Django 之REST framework学习4:认证和权限(Authentication & Permissions)

最新推荐文章于 2024-04-21 11:37:02 发布
最新推荐文章于 2024-04-21 11:37:02 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: Django REST framework django Python 文章标签: REST framework REST framework

到现在为止,所有的人都可以删除或者修改数据,接下来我们看下该如何优化,使数据的操作只限于某些人即增加权限和认证

首先要修改下我们的model类:

首先我们要在Snippet这个model类中增加几个字段:其中一个字段用来代表创建者,另外一个字段用来存储被高亮显示html代码:

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

我们还需要确保当model模型类对象被创建时,我们可以用pygments模块去生成高亮的字段,这里我们需要额外引入一些模块:

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

现在我们给model模型类增加一个.save()方法:

def save(self, *args, **kwargs):
    """
    使用pygments去创建一个高亮的html代码片段
    """
    lexer = get_lexer_by_name(self.language)
    linenos = self.linenos and 'table' or False
    options = self.title and {'title': self.title} or {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos,
                              full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super(Snippet, self).save(*args, **kwargs)

所有做完之后我们需要重新做下数据库迁移,官方是直接删库重新做的,就差跑路了!!!

rm -f db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate

然后我们需要创建一些用户进行测试,这里使用了createsuperuser命令:

python manage.py createsuperuser

现在我们有了可用于测试的用户,那么最好也将这么用户放到API中(方便区分),
创建一个序列化器很容易的,在serializers.py中添加:

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

因为'snippets'对User model类中来说反向的关系,所以在使用ModelSerializer类时
默认不会处理这一字段,所以我们需要序列化时添加一个明确的字段。
我们还需要在views.py中添加一些视图函数,为了给用户添加一些只读权限的视图函数,这里我们用到
ListAPIViewRetrieveAPIView这两个通用的cbv:

#记得导入UserSerializer
from snippets.serializers import UserSerializer
from django.contrib.auth.models import User


class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

urls.py 中添加:

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

用户与Snippets关联:

此时我们创建code snippet,没有办法用snippet实例与创建这个code snippet的用户关联,
用户只是作为请求的一个属性却没有作为序列化的一部分被发送出去;
我们处理的方法就是在snippet 视图函数中重写.perform_create()方法,
这样一来我们就可以干预处理实例的创建和处理请求的信息。在SnippetList
视图函数中添加:

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

现在我们的serializer中的create()会把额外的'owner'字段连同请求中的
有效数据一起接收。

更新序列化器serializer:

到目前为止,创建snippets 的用户和snippets 已经关联到一起,我们需要在 serializers.py
处理下SnippetSerializer:

owner = serializers.ReadOnlyField(source='owner.username')

PS:确保你在内部的Meta clas的字段列表中添加了'owner',字段

这个字段会做一些很有意思的事情,source参数可以控制哪个属性是用来生成
字段的,并且可以指向被序列化实例的任意一个属性。它也能采用点式操作,也可以和Django
的模板语言一起使用。
我们添加的字段是一个无类型的ReadOnlyField 类,其他的比如CharField
BooleanField都是有类型的,这个可能不好理解,无类型的类通常是只读的,也
只会被用于序列化中,不会用于反序列化时更新model实例,我们也可以用CharField(read_only=True)
来代替ReadOnlyField

给视图函数添加必要的权限:

用户和snippets的关系已经被绑定到一起,我们接下来该做的就是给授权用户添加权限增删改查权限
IsAuthenticatedOrReadOnly这个类就可以确保被授权的请求有读写权限,未授权的请求
有只读的权限。
在视图模块中添加:

from rest_framework import permissions

在视图函数SnippetListSnippetDetail中添加:

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

现在我们打开浏览器发现我们的添加权限已经没了,怎么办?

我们需要作为用户登录后才能有添加权限,这样我们需要在项目级别的urls.py
中添加:

from django.conf.urls import include
urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls')),
]

上述代码包含登录退出的视图函数,这部分的r'^api-auth/'可以是任意你想用的URL地址,官方后面bla,bla一堆就是让你测试看效果0.0!!!

对象级别的权限

如果我们的数据需要所有人看见,但是只有数据的创建人可以删除或者更新数据,
那么我们需要自定义权限:
在snippets应用中创建permissions.py文件:

from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        return obj.owner == request.user

接下来我们需要在SnippetDetail视图类中编辑permission_classes
属性,来给我们的snippet实例添加自定义的权限:

from snippets.permissions import IsOwnerOrReadOnly
permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

测试看效果:此处省略若干英文单词~

现在我们的API中有若干权限,那么我们想要访问这些API,需要给请求授权:

现在我们并没有任何给请求授权的类,那么默认的使用SessionAuthentication
BasicAuthentication
当我们通过浏览器和API交互时,只要一登录,我们浏览器的session就会给requests相应的授权;
当我们通过编程命令和API交互时,需要给每个请求添加具体的认证信息,否则会报异常:

http POST http://127.0.0.1:8000/snippets/ code="print 123"

{
    "detail": "Authentication credentials were not provided."
}

使用之前创建的账户信息进行访问,成功:

http -a admin:password123 POST http://127.0.0.1:8000/snippets/ code="print 789"

{
    "id": 1,
    "owner": "admin",
    "title": "foo",
    "code": "print 789",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

Summary,还需要吗?!我就知道不需要了,累吐血了~

Quincy379
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django REST Framework教程(5): 认证(Authentication)与权限(Permission)初识
大江狗
10-17 2688
在前面教程中我们以博客为例,使用DRF开发了博客文章列表资源和单篇文章资源这两个API,支持客户端以各种请求方式对文章资源进行增删查改。然而目前的 API 对谁可以新建、编辑或删除文章资...
Django RESTful API (4) 认证权限
super1peng的博客
03-14 1252
欢迎关注个人微信公众号,大大大碗面,不定期分享AI论文解读和开发技术,互联网小白,轻喷~ 前言 按照前面几篇文章的介绍,使用Django编写RESTful API的基本功能已经像模像样了。我们可以通过不同的URL访问到不同的资源,通过不同的HTTP请求来实现对资源的不同操作。 但是现在我们的API还有一个明显的缺陷,那就是没有认证权限功能,任何资源都会被任何用户随意更改,所以我们要改进程序,实...
Django REST framework认证权限、限制
weixin_30824479的博客
08-29 105
一.认证 定义一个用户表和一个保存用户Token的表: class UserInfo(models.Model): username = models.CharField(max_length=16) password = models.CharField(max_length=32) type = models.SmallIntegerField( ...
Django admin可以看详情 但是不允许修改
小谷同学
08-23 1577
Django admin可以看详情 但是不允许修改允许修改,不允许添加,不允许删除 class ReadOnlyAdminMixin: def has_add_permission(self, request): return False def has_change_permission(self, request, obj=None): return False def has_delete_permission(self, request
【后端】DjangoDjango REST Framework的结合使用
最新发布
weixin_43366051的博客
04-21 1060
随着开发语言及人工智能工具的普及,使得越来越多的人会主动学习使用一些开发语言,本文主要介绍DjangoDjango REST Framework的结合使用。以上就是今天要讲的内容,本文简单介绍了Django项目的创建及与REST Framework的结合使用。在上面项目示例中也介绍了具体项目中是如何操作使用的,日常我们可以通过RESTful API来管理数据模型,并且可以通过访问相应的URL来访问和操作资源。
python权限授权_Django权限设置及验证方式
weixin_39602737的博客
12-09 543
当创建一个Models, 在同步到数据库里,django默认设置了三个权限 ,就是 add, change, delete权限。但是往往有时候,根本不够用,此时我们可以自己写一个脚本,来进行权限的设置.根据DJango官方文档解释,权限都是与models有关系的,此时.如果想设置一个view,对于有权限的用户进行放行,对于无权限的用户进行限制.那么我们就可以着手来写这个需求.验证权限的方法一般有两...
django中的权限控制(form增删改)
weixin_33933118的博客
05-10 156
  Django默认提供了权限控制,但只能对使用了其自带的登录认证的用户进行权限控制,说白了就是只能对存储在auth_user表中的用户进行权限控制,但不能对未登录过的用户进行权限控制。但如果通过集成LDAP认证后的用户,其用户也会被缓存到该表中,即变相实现了AD用户也能进行权限控制。   权限是auth 应用中定义的Permission类型;User与Permission是many-to-ma...
Django 不到20行代码实现用户认证权限管理完整功能
Python技术探索
12-08 4324
django auth 用户认证、鉴权、登录管理、权限管理,内置视图,不到20行代码完成
Django restframework 框架认证权限、限流用法示例
09-18
Django Rest Framework(DRF)是一个为开发高质量API而设计...总结,Django Rest Framework提供了强大的认证权限和限流机制,使开发者能够构建安全、可控的API。通过合理配置和自定义,可以满足各种复杂的应用场景。
Django-Rest-Framework 权限管理源码浅析(小结)
09-19
Django Rest Framework权限管理通过`authentication_classes`和`permission_classes`实现了灵活的控制,允许开发者根据应用需求定制认证授权策略。理解这些概念以及如何配置它们是构建安全RESTful API的关键。...
Django Rest framework认证组件详细用法
09-18
Django Rest Framework(DRF)是一个强大的用于构建Web API的工具,它提供了许多开箱即用的功能,包括认证授权认证组件是DRF中处理用户身份验证的关键部分,确保只有经过验证的用户才能访问受保护的资源。下面将...
Django_restframework2021:Django_restframework2021
02-21
权限认证Permissions & Authentication) DRF提供了多种内置的权限策略,如`IsAuthenticated`、`AllowAny`等,以及认证机制,如Basic Auth、Token Auth等,可灵活控制API访问。 ### 四、实践应用 1. **创建...
django-rest-framework-api-guide:Django REST框架API指南
02-05
权限认证(Authentication & Permissions)** DRF提供多种内置的权限认证策略,如Basic Auth、Token Auth、Session Auth等。你可以根据项目需求选择合适的认证方式,并自定义权限规则,以控制API的访问权限。 **...
Django | Authentication | 默认用户认证系统
wx_carry156176
08-29 964
前言: Django自带一个用户认证系统,用于处理用户账户、群组、许可和基于cookie的用户会话。 一、django默认的用户认证系统 1,Django认证系统包含了身份验证和权限管理两部分。 认证:验证一个用户是否它声称的那个人,可用于账号登录。 授权授权决定一个通过了认证的用户被允许做什么。 2,Django认证系统位置 django.contrib.auth 包含认证框架的核心和...
Django笔记-详解判断用户是否登录的几种方式(is_authenticated,LoginRequired Mixin,login_required )
adminwg的博客
08-08 5648
Django笔记-详解判断用户是否登录的几种方式(is_authenticated,LoginRequiredMixin,login_required )
Django REST 框架详解 09 | 权限组件
Baimoc
05-21 1043
文章目录一、权限组件1. 分析源码2. 全局配置权限3. 局部配置权限4. 接口测试二、自定义权限类1. 代码实现2. 测试接口 一、权限组件 1. 分析源码 通过分析源码了解权限组件的方法调用过程 APIView 的 dispatch 中使用 initial 方法实现初始化并进行三大认证,第二步进行权限组件调用 rest_framework/views.py class APIView(View): # ... # 定义默认权限类 permission_classes = api_
Django学习笔记-默认的用户认证系统(auth)
向往的是:佛祖堂前的鱼,静静听禅。
08-03 1518
Django 自带一个用户验证系统。它负责处理用户账号、组、权限和基于cookie的用户会话。Django 验证系统处理验证和授权。简单来说,验证检验用户是否是他们的用户,授权决定已验证用户能做什么。这里的术语验证用于指代这两个任务。Django 里的验证系统旨在通用化,不提供一些常见的 web 验证系统的特性。其中一些常见问题的解决方案已在第三方包中实现。
Django REST Framework(DRF)框架之认证Authentication权限Permission
积跬步,至千里。
04-18 2553
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
Django REST Framework认证权限(超详细)
她°
05-07 3720
Django认证权限 在没有使用 drf 之前,如何判断用户是否登录,一般是给前端提供一个获取用户信息的接口,如果未登录返回未授权等信息,权限的话一般是在 model 层通过字段来设置,这样只能完成简单的权限限制。
Django-rest-framework 03(实例:用户注册、超级用户、认证权限
05-25
Django-rest-framework 中,认证权限是非常重要的概念。本篇文章将介绍如何实现用户注册、超级用户、认证权限。 1. 用户注册 首先,我们需要在 models.py 文件中创建一个用户模型: ```python from django...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值