20. drf权限管理

最新推荐文章于 2024-04-13 21:13:00 发布
最新推荐文章于 2024-04-13 21:13:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: 序列化 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng987/article/details/123671109
版权

示例一: 登录了才能访问视图

from .serializers import UserSerializer
from rest_framework import viewsets
from django.contrib.auth import get_user_model
from django_filters.rest_framework import DjangoFilterBackend
from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import IsAuthenticated
User = get_user_model()

from .filters import UserFilter
class UserViewSet(viewsets.ReadOnlyModelViewSet):
    """
    retrieve:
        返回一个实例,当前也就是返回一个用户信息
    list:
        返回用户列表
    """
    queryset = User.objects.all()
    serializer_class = UserSerializer
    # 使用django_filters 进行搜索
    filter_backends = (DjangoFilterBackend,)
    # 使用搜索模型,还需要指定搜索模型
    filter_class=UserFilter
    # 表示只有登录了,才能访问当前视图
    permission_classes = (IsAuthenticated,)

在这里插入图片描述

示例二:DRF认证(登录页面)

DRF也提供了一套认证,是基于session。它的配置非常简单,可以提供登录页面。

from django.conf.urls import url
....
urlpatterns = [
   url(r"^",include(route.urls)),    
   url(r'^api-auth', include("rest_framework.urls", namespace="rest_framework")),
   url(r"^docs/",include_docs_urls("运维平台接口文档")),

在这里插入图片描述
点击登录后,就可以正常访问页面
在这里插入图片描述

模型权限原理

除了之前讲解的,是否登录才有权限,还有其他的权限控制。例如是否是管理员,是否是安全的操作(get之类)才有权限。如下图。
在这里插入图片描述

模型权限 原理

class DjangoModelPermissions(BasePermission):
	权限映射,可以看到如果
    perms_map = {
        'GET': [],
        'OPTIONS': [],
        'HEAD': [],
        'POST': ['%(app_label)s.add_%(model_name)s'],
        'PUT': ['%(app_label)s.change_%(model_name)s'],
        'PATCH': ['%(app_label)s.change_%(model_name)s'],
        'DELETE': ['%(app_label)s.delete_%(model_name)s'],
    }

    authenticated_users_only = True

    def get_required_permissions(self, method, model_cls):
        """
        Given a model and an HTTP method, return the list of permission
        codes that the user is required to have.
        """
        kwargs = {
            'app_label': model_cls._meta.app_label,
            'model_name': model_cls._meta.model_name
        }

        if method not in self.perms_map:
            raise exceptions.MethodNotAllowed(method)

        return [perm % kwargs for perm in self.perms_map[method]]

    def _queryset(self, view):
        assert hasattr(view, 'get_queryset') \
            or getattr(view, 'queryset', None) is not None, (
            'Cannot apply {} on a view that does not set '
            '`.queryset` or have a `.get_queryset()` method.'
        ).format(self.__class__.__name__)

        if hasattr(view, 'get_queryset'):
            queryset = view.get_queryset()
            assert queryset is not None, (
                '{}.get_queryset() returned None'.format(view.__class__.__name__)
            )
            return queryset
        return view.queryset

    def has_permission(self, request, view):
        # Workaround to ensure DjangoModelPermissions are not applied
        # to the root view when using DefaultRouter.
        if getattr(view, '_ignore_model_permissions', False):
            return True

        if not request.user or (
           not request.user.is_authenticated and self.authenticated_users_only):
            return False

        queryset = self._queryset(view)
        perms = self.get_required_permissions(request.method, queryset.model)

        return request.user.has_perms(perms)

定义了一个映射,不同的请求需要不同的权限。

perms_map = {
    'GET': [],
    'OPTIONS': [],
    'HEAD': [],
    'POST': ['%(app_label)s.add_%(model_name)s'],
    'PUT': ['%(app_label)s.change_%(model_name)s'],
    'PATCH': ['%(app_label)s.change_%(model_name)s'],
    'DELETE': ['%(app_label)s.delete_%(model_name)s'],
}

用户想对这个模型有post操作。就必须要有给app_label 添加codename的权限才能处理。(对于get是没有做任何限制)对应如下图:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
这张图可以看到它必须要有模型model_cls,也就是queryset
在这里插入图片描述
如果没有它,肯定就没有模型权限。

然后定义了包含可以使用的方法,如果不在映射中,则抛出异常:方法不存在。

示例: django模型权限(全局)

创建普通用户

>>> from django.contrib.auth.models import User
>>> User.objects.create_user('zhangsan','zhangsam@mail.com','123456')
<User: zhangsan>

全局设置:

# 全局生效。所有视图都需要获得对应权限,才能访问。
# 优点:不用每个视图写。  缺点:全局生效,没有写queryset或者没有获得对应权限就出错。解决方法,可以在视图中再写,表示不用全局,用自己的
'DEFAULT_PERMISSION_CLASSES': [
	# 貌似写法有问题
    #'django.filter.rest_framework.DjangoModelPermissions',
    # 全局
    # 'rest_framework.permissions.DjangoModelPermissions',
],

视图不想用全局的,可以覆盖重写(不做演示,举例而已)
在这里插入图片描述

此时以普通用户登录

可看到此时只有get权限(参照之前django模型权限图片,可以看到get是空,表示没有限制),其他功能都没有出来了
在这里插入图片描述

添加 添加制造商权限

mysql> select * from auth_permission;
+----+---------------------------+-----------------+----------------------+
| id | name                      | content_type_id | codename             |
+----+---------------------------+-----------------+----------------------+
....
| 37 | Can add manufacturer      |              10 | add_manufacturer     |
..
 39 | Can delete manufacturer   |              10 | delete_manufacturer  |
....

>>> from django.contrib.auth.models import Permission
>>> from django.contrib.auth.models import User
>>> u = User.objects.get(username="zhangsan")
>>> p=Permission.objects.get(pk=37)
>>> p
<Permission: manufacturer | manufacturer | Can add manufacturer>
>>> u.user_permissions.set([p])
>>> u.user_permissions.all()
<QuerySet [<Permission: manufacturer | manufacturer | Can add manufacturer>]>

此时这个页面就出来了 post功能
在这里插入图片描述
再添加delete

>>> p=Permission.objects.get(pk=39)
>>> u.user_permissions.add(p)
>>> u.user_permissions.all()
<QuerySet [<Permission: manufacturer | manufacturer | Can add manufacturer>, <Permission: manufacturer | manufacturer | Can delete manufacturer>]>

在这里插入图片描述

自定义(覆盖)django模型权限

例如重写get权限
默认的django模型权限

perms_map = {
    'GET': [],
    'OPTIONS': [],
    'HEAD': [],
    'POST': ['%(app_label)s.add_%(model_name)s'],
    'PUT': ['%(app_label)s.change_%(model_name)s'],
    'PATCH': ['%(app_label)s.change_%(model_name)s'],
    'DELETE': ['%(app_label)s.delete_%(model_name)s'],
}

如果不满足,可以覆盖它

在这里插入图片描述

需求:不是所有视图的get请求都没有限制。可对某些视图做get限制。这些视图需要满足权限设置才能得到get请求(访问)

users/view.py
auth.view_user (app_label.codename )
在这里插入图片描述

mysql> select * from auth_permission where codname='view_user';
+----+---------------------------+-----------------+----------------------+
| id | name                      | content_type_id | codename             |
+----+---------------------------+-----------------+----------------------+
| 16 | Can view user             |               4 | view_user            |

mysql> select * from django_content_type where app_label = 'auth';
+----+-----------+------------+
| id | app_label | model      |
+----+-----------+------------+
|  3 | auth      | group      |
|  2 | auth      | permission |
|  4 | auth      | user       |
+----+-----------+------------+
3 rows in set (0.00 sec)

原有基础上,增加了权限控制
在这里插入图片描述
全局配置文件启用自定义的权限模型
在这里插入图片描述
在这里插入图片描述
get_custom_perms 自定义的,目的是将视图中设置的get权限设置添加进来。

在这里插入图片描述
效果
在这里插入图片描述
server 也做测试。
注意这个名字要对应上 app_lables.view_model
在这里插入图片描述

在这里插入图片描述

加权限
在这里插入图片描述

在这里插入图片描述
再访问,此时就有权限
在这里插入图片描述

数哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2535
Django REST Framework (DRF)提供了一系列的认证与权限功能来保护Web API不被未授权用户访问或滥用。
5、DRF实战总结:认证(Authentication)与权限(Permission)(附源码)
SteveRocket's-Blog
04-07 902
在这种情况下,需要的是 IsAuthenticatedOrReadOnly 类,它将确保经过身份验证的请求获得读写访问权限,未经身份验证的请求将获得只读的权限。以及使用默认的基于session机制的用户认证。比如当访问单篇文章资源时,不仅可以看到红色的delete按钮和修改文章内容的表单,而且可以在未登录的情况对它们进行操作。无论是Django还是DRF, 当用户成功通过身份验证以后,系统会把已通过验证的用户对象与request请求绑定,这样就可以使用request.user获取这个用户对象的所有信息了。
DRF权限(单视图或全局设置权限方案和源码分析、AuthenticationFailed和NotAuthenticated和PermissionDenied的区别、显示自定义错误消息)
最新发布
zhiaidaidai的博客
04-13 1080
接着我们来看,如果权限检查失败,想要显示自定义错误信息,能有什么办法呢。request,再顺便把调用图搬过来回顾下:那么就是说在check_permissions方法时我们可以看到向permission_denied传递了个变量message和code。所以如果我们在权限组件中定义了message和code,那么就是到时候权限不通过时显示的内容。else:测试如下:诶?有没有发现,明明定义了code,但是没有显示在响应内容里诶。这其实是DRF在后面又做了一层处理。如果你感兴趣的话请见下面的。
DRF学习——权限组件(一)
Hemameba的博客
06-27 512
本篇文章主要介绍权限组件的快速使用,并从源码角度分析drf权限组件的调用过程。
drf框架之权限认证
qq_34157140的博客
03-28 683
drf框架之权限认证功能 一.项目背景引入 本人学习的是某马的前后端分离的美多商城项目,本项目中使用了权限认证。但项目中虽然实现了权限的动态分配以及添加,但在访问视图时没有做权限判定,没有实际功能,所以本人基于自定义权限后对其进行改进。 二.drf框架权限认证的介绍 drfdjango权限认证做了很好的封装,我们只需要很少的代码就可以实现RBAC(Role-Based Access Control的缩写,意为:基于权限的角色管理系统)。 用户模型类项目采用的是django自带的模型类,并对其进行了一定的
DRF的认证、权限、限流等八大组件
m0_61810345的博客
02-27 952
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部是否可以访问视图, view表示当前视图对象,request可以通过user属性获取当前用户是否可以访问模型对象, view表示当前视图, obj为模型数据对象,request可以通过user属性获取当前用户"""VVIP权限自定义权限,可用于全局配置,也可以用于局部配置""""""视图权限返回结果未True则表示允许访问视图类。
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与DRF 3.x构建的。该项目采用Python语言编写,包含49个文件,其中Python源文件占45个,另外还包括.gitignore、SQL脚本、Markdown文档及文本文件各一个。本项目名...
drf_admin:项目基于DjangoDjango REST框架(DRF),Channels,Redis,Vue的前分离分离的后台管理系统,项目采用分模块开发方式,权限控制采用RBAC,目前正在开发中...... :tianpangji.github.io
02-14
DRF-ADMIN后台管理系统项目简介一个基于DjangoDjango REST框架(DRF),Channels,Redis,Vue的前分离分离的后台管理系统项目正在开发中......项目源码初步源码前端原始码的github 项目文档留坑系统功能系统管理...
drf的JWT认证.doc
07-08
JWT认证在DRF中的应用提供了高效、安全的身份验证解决方案,减少了服务器的会话管理负担,同时也方便了跨域请求。通过自定义设置和扩展,可以满足各种复杂的应用场景。在使用过程中,确保秘钥(Secret)的安全至关...
学习DRF
02-25
同时,权限管理可以通过编写自定义权限类来实现,控制用户对API资源的访问权限。 6. **序列化器字段和扩展** 学习DRF时,需要理解各种内置的序列化器字段,如CharField、IntegerField等,并了解如何创建自定义字段...
python drf基础资料
09-14
DRF提供了多种内置权限类,如`IsAuthenticated`(仅认证用户)、`IsAdminUser`(管理员用户)等。可以自定义权限类,或者在视图或全局设置中指定权限。 6. **认证(Authentication)** 认证用于确定用户身份。DRF...
drf-认证权限频率:自定义类、内置类、全局使用、局部使用、源码分析
大大的博客
07-08 314
目录一、 一、
DRF教程9-权限
weixin_34387284的博客
05-13 461
permissions.py源码分析 SAFE_METHODS = ('GET', 'HEAD', 'OPTIONS') #GET请求,HEAD获取头部信息,OPTIONS获取可用请求类型设置为安全方法 #POST,PUT,PATCH,DELETE都会修改数据,没有加到这个元组    @six.add_metaclass(BasePermissionMetaclass) ...
DRF框架高级功能之认证
qq_27426691的博客
07-19 1221
DRF(django restframework)自带用户的认证,可以分方便的区分是否是登录用户,所有使用DRF的视图都可以使用。 认证功能有了两种配置方式,一种是全局配置,一种是局部配置。 全局配置 顾名思义,全局配置写在django的settings文件中,对项目中的所有继承子APIView的视图都起作用,配置如下: REST_FRAMEWORK = { 'DEFAULT_A...
四、drf_admin(权限RBAC)后台管理系统(RBAC权限篇)
Mr_w_ang的博客
03-16 4536
四、drf_admin(权限RBAC)后台管理系统(RBAC权限篇) 本篇主要介绍基于DjangoDRF(Django REST framework)、RBAC,实现基于角色控制的权限管理 drf_admin采用Python、DjangoDRF等技术开发,志在用最短的时间、最简洁的代码,实现开箱即用的后台管理系统。 欢迎访问drf_admin;欢迎star,点个☆小星星☆哦。 项目地址 drf_admin(后端):https://github.com/TianPangJi/drf_admin fe_ad
DRF-JWT认证、权限、限流
XueDaJing030409的博客
06-04 733
主要以 Django+DRF + Vue的开发模式,简单介绍以 jwt作为凭证,实现 用户注册、登录 一系列流程 以 Django 作为服务端 环境搭建 1Copy pip install django django-cors-headers djangorestframework djangorestframework-jwt Copy 项目配置信息 djangodemo/settings.py 1 2 3 4 5 6 7 8 9 1
8-4 drf权限验证
huanglianggu的专栏
05-07 1367
现在的情况是:可以获取任何一个用户的收藏记录 也可以删除任何一个收藏记录 因此,需要有权限控制。 https://www.django-rest-framework.org/api-guide/permissions/#allowany 配上 IsAuthenticated 如果用户未登录的情况下,访问,会报401错误: 效果: ht...
Zhong__Django framework笔记
Zhong的博客
09-15 487
时间:2020.09.15 环境:Django 目的:快速开发web应用啊 说明:笔记 作者:Zhong QQ交流群:121160124 欢迎加入!
DRF笔记三——权限
qq_38953577的博客
03-03 158
基本使用 class MyPermission(object): def has_permission(self, request, view): if request.user.user_type != 3: return False return True class OrderView(APIView): ...
除了需要display.drf层次文件,还需要什么文件
07-22
例如,您可能需要配置访问控制列表(ACL)来管理对数据的访问权限,或者配置全文索引以支持全文搜索功能。 请注意,上述文件是根据一般情况提供的建议。具体需要哪些文件取决于您的具体用例和需求。在使用Virtuoso...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值