
DRF 有哪些认证权限控制方式
05-12
DRFDjango Rest Framework)提供了多种认证权限控制方式,包括: 1. 认证方式: - BasicAuthentication:基础认证方式,使用用户名和密码进行认证。 - TokenAuthentication:令牌认证方式,使用用户令牌进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Joyce Lee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值