rest框架已经提供的权限类:
AllowAny
此权限将允许用户的任何访问,与没有设置的效果一样。
IsAuthenticated
如果你使用的是
django.contrib.auth.models.User
,或扩展自该类,那么这个还是很适合使用的。在views中使用auth.authenticate(username=username,password=password)
就可以进行授权了。IsAdminUser
如果user.is_staff == True,那么用户的操作就会被允许,否则被拒绝。所以这个能够做到特定用户的访问权限控制。当然,也要使用
django.contrib.auth.models.User
类才行。IsAuthenticatedOrReadOnly
如果已经授权,或只是执行只读操作,那么将会被允许。
只读操作包括:
GET
,HEAD
,OPTIONS
DjangoModelPermissions
DjangoModelPermissionsOrAnonReadOnly
DjangoObjectPermissions
自定义权限
自定义权限类可以继承自上面的所有的类,但是最好还是继承自BasePermission
,重写两个方法:
has_permission(self, request, view)
:这个是views范围的权限
has_object_permission(self, request, view, obj)
:这个是对象范围的权限,通常用于验证对象是否属于提交的用户
例如下面的例子:
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
def has_permission(self, request, view):
if request.method in permissions.SAFE_METHODS:
return True
return request.session.get('user_id') is not None
def has_object_permission(self, request, view, obj):
# Read permissions are allowed to any request,
# so we'll always allow GET, HEAD or OPTIONS requests.
if request.method in permissions.SAFE_METHODS:
return True
return obj.owner.id == request.session.get('user_id')
在用户提交博客的时候,上面的has_permission
方法就会起作用,如果没有登录,那么会返回False,拒绝提交。
而has_object_permission
在用户修改,删除博客的时候会起作用,如果修改的博客不属于该用户,那么会被拒绝。