权限全局配置:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
)
}
权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。
- 在执行视图的dispatch()方法前,会先进行视图访问权限的判断
- 在通过get_object()获取具体对象时,会进行对象访问权限的判断
如果不指定就用默认的配置:
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.AllowAny',
)
自定义权限:
from rest_framework.permissions import BasePermission
class MyPermission(BasePermission):
def has_object_permission(self, request, view, obj):
"""
控制对obj对象的访问权限,吃案例决绝对所有用户的访问
不能访问单一结果,但是可以访问列表结果
has_object_permission是否可以访问数据对象, view表示当前视图, obj为数据对象
.has_permission(self, request, view)是否可以访问视图, view表示当前视