Django-Rest-Framework 教程: 4. 验证和权限

最新推荐文章于 2023-10-18 09:08:19 发布
最新推荐文章于 2023-10-18 09:08:19 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: django rest framework
作者: Desmond Chen, 发布日期: 2014-06-01, 修改日期: 2014-06-02

到目前为止, 我们的API并未指明哪些人有权限编辑或删除snippet, 接下来我们要实现:

  • 为snippet增加创建者
  • 特定用户才能创建snippet
  • snippet创建者才能更新或删除该snippet
  • 未授权用户只能查看

1. 为snippet model增加field

我们现为snippet model增加两个field, 一个用于储存创建者信息, 另一个则用作储存高亮HTML信息:

    # snippets/models.py
    from django.db import models
    from pygments.lexers import get_all_lexers
    from pygments.styles import get_all_styles

    LEXERS = [item for item in get_all_lexers() if item[1]]
    LANGUAGE_CHOICES = sorted([(item[1][0], item[0]) for item in LEXERS])
    STYLE_CHOICES = sorted((item, item) for item in get_all_styles())


    class Snippet(models.Model):
        created = models.DateTimeField(auto_now_add=True)
        title = models.CharField(max_length=100, blank=True, default='')
        code = models.TextField()
        linenos = models.BooleanField(default=False)
        language = models.CharField(choices=LANGUAGE_CHOICES,
                                    default='python',
                                    max_length=100)
        style = models.CharField(choices=STYLE_CHOICES,
                                 default='friendly',
                                 max_length=100)
        owner = models.ForeignKey('auth.User', related_name='snippets')
        highlighted = models.TextField()

        class Meta:
            ordering = ('created',)

当执行save()时, 我们使用pygments生成高亮后的HTML:

    # snippets/models.py
    from pygments.lexers import get_lexer_by_name
    from pygments.formatters.html import HtmlFormatter
    from pygments import highlight

    class Snippet(models.Model):

        ...

        def save(self, *args, **kwargs):
            """
            使用pygments创建高亮的HTML文本
            """
            lexer = get_lexer_by_name(self.language)
            linenos = self.linenos and 'table' or False
            options = self.title and {'title': self.title} or {}
            formatter = HtmlFormatter(style=self.style, linenos=linenos,
                                      full=True, **options)
            self.highlighted = highlight(self.code, lexer, formatter)
            super(Snippet, self).save(*args, **kwargs)

修改完毕之后我们删除原来的数据库, 然后重新创建数据库:

    python ./manage.py syncdb

你可能需要再创建几个用户, 可以通过以下命令创建:

    python ./manage.py createsuperuser

2. 为User model增加endpoints

在serializer.py中增加UserSerializer:

    # snippets/serializers.py
    from django.contrib.auth.models import User

    class UserSerializer(serializers.ModelSerializer):
        snippets = serializers.PrimaryKeyRelatedField(many=True)

        class Meta:
            model = User
            fields = ('id', 'username', 'snippets')

由于"snippets"是User的一个反向关系, 因此我们需要用field明确指明.

我们只需要为user model添加只读的API, 因此使用ListAPIView和RetrieveAPIView即可:

    # snippets/views.py
    from django.contrib.auth.models import User
    from snippets.serializers import UserSerializer


    class UserList(generics.ListAPIView):
        queryset = User.objects.all()
        serializer_class = UserSerializer


    class UserDetail(generics.RetrieveAPIView):
        queryset = User.objects.all()
        serializer_class = UserSerializer

最后修改urls.py, 添加users:

    url(r'^users/$', views.UserList.as_view()),
    url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

3. 关联user和snippet

如果现在我们通过API创建snippet, 我们无法将创建者将其关联起来. 因为创建者信息并不是以serialized数据传进来的, 而是通过request获取的.

我们的解决方法是重写SnippetList和SnippetDetail view的pre_save()方法. 该方法允许我们处理request或request URL中的任何信息.

    # snippets/views.py
    class SnippetList(APIView):

        ...

        def pre_save(self, obj):
            obj.owner = self.request.user


    class SnippetDetail(APIView):

        ...

        def pre_save(self, obj):
            obj.owner = self.request.user

4. 更新 serializer

现在snippet已经与创建者关联, 接下来我们修改serializer来反映该变化:

# snippets/serializers.py
class SnippetSerializer(serializers.ModelSerializer):
    owner = serializers.Field(source='owner.username')

    class Meta:
        model = Snippet
        fields = ('id', 'title', 'code', 'linenos', 'language', 'style', 'owner')

ower field十分有趣, source参数控制着使用snippet哪个attribute作为来源填充该field, 并且能使用"."语法.

Field类, 相对于其他field类(CharField, BooleanField等), 是只读field. 它能用作呈现序列化的数据, 但不会在凡序列化时被用做更新数据.

5. 添加权限

到此为止, snippet已经与user关联了. 接下来我们实现只有授权用户才能创建, 更新和删除snippet.

Django REST Framework为我们提供了许多permission类. 在此, 我们使用IsAuthenticatedOrReadOnly, 它能保证只有授权用户才有读写权限, 而一般用户只有读得权限:

    # snippets/views.py
    from rest_framework import permissions
    class SnippetList(APIView):

        ...

        permission_classes = (permissions.IsAuthenticatedOrReadOnly,)


    class SnippetDetail(APIView):

        ...

        permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

6. 增加可浏览的授权API

在tutorial/urls.py中:

    # 在tutorial/urls.py

    urlpatterns = patterns('',
                       ...
    )

    urlpatterns += patterns('',
        url(r'^api-auth/', include('rest_framework.urls',
                                   namespace='rest_framework')),
    )

r'^api-auth/'可以是你能想得到的所有pattern. 到此你可以使用/api-auth/进行登录了. 登录成功之后你才能创建snippet.

添加好snippet之后, 在浏览/users/ endpoint, 你可以发现每个用户下都有对应的snippet的pk.

7. 添加对象权限

接下来, 我们实现只有snippet的创建者才能更新, 编辑或删除snippet, 创建snippets/permissions.py:

    # snippets/permissions.py
    from rest_framework import permissions


    class IsOwnerOrReadOnly(permissions.BasePermission):
        """
        允许创建者编辑的自定义权限
        """

        def has_object_permission(self, request, view, obj):
            # 任何request都有只读权限, 所以总是允许GET, HEAD 或 OPTIONS
            if request.method in permissions.SAFE_METHODS:
                return True

            # 只有snippet的创建者有写的权限
            return obj.owner == request.user

修改SnippetDetail view:

    # snippets/views.py
    from snippets.permissions import IsOwnerOrReadOnly


    class SnippetDetail(APIView):

        ...

        permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

8. 使用API授权

目前为止, 我们没有设置 authentication classes, 因此 authentication classes 还是默认的SessionAuthentication和BasicAuthentication.

当我们使用浏览器时, 我们可以通过浏览器登录并使用session授权接下来的request.

但当我们使用程序调用API时, 我们必须为每次request提供授权信息:

    curl -X POST http://127.0.0.1:8000/snippets/ -d "code=print 789" -u tom:password

    {"id": 5, "owner": "tom", "title": "foo", "code": "print 789", "linenos": false, "language": "python", "style": "friendly"}
sunmantan007
关注
专栏目录
django rest framework 实现用户登录认证详解
12-31
1、安装 pip install djangorestframework 2、创建项目及应用 创建项目 创建应用 目录结构如图 3、设置settings.py 设置数据库连接 # MySQL 增加mysql 连接 DATABASES = { 'default':{ 'ENGINE':'django.db.backends.mysql', 'HOST':'127.0.0.1', 'PORT':'3306', 'NAME':'dbname', # 数据库名 'USER':'username', 'PASSWORD':'password', 'OPTION
rest_framework 权限功能
asd0351992的博客
07-15 189
权限: 问题:不用视图不用权限可以访问 基本使用 写上一个权限类 创建utils 中 permission.py文件 class SvipPermisson(object): message = "必须是SVIP用户,否则无权访问" #页面无权时报错提示 def has_permission(se...
rest framework权限管理
weixin_34407348的博客
08-03 347
下面是对单个的视图进行的设置的: 请求的时候用postman然后发送信息 我们下面所有的举例都是在用户对Comment这个表的操作 首先先生成一个类似于cookie的字符串 发送给前端浏览器 然后下次它再访问带着这个认证字符串 登陆视图 #登陆视图 class LoginView(APIView): def post(self,re...
django-rest 认证
weixin_39944891的博客
08-19 269
一、基于djang-restframwork 单视图认证 第一步:.定义一个类,重写认证方法 from rest_framework import exceptions # 这个是处理认证失败的 # from rest_framework.authentication import BaseAuthentication class Authentication(object): # token认证 def authenticate(self, request): token=re
Djangorest_framework的自定义认证组件
xiao-啸
07-27 471
认证组件 认证组件 使用方式介绍 定义一个认证类 class UserAuth(): def authenticate_header(self, request): pass # 所有的逻辑都在authenticate上写 def authenticate(self, request): pass 只需要认证的接口里面指定认证类 ...
django-rest-framework-datatables:Django REST框架与Datatables之间的无缝集成
01-30
Django REST Framework(DRF)是Python和Django生态系统中的一个强大工具,用于构建RESTful APIs,而Datatables则是一个流行的JavaScript库,用于在前端展示动态、交互式的表格。`django-rest-framework-datatables`...
django-rest-framework-social-oauth2:django-rest-framework的python-social-auth和oauth2支持
02-05
`django-rest-framework-social-oauth2` 是一个基于 Django REST Framework 的扩展库,它提供了对 `python-social-auth` 和 OAuth2 协议的支持。这个库的主要目标是帮助开发者在构建 RESTful API 时集成社交登录功能...
Python库 | django-rest-framework-social-oauth2-1.0.1.tar.gz
03-02
`django-rest-framework-social-oauth2` 是一个基于 Django Rest Framework 的社交认证扩展库,主要用于实现 OAuth2 身份验证流程。这个库使得 Django 应用能够轻松地集成各种社交媒体登录服务,如 Facebook、Google...
django-rest-framework-tutorial:DRF 教程,每个部分都有标签
06-22
**Django REST Framework (DRF) 教程详解** Django REST Framework(简称DRF)是基于Python的 Django 框架的一个强大的工具,用于构建Web API。它提供了丰富的功能和简洁的接口,使得开发RESTful API变得简单而高效...
Django-REST-framework教程中文版
09-12
教程基于Django1.9以及restframework-v3.3.3版本,着重介绍了序列化、请求和响应处理、类视图、认证和权限、关联关系及超链接处理以及ViewSets和Routers的使用。 首先,在快速入门章节中,教程引导我们如何搭建一...
Django REST Framework完整教程-认证与权限-JWT的使用
最新发布
插件开发
10-18 4101
IsAuthenticatedOrReadOnly 类并不能实现只有文章 article 的创建者才可以更新或删除它,这时我们还需要自定义一个名为IsOwnerOrReadOnly 的权限类,把它加入到ArticleDetail视图里。"""自定义权限只允许对象的创建者才能编辑它。"""# 读取权限被允许用于任何请求,# 所以我们始终允许 GET,HEAD 或 OPTIONS 请求。# 写入权限只允许给 article 的作者。
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2979
Django REST Framework (DRF)提供了一系列的认证与权限功能来保护Web API不被未授权用户访问或滥用。
源码剖析Django REST framework的认证方式
qq_38462278的博客
08-26 174
Django的CBV模式流程,可以知道在url匹配完成后,会执行自定义的类中的as_view方法。 如果自定义的类中没有定义as_view方法,根据面向对象中类的继承可以知道,则会执行其父类View中的as_view方法 在Django的View的as_view方法中,又会调用dispatch方法。 现在来看看Django restframework的认证流程 Django restf...
restframework添加权限控制
qiuzhiuser的博客
05-31 141
3.在应用views中,导入permissions,并在视图函数下指定permission_classes = (permissions.IsAuthenticated,)2.utils模块中新增模块jwt_handler,并编写jwt_response_payload_handler函数,构建字典返回token。1.在settings中加入。
Django-restframework20 Validators验证
runnoob_1115的博客
11-10 2221
REST框架中的模型验证 自带验证器 UniqueValidator UniqueTogetherValidator UniqueForDateValidator UniqueForMonthValidator UniqueForYearValidator 高级的字段默认值 validators的局限性 编写一个自定义验证函数 Validators可以在不同的字段验证时重复使用 1 REST
django实现登录认证
samsion1的博客
10-03 237
3.serializers配置。2.settings中配置。
【二十一】Django框架(Rest Framework)之认证权限和限制
Chimengmeng的博客
07-17 307
【一】认证、权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制。 然后 权限 和 限制 组件决定是否拒绝这个请求。 简单来说就是: 认证确定了你是谁 权限确定你能不能访问某个接口 限制确定你访问某个接口的频率 【二】认证 REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。 接下类我们就...
Django Rest framework(drf)数据校验
qq_45834005的博客
08-01 501
drf + excel数据上传 + serializers数据校验
Django Rest Framework --序列化、请求数据校验
weixin_30830327的博客
03-28 406
序列化 基本代码结构 modles.py 1 from django.db import models 2 # Create your models here. 3 4 # Create your models here. 5 class UserGroup(models.Model): 6 title=models.CharField(max_len...
Django-REST-framework中文教程:快速入门与序列化
Django-REST-framework教程中文版是一份针对Django框架的RESTful API开发指南,该教程由个人翻译,主要针对Django 1.9版本和restframework-v3.3.3。REST framework 是一套用于简化Django开发RESTful API的强大工具集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值