Django-restframework05 用户认证和权限管理

最新推荐文章于 2023-05-08 21:43:02 发布

豆豆orz

最新推荐文章于 2023-05-08 21:43:02 发布

阅读量639

点赞数

分类专栏： rest-framework 文章标签： rest

本文链接：https://blog.csdn.net/runnoob_1115/article/details/78479139

版权

rest-framework 专栏收录该内容

37 篇文章 5 订阅

订阅专栏

本文详细介绍了在Django-restframework中实现用户认证和权限管理的步骤，包括设置数据库字段的on update和on delete参数，删除与迁移，用户控制入口，断点设置，序列化器更新，视图函数的权限认证，登录URL配置，用户权限等级管理和认证机制（SessionAuthentication和BasicAuthentication）。目的是确保只有认证用户能进行创建、更新和删除操作，未认证用户仅限于读取。

摘要由CSDN通过智能技术生成

1. 目的

实例对象始终与创建者相关联
只有通过身份验证的用户可以创建实例
只有对象的创建者能够更新和删除该对象
未认证用户应该只有只读权限

2. 数据库中字段的on update 和 on delete参数

数据库外键定义的可选项，用来设置当主键表中的被参考列的数据发生变化时，外键表中响应字段的变化规则。update则是主键表中被参考字段的值更新，delete是指在主键表中删除一条记录
on_update 和 on_delete的值有四个：DO_NOTHING ， SET_NULL ， SET_DEFAULT ，CASCADE，PROTECT
no action 表示不做任何操作
set null 表示在外件表中将相应字段设置为null
ser default 表示设置默认值
cascade 表示级联操作，如果主键表中被参考字段更新，外键表中也更新，主键表中的记录被删除，外键表中该行也相应删除

3. 删除原数据库和迁移记录

rm -f tmp.db db.sqlite3
rm -r snippets/migrations

4.添加用户控制入口

首先在模型文件中设置关联外键

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
    highlighted = models.TextField()

设置文本高亮，重写保存方法

 def save(self, *args, **kwargs):
        """
        利用pygments，创建高亮的html文本呈现code块
        """
        lexer = get_lexer_by_name(self.language)
        linenos = self.linenos and 'table' or False
        options = self.title and {'title': self.title} or {}
        formatter = HtmlFormatter(style=self.style, linenos=linenos,
                                  full=True, **options)
        self.highlighted = highlight(self.code, lexer, formatter)
        super(Snippet, self).save(*args, **kwargs)

5. 设置断点

在serializers.py中添加UserSerializer

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')
        # snippets为反向引用，不会被默认包含，所以需要添加显示字段

在views.py中使用只读属性

from django.contrib.auth.models import User
from snippets.serializers import UserSerializer

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

添加url

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

连接Snippets和Users

# 通过重写perform_create()方法
def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

6. 更新serializer

添加一行，另外在meta类中也要添加’owner’字段

# 只被用于序列化呈现，而不会被用于更新模型实例
owner = serializers.ReadOnlyField(source='owner.username')

7.为我们的视图函数添加权限认证

IsAuthenticatedOrReadOnly：确保认证用户拥有读写权限，匿名用户只读

from rest_framework import permissions
# 在SnippetList and SnippetDetail视图函数类中添加
permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

8. 添加登录窗口url,rest_framework自带

urlpatterns += [
    # 前面正则表达式，可以随便怎么写，但是namespace,必须要是'rest_framework'
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

9. 用户权限内等级管理

在app中创建permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    设置权限只允许创建者编辑
    """
    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        # 为不同的请求设置权限，GET, HEAD or OPTIONS 为安全请求
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        # 写权限只有代码拥有者有，判断拥有者和请求者是否是同一个用户
        return obj.owner == request.user

然后在SnippetDetail视图类中，设置权限类

from snippets.permissions import IsOwnerOrReadOnly
permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)