Django-restframework22 Permissions

最新推荐文章于 2023-11-30 11:27:32 发布
最新推荐文章于 2023-11-30 11:27:32 发布
阅读量551 收藏
点赞数
分类专栏: rest-framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/runnoob_1115/article/details/78497716
版权

身份验证或标识本身通常不足以获得访问信息或代码的权限。为此,请求访问的实体必须具有授权。

1 简介

permissions和authentication,throttling一起,确定一个请求是否具有访问权限。
权限检查一般在请求执行到的动作之前进行检查。Permission 一般会使用用户的认证信息(request.user和request.auth)来确定接收到的请求是否应该被允许。
Permissions被用来授予不同种类的用给在不同的接口的访问权限。
简单的形式就是授予认证用户全部权限,拒绝未认证的用户访问请求。这与IsAuthenticated权限类一致。
不那么严格的方式就是未认证用户具有只读权限(IsAuthenticatedOrReadOnly)。

1 确定认证权限

权限一般被定义成一系列权力类的列表(permission_classes)。
在运行主体之前,会先检查列表中的每一个权限,如果全都失败,产生一个exceptions.PermissionDenied或者exceptions.NotAuthenticated,主体部分将不会运行。
如果权限检查根据以下2规则返回”403 Forbidden”或”401 Unauthorized” :
- 认证成功,但是权限不够,403 Forbidden response
- 认证失败,优先级最高的认证类没有使用WWW-Authenticate响应头,将会返回HTTP 403 Forbidden response
- 认证失败,优先级最高的认证类使用了WWW-Authenticate响应头,将返回HTTP 401 Unauthorized response

2 对象级权限(Object level permissions)

对象级权限用于为确定用户是否有权对对象执行操作,该对象一般指模型实例
对象级权限一般在.get_object()方法被调用时运行。和视图函数级权限一样。未经授权也会抛出exceptions.PermissionDenied异常
如果你在编写视图函数时,需要使用对象级权限管理,或者你在重写通用视图的get_object方法,你需要调用.check_object_permissions(request, obj)方法。该方法将会抛出PermissionDenied或者 NotAuthenticated,或者返回拥有的合适权限。

def get_object(self):
    obj = get_object_or_404(self.get_queryset())
    self.check_object_permissions(self.request, obj)
    return obj

对象级权限的局限性
出于性能的原因,当返回一个对象列表时,通用视图不会自动将对象级权限应用到queryset中的每个实例。
通常,当您使用对象级权限时,您还需要适当地过滤queryset,以确保用户只对允许查看的实例具有可见性。

3 设置权限

默认的全局设置为:DEFAULT_PERMISSION_CLASSES

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

如果没有指定,设置为任何人均可以为访问

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)

也可以在视图函数或者视图类中设置权限类

from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = (IsAuthenticated,)

    def get(self, request, format=None):
        content = {
            'status': 'request was permitted'
        }
        return Response(content)

# 视图函数
from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response

@api_view(['GET'])
@permission_classes((IsAuthenticated, ))
def example_view(request, format=None):
    content = {
        'status': 'request was permitted'
    }
    return Response(content)

2. 接口指南

  1. AllowAny:允许任何人访问,和权限设置为空一样
  2. IsAuthenticated:允许认证成功
  3. IsAdminUser:只允许(user.is_staff=True)的用户访问
  4. IsAuthenticatedOrReadOnly:认证用户全部权限,未认证用户只读
  5. DjangoModelPermissions

关系到 django.contrib.auth model permissions. 这个权限只能应用在拥有queryset属性的视图中。
只有对用户进行了身份验证,并分配了相关的模型权限,才会授予授权。
- POST要求用户有add权限
- PUT和PATCH要求用户有change权限
- DELETE要求用户有delete权限
支持自定义模型权限,默认行为可以被重写,例如可以为GET请求设置权限。
自定义模型权限(DjangoModelPermissions)时,需要重写然后设置.perms_map属性
在没有设置queryset属性的视图中使用模型权限
如果您使用的是重写了get_queryset()方法的视图,那么视图中可能没有.queryset属性.建议也写上一个queryset对视图进行标记,这样该类就可以确定所需的权限。例如:

queryset = User.objects.none()
  1. DjangoModelPermissionsOrAnonReadOnly :未认证用户具有只读权限
  2. DjangoObjectPermissions:对象级权限
    关系到django的 object permissions framework,其允许模型中的每个对象具有权限。为了使用此类,你还需要一个支持对象级权限的额权限许可后端,比如django-guardian。具体使用和 DjangoModelPermissions 类似。视图必须具有queryset属性或者get_queryset()方法。
    如果想支持GET, HEAD和OPTIONS请求,需要添加DjangoObjectPermissionsFilter类来确保返回结果中包含的对象是用户有权操作的。

3. 自定义权限

首先继承BasePermission,然后重写.has_permission(self, request, view)和.has_object_permission(self, request, view, obj)两种方法中至少一个。如果对象有权限就返回True,否则False.
如果你需要判断一个请求是读操作还是写操作,你应该检查该方法是否在SAFE_METHODS元组中,该元组包含(’GET’, ‘OPTIONS’, ‘HEAD’)

if request.method in permissions.SAFE_METHODS:
    # Check permissions for read-only request
else:
    # Check permissions for write request

注意:对象级的has_object_permission方法只有在视图级的has_permission检查通过之后才会进行调用。为了使对象级权限检查运行,还需要调用.check_object_permissions(request, obj)方法。如果你使用generic views的话就会默认帮你处理。
自定义权限类如果检查失败,会抛出PermissionDenied异常。可以自定义message属性,用来表示详情。否则的话,默认使用default_detail属性。

from rest_framework import permissions

class CustomerAccessPermission(permissions.BasePermission):
    message = 'Adding customers not allowed.'

    def has_permission(self, request, view):
         ...

使用实例,检查用户IP是否在黑名单中

from rest_framework import permissions

class BlacklistPermission(permissions.BasePermission):
    """
    Global permission check for blacklisted IPs.
    """

    def has_permission(self, request, view):
        ip_addr = request.META['REMOTE_ADDR']
        blacklisted = Blacklist.objects.filter(ip_addr=ip_addr).exists()
        return not blacklisted

对象级权限

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Object-level permission to only allow owners of an object to edit it.
    Assumes the model instance has an `owner` attribute.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Instance must have an attribute named `owner`.
        return obj.owner == request.user

4 三方包

  1. Composed Permissions:提供复杂而且具有多层的对象权限管理
  2. REST Condition:使用逻辑判断结合权限认证
  3. DRY Rest Permissions:DRY Rest权限包提供默认和自定义操作定义不同权限的能力。这个包是为具有权限的应用(app)设计的,这些应用程序是根据应用程序的model中定义的关系而生成的。它还支持通过API的序列化器返回到客户端应用程序的权限检查。此外,它还支持向默认值和自定义列表操作添加权限,以限制每个用户检索的数据。
  4. Django Rest Framework Roles:为API接口配置多种类型的user
  5. Django Rest Framework API Key:允许您确保向服务器发出的每个请求都需要一个API密钥头。您可以从django管理界面生成一个。
豆豆orz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django通过rest_framework.permissions模块中IsAuthenticated实现身份验证
阳光女孩---python-Girl
01-04 4998
今天我给大家介绍如何写用户信息页面,当我们在登录完后,可以查看自己的用户信息,这里仅介绍登录的情况下。那是如何实现的呢?首先我们在登录的时候,用ajax请求把用户id和username以及token信息存储到sessionstorage中,这里的 id,username,token是login时候后端实现传到前端的哦,这里不将介绍,我的token是用的django-restframe-jwt实现的...
django-rest-framework权限配置问题
做最好的自己
11-19 899
django-rest-framework权限配置问题1、视图内设置权限2、后台rootapi页面登录权限问题 1、视图内设置权限 views.py class SnippetViewSet(viewsets.ModelViewSet): """ This viewset automatically provides `list`, `create`, `retrieve`, ...
Django REST framework基础:认证、权限、限制
weixin_30260399的博客
08-02 211
认证、权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制。然后 权限 和 限制 组件决定是否拒绝这个请求。 简单来说就是: 认证确定了你是谁 权限确定你能不能访问某个接口 限制确定你访问某个接口的频率 认证 REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。 接下类我们就自己动手实...
python测试开发django-rest-framework-61.权限认证(permission)
weixin_30443895的博客
09-14 289
前言 用户登录后,才有操作当前用户的权限,不能操作其它人的用户,这就是需要用到权限认证,要不然你登录自己的用户,去操作别人用户的相关数据,就很危险了。 authentication是身份认证,判断当前用户的登录方式是哪种认证方式 permissions 是权限认证,判断哪些用户有操作权限 authentication身份认证 身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)...
django rest framework 入门4——Authentication & Permissions
Hello World!
02-26 1432
转自:http://django-rest-framework.org/tutorial/4-authentication-and-permissions.html Tutorial 4: Authentication & Permissions Currently our API doesn't have any restrictions on who can edit or
Django-Rest-Framework 权限管理源码浅析(小结)
09-19
Django Rest Framework(DRF)是基于Django的一个强大的Web API构建框架,它简化了创建美观、易用且功能丰富的RESTful API的过程。在DRF中,权限管理是至关重要的一个部分,确保只有授权用户能够访问特定的API资源。...
django-rest-framework-roles:通过用户定义的角色对Django REST Framework方法进行参数化
02-05
`django-rest-framework-roles` 是一个用于Django REST Framework(DRF)的扩展,它允许开发者根据用户角色来参数化API视图的方法。这个库的核心目标是提供一种方式,让开发者能够灵活地控制不同角色用户可以访问的...
django-rest-framework 自定义swagger过程详解
09-19
### Django REST Framework 自定义 Swagger 过程详解 #### 前言 在现代 Web 开发中,API 文档的重要性不言而喻。优秀的 API 文档不仅能够帮助开发人员快速理解和使用 API,还能够提高团队之间的协作效率。Django ...
django-rest-framework-api-guide:Django REST框架API指南
02-05
Django REST框架(Django REST framework,简称DRF)是Python Web开发中广泛使用的高级RESTful API构建工具。它为Django提供了强大的工具,用于快速、灵活且可扩展地创建高质量的Web API。在本指南中,我们将深入...
diary-django-rest-framework
04-03
4. **权限和认证(Permissions & Authentication)**:Django REST Framework提供了多种内置的权限和认证策略,比如基于HTTP基本认证、Token认证等,确保只有授权的用户能访问特定资源。 5. **序列化器...
django-rest-framework权限控制
axon-缪的博客
10-16 1337
django-rest-framework权限控制
Django REST framework API 指南(14):权限
weixin_33901843的博客
03-16 548
官方原文链接 本系列文章 github 地址 转载请注明出处 权限 与 authentication 和 throttling 一起,permission 决定是应该接受还是拒绝访问请求。 权限检查总是在视图的最开始处运行,在任何其他代码被允许进行之前。权限检查通常会使用 request.user 和 request.auth 属性中的认证信息来确定是否允许传入请求。 权限用于授予或拒绝不同类...
rest_framework学习之认证(Authentication)&权限(Permissions
zhubaoJay的博客
06-15 4768
认证和权限控制是web开发中较为重要的知识点,我们看下django rest_framework的认证和权限是如何实现的 概述 我们知道,在django中,提供内置的认证与权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证与权限。 re...
django-rest-framework框架总结之认证、权限、限流、过滤、分页及异常处理
weixin_43865008的博客
01-28 2001
针对 django-rest-framework框架中的认证、权限、限流、过滤、分页及异常处进行总结理。
python权限框架_Django restframework 框架认证、权限、限流用法示例
weixin_42501161的博客
12-24 239
本文实例讲述了Django restframework 框架认证、权限、限流用法。分享给大家供大家参考,具体如下:概述Django Rest Framework 是一个强大且灵活的工具,使用Django REST Framework可以在Django的基础上迅速实现API,用以构建Web API。认证Authentication可以在配置文件中配置全局默认的认证方案REST_FRAMEWORK ...
django rest framework------权限认证
guyunzh的博客
05-24 2750
        最近在项目中需要使用django rest framework框架进行rest api设计,这很符合现在的restful 设计理念.        在设计好api视图函数后,需要对请求进行权限限制和审查,对于有权限的则允许通过,对于无权限的拒绝请求.同时,最初的设想是超级用户拥有对api里增删改查的权限,而其他普通用户只有只读权限.对于这个设想.之前的设计是用django的has_...
rest_framework_django学习笔记四(限流、权限)
最新发布
weixin_51715424的博客
11-30 1091
rest_framework_django限流、权限
Django2.0——权限系统Auth
小白一直白
03-16 1652
Django默认提供了用户权限管理模块auth,在我们第一次数据库迁移时,他就自动帮我们在数据库中创建三张表: 官方文档参考 user表,User是auth模块中维护用户信息的表,在数据库中该表被命名为auth_user. 该表继承自Abstractuser. group表,定义用户组模型,该表只含一个name字段和一个permissions(权限)多对多关系字段,在数据库中被...
Django REST framework - 权限和限制
anzhehan1535的博客
02-04 289
目录 Django REST framework 权限和限制 (你能干什么) 设置权限的方法 案例 第一步: 定义一个权限类 第二步: 使用 视图级别 全局级别设置 --- ...
Django-rest-framework用户注册与登录
05-24
Django-rest-framework是一个用于构建Web API的强大框架,它提供了许多有用的工具和库,可以帮助我们轻松地构建出一个安全可靠的用户注册和登录系统。 下面是一个简单的Django-rest-framework用户注册与登录的实现: 首先,我们需要安装Django-rest-framework: ``` pip install djangorestframework ``` 接着,我们需要在settings.py文件中添加以下配置: ```python INSTALLED_APPS = [ # ... 'rest_framework', ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.TokenAuthentication', ], 'DEFAULT_PERMISSION_CLASSES': [ 'rest_framework.permissions.IsAuthenticated', ], } ``` 上面的配置将启用TokenAuthentication身份验证和IsAuthenticated权限,这将确保只有已登录的用户才能访问我们的API。 现在,我们可以创建一个名为"users"的Django应用程序,并定义以下模型: ```python from django.db import models from django.contrib.auth.models import AbstractUser class User(AbstractUser): pass ``` 接着,我们需要定义序列化器来将User模型转换为JSON格式: ```python from rest_framework import serializers from .models import User class UserSerializer(serializers.ModelSerializer): class Meta: model = User fields = ('username', 'email', 'password') extra_kwargs = {'password': {'write_only': True}} def create(self, validated_data): user = User.objects.create_user( username=validated_data['username'], email=validated_data['email'], password=validated_data['password'] ) return user ``` 上面的代码定义了一个UserSerializer序列化器,将User模型转换为JSON格式。我们使用Meta类来指定模型和要序列化的字段,以及一些额外的参数。在create方法中,我们使用create_user方法创建新用户。 现在,我们可以定义视图来处理用户注册和登录请求: ```python from rest_framework import generics, permissions, status from rest_framework.response import Response from rest_framework.authtoken.models import Token from rest_framework.views import APIView from django.contrib.auth import authenticate, login from .models import User from .serializers import UserSerializer class RegisterView(generics.CreateAPIView): queryset = User.objects.all() serializer_class = UserSerializer permission_classes = [permissions.AllowAny] def post(self, request): serializer = self.get_serializer(data=request.data) serializer.is_valid(raise_exception=True) serializer.save() return Response(serializer.data, status=status.HTTP_201_CREATED) class LoginView(APIView): permission_classes = [permissions.AllowAny] def post(self, request): username = request.data.get('username') password = request.data.get('password') user = authenticate(request, username=username, password=password) if user is not None: login(request, user) token, created = Token.objects.get_or_create(user=user) return Response({'token': token.key}) else: return Response({'error': 'Invalid credentials'}) ``` 上面的代码定义了RegisterView和LoginView视图。RegisterView视图处理用户注册请求,LoginView视图处理用户登录请求。我们在视图中使用UserSerializer序列化器来验证输入数据,并使用TokenAuthentication身份验证来保护API。 现在我们已经完成了用户注册和登录的实现。可以使用POST请求来测试我们的API: - 用户注册: ``` POST /api/register/ { "username": "testuser", "email": "testuser@example.com", "password": "testpassword" } ``` - 用户登录: ``` POST /api/login/ { "username": "testuser", "password": "testpassword" } ``` 如果登录成功,API将返回一个含Token身份验证密钥的JSON响应。现在,我们可以将此密钥用于所有受保护的API请求中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豆豆orz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值