DjangoRestFramework【DRF授权】

已于 2023-02-06 10:15:52 修改
阅读量234 收藏 1
点赞数
分类专栏: # Django 文章标签: django python 后端
于 2023-02-05 20:41:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35653657/article/details/128893253
版权

详细方法参考Django官方授权API

1.全局权限

setting中配置授权管理,这个授权是全局的,对于每一个视图都生效

REST_FRAMEWORK = {
    # 全局配置 优先级高于视图类中的配置
    # 默认权限配置:每一个http方法都可以有对应的权限配置
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
    ]

    # 修改权限管理 必须授权才可以使用
    # 'DEFAULT_PERMISSION_CLASSES': [
    #     'rest_framework.permissions.IsAuthenticated',
    # ]

}

2. 视图级别权限

2.1 给所有功能授权同样权限

shop.viess.py代码

from rest_framework import viewsets
from rest_framework.permissions import IsAuthenticated, IsAdminUser

from shop.models import Category, Goods
from shop.serializers import CategorySerializer, GoodsSerializer


class CategoryViewSets(viewsets.ModelViewSet):
    """
    分类视图:
    继承ModelViewSet之后拥有GET POST PUT PATCH DELETE等HTTP动词操作
    serilizer_class 指明序列化类
    """
    queryset = Category.objects.all()
    serializer_class = CategorySerializer

    # 用户未登入不显示 分类列表 优先级高于全局配置,第一参数是管理员可以查看,第二个参数是授权可以查看
    permission_classes = [IsAdminUser,IsAuthenticated]

没有授权的时候的显示:
在这里插入图片描述
在Apifox或者postman中使用管理员账户登入测试
选择BasicAuth,使用管理员账户登入之后就可以查询到结果
在这里插入图片描述

2.2.根据不同身份对同一个视图设置不同的权限

需求:超级管理员可以创建分类 普通用户可以查看分类
shop.view.py代码:

from rest_framework import viewsets
from rest_framework.permissions import IsAuthenticated, IsAdminUser

from shop.models import Category, Goods
from shop.serializers import CategorySerializer, GoodsSerializer


class CategoryViewSets(viewsets.ModelViewSet):
    """
    分类视图:
    继承ModelViewSet之后拥有GET POST PUT PATCH DELETE等HTTP动词操作
    serilizer_class 指明序列化类
    """
    queryset = Category.objects.all()
    serializer_class = CategorySerializer

    # 用户未登入不显示 分类列表 优先级高于全局配置
    # permission_classes = [IsAdminUser,IsAuthenticated]

    # 需求:超级管理员可以创建分类 普通用户可以查看分类
    def get_permissions(self):
        if self.action == "create" or self.action == "update" or self.action == "partial_update" or self.action == "destroy":
            return [IsAdminUser()]
        else:
            return []

效果演示,使用普通用户登入,然后添加商品分类:
就会报错没有权限进行添加操作
在这里插入图片描述

2.3.自定义权限

在子app下面创建一个权限类shop.permission.py

"""
自定义权限
"""
from rest_framework import permissions

class CategorysPermission(permissions.BasePermission):
    def has_permission(self, request, view):
        # 重写has_permission方法
        # 如果返回Ture所有权限都有,如果返回False所有权限都没有
        return False

views.py中引用这个自定义视图类

from rest_framework import viewsets
from rest_framework.permissions import IsAuthenticated, IsAdminUser

from shop import permissions
from shop.models import Category, Goods
from shop.serializers import CategorySerializer, GoodsSerializer


class CategoryViewSets(viewsets.ModelViewSet):
    """
    分类视图:
    继承ModelViewSet之后拥有GET POST PUT PATCH DELETE等HTTP动词操作
    serilizer_class 指明序列化类
    """
    queryset = Category.objects.all()
    serializer_class = CategorySerializer

    # 用户未登入不显示 分类列表 优先级高于全局配置
    # permission_classes = [IsAdminUser,IsAuthenticated]

    # 需求:超级管理员可以创建分类 普通用户可以查看分类
    def get_permissions(self):
        if self.action == "create" or self.action == "update" or self.action == "partial_update" or self.action == "destroy":
            return [permissions.CategorysPermission()]
        else:
            return []

3.模型级别权限

在有的项目中,有的用户只能对自己创建的数据进行修改,其他人对其就不能进行修改,因此就需要使用到模型级别的权限管理.例如一个订单,只有创建该订单的用户能对其进行修改.
models代码:

# 创建订单对象
class Order(models.Model):
    """简单模拟 一个订单只有一个商品 也没有数量"""
    user=models.ForeignKey(User,on_delete=models.CASCADE,verbose_name="用户")
    goods=models.ManyToManyField(Goods,verbose_name="商品")

    def __str__(self):
        return  self.user.username

permissions.py代码:

class OrdersPermission(permissions.BasePermission):
    def has_object_permission(self, request, view, obj):
        # print(obj,"++",request.user)
        # print(obj.user==request.user) 判断当前用户是否是这个订单的创建者
        return obj.user==request.user

views代码:

class OrderViewSets(viewsets.ModelViewSet):
    queryset = Order.objects.all()
    serializer_class = OrderSerializer

    # permission_classes = [permissions.OrdersPermission]

    def get_permissions(self):
        print("http方法为",self.action)
        if self.action=="create":
            # 在创建订单的时候判断用户是否登入
            return[permissions.IsAuthenticated()]
        elif self.action=="update" or self.action=="partial_update"or self.action=="retrieve":
            # 在更新订单的时候,要需要判断是否是这个用户创建的订单
            return[permissions.OrdersPermission()]
        else:
            # 超级管理员可以查看list
            return[permissions.IsAdminUser]

此时在修改订单的时候,只能由创建此订单的用户才可以进行修改.

4.http请求-混合类关键字-action对照表

http方法混合类关键字action关键字
GET列表Listget
Post 创建对象Createcreate
GET 单个对象Retrieveretrieve
PUT 修改对象提供全属性Updateupdate
PATHC 修改对象提供部分属性Updatepartial_update
DELETE 删除对象Destorydestory
Alan and fish
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DRF框架之认证、授权和登录
graceljh的博客
12-10 1553
一、认证 1.Browsable API页面认证与JWT认证比较 1.Browsable API页面认证 指定permission_classes 添加rest_framework.urls路由 2.Json Web Token认证 最常用的认证方式 Session认证 Token认证 Session认证 保存在服务端,增加服务器开销 分布式架构中,难以维持Session会话同步 CSRF攻击风险 Token认证 保存在客户端 跨语言、跨平台 拓展性强 鉴权性能高 JWT 由三部分组成 header、pla
DjangoDRF-授权、认证、登录
weixin_47454485的博客
07-28 1932
一、认证 1.Browsable API页面认证与JWT认证比较 1.Browsable API页面认证 指定permission_classes 添加rest_framework.urls路由 2.Json Web Token认证 最常用的认证方式 Session认证 Token认证 Session认证 保存在服务端,增加服务器开销 分布式架构中,难以维持Session会话同步 CSRF攻击风险 Token认证 保存在客户端 跨语言、跨平台 拓展性强 鉴权性能高 JWT 1、由三部
使用Django REST Framework构建基于权限的用户管理系统
weixin_46253270的博客
05-08 1191
本教程将指导你如何使用Django REST Framework构建一个基于权限的用户管理系统。我将从创建项目开始,逐步讲解如何设计数据模型、序列化器、视图、路由、数据库迁移以及使用APIfox测试API。
Django REST Framework 之认证、权限(超详细)
她°
05-07 3610
Django 中认证和权限 在没有使用 drf 之前,如何判断用户是否登录,一般是给前端提供一个获取用户信息的接口,如果未登录返回未授权等信息,权限的话一般是在 model 层通过字段来设置,这样只能完成简单的权限限制。
django rest framework权限管理实战
热门推荐
程序员的点滴
07-05 1万+
前言 本文标题为实战,那么希望你已经搭建好了环境。如果没有,请参考官方文档进行环境搭建: 官方教程 通过学习这个例子,你可以学到: 如何使用django rest framework去实现RESTful api 学会如何进行权限控制 希望对rest framework已经有了一定的了解,至少要知道serializers的作用,还有Response等等,基础知识还是要有的。 实战...
7、DRF实战总结:JWT认证原理和使用及第三方库simplejwt 的详解(附源码)
SteveRocket's-Blog
04-09 1933
JSON Web Token(JWT)是一种用于认证和授权的开放标准,允许在客户端和服务器之间传递信息,以验证用户身份和授权访问特定资源。它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。JWT用于为应用程序创建访问token,通常适用于API身份验证和服务器到服务器的授权。 JWT的优点包括:简单、轻量、可扩展、跨语言和跨平台使用。它也具有一定的安全性,因为JWT的签名只能由持有密钥的服务器生成和验证,且在传输过程中被中间人篡改可
DRF】-- SimpleJWT
weixin_45075160的博客
01-12 1305
Drf simplejwt 学习
Drf Serializers序列化 教程
liuskyter
12-24 1939
1, 序列化 Serialization 创建一个新环境 在做其他事之前,我们会用virtualenv创建一个新的虚拟环境。这将确保我们的包配置与我们正在工作的其他项目完全隔离。 virtualenv env # 创建虚拟环境,命名: env source env/bin/activate # 进入虚拟环境env 既然我们已经在虚拟环境中,那么我们就可以安装我们依赖的...
DjangoRESTframework
qq_60976312的博客
11-16 2295
web应用模式 前后端分离 前后端不分离 前后端分离:后端仅返回前端所需的数据,不再渲染html页面,不再控制前端效果 前端展示的效果由前端自己决定 缺点:前后端耦合度相对较低 前后端不分离:前端页面看到的效果都是由后端控制,由后端渲染页面或者重定向 前后端耦...
python drf基础资料
09-14
python drf基础资料
基于DjangoDjangoRESTframeworkDRF)、Vue的前后端分离的后台管理系统
10-21
项目基于DjangoDjangoRESTframeworkDRF)、Channels、Redis、Vue的前后端分离的后台管理系统,项目采用分模块开发方式,权限控制采用RBAC.zip
DjangoDRF框架阶段讲义
06-27
DjangoDRF框架阶段讲义
DRF总结.pdf
07-19
总结了Django REST Framework 常用的序列化器,视图,和路由的继承和特点。
学习DRF
02-25
学习DRF
Django图书馆综合项目-学习
Kongfutu的博客
05-13 164
添加一些数据后,创建一些urls 这边用子路由结合命名空间的方式去访问。在创建book的时候需要导入Auther 和 Publisher。接下来我们将作者,出版社,书籍的APP分别创建一下。创建一个超级管理员 方便进后台去增加一些数据。将新创建的app在settings里注册。我这边用的IDE是VScode。下一节我们再做一些页面的跳转学习。在每个APP的admin中添加。模型创建好之后执行以下迁移。创建一些对应的html页面。将视图函数和路由都配置一下。查看一下表是否创建成功。其他2个也一样添加一下。
windows11 Django环境安装
最新发布
云深海阔专栏
05-15 151
3)在这个文件夹中使用manager.py和runserver命令运行开发 web 服务器。2)使用 django-admin 工具创建一个名为“mytestsite”的新框架站点。浏览器上访问http://localhost:800。2、windows10 虚拟环境设置。1、验证python和pip3环境。1)创建文件夹及项目目录。4)web浏览器上验证。3、安装Django
Django RESTful API设计与实践指南
https://blog.amd794.com
05-14 838
Django是一个使用Python语言开发的开源Web应用框架,它遵循MVC(Model-View-Controller)模式,旨在帮助开发者快速构建高质量、功能强大的Web应用程序。Django具有强大的功能和丰富的功能模块,如ORM(对象关系映射)、模板引擎、表单处理、管理后台等,使得开发过程更加高效和简洁。
初始Django
haiming0415的博客
05-13 888
Django是由Python编写的Web框架,遵循 MVC 设计模式。MVC是Model、View、Controller三个单词的简写,分别代表模型、视图、控制器。Django其实也是一个MTV 的设计模式。MTV是Model、Template、View三个单词的简写,分别代表模型、模版、视图。但是在Django中,控制器接受用户输入的部分由框架自行处理,所以 Django 里更关注的是模型(Model)、模板(Template)和视图(Views),称为 MTV模式。用于创建模型的对象关系映射。
DjangoRestFramework
04-27
Django Rest Framework (DRF) 是一个基于 Django 框架的 Web API 框架,它使得开发人员可以轻松地构建和发布高质量的 RESTful APIs。它提供了许多有用的功能,如可浏览的 API,认证,序列化,请求和响应处理等。 DRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值