django restframwork 教程之authentication权限

最新推荐文章于 2024-11-03 20:27:08 发布
最新推荐文章于 2024-11-03 20:27:08 发布
阅读量107 收藏
点赞数
文章标签: python 开发工具 json
原文链接:http://www.cnblogs.com/pycode/p/6525456.html
版权

当前我们的API在编辑或者删除的时候没有任何限制,我们不希望有些人有高级的行为,确保:

  • 代码段始终与创建者相关联
  • 只允许授权的用户可以创建代码段
  • 只允许代码段创建者可以更新和删除
  • 没有认证的请求应该有一个完整的只读权限列表

添加用户信息在我们的models中

我们将对snippet models 进行一些更改,首先,让我们添加一对fields,其中一个跟我们的用户表关联,剩下一个字段用作存储高亮的html,还需要导入pygments库来高亮code,最后需要重新定义save方法,添加一些我们自定义配置

修改后的models如下

from django.db import models

from pygments.lexers import get_all_lexers
from pygments.styles import get_all_styles
from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

LEXERS = [item for item in get_all_lexers() if item[1]]
LANGUAGE_CHOICES = sorted([(item[1][0], item[0]) for item in LEXERS])
STYLE_CHOICES = sorted((item, item) for item in get_all_styles())


class Snippet(models.Model):
    created = models.DateTimeField(auto_now_add=True)
    title = models.CharField(max_length=100, blank=True, default='')
    code = models.TextField()
    linenos = models.BooleanField(default=False)
    language = models.CharField(choices=LANGUAGE_CHOICES, default='python', max_length=100)
    style = models.CharField(choices=STYLE_CHOICES, default='friendly', max_length=100)
    owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
    highlighted = models.TextField()

    def save(self, *args, **kwargs):
        """
        Use the `pygments` library to create a highlighted HTML
        representation of the code snippet.
        """
        lexer = get_lexer_by_name(self.language)
        linenos = self.linenos and 'table' or False
        options = self.title and {'title': self.title} or {}
        formatter = HtmlFormatter(style=self.style, linenos=linenos,
                                  full=True, **options)
        self.highlighted = highlight(self.code, lexer, formatter)
        super(Snippet, self).save(*args, **kwargs)


    class Meta:
        ordering = ('created',)

接下来我们需要将新字段在数据库中添加,为了中间不必要的麻烦,现在我们直接删除原来的库和migration目录,重新生成

rm -f  db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate

最后我们需要创建一个超级用户来测试API,使用createsuperuser来快速创建

python manage.py createsuperuser

为我们user models添加serializers

我们需要在serializers.py中添加

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

因为'snippets'是User模型上的反向关系,所以在使用ModelSerializer类时,它不会被默认包含,因此我们需要为它添加一个显式字段。

我们还会向views.py添加几个视图。我们只想对用户表示使用只读视图,因此我们将使用ListAPIView和RetrieveAPIView通用类的视图。

from django.contrib.auth.models import User
from snippets.serializers import UserSerializer

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

最后我们需要为刚才的user 视图添加url配置,修改urls.py

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

将代码段与用户关联

现在,如果我们创建了代码段,就无法将创建代码段的用户与代码段实例相关联。用户不作为序列化表示的一部分发送,而是传入请求的属性。
我们处理它的方式是通过在我们的代码片段视图上覆盖一个.perform_create()方法,允许我们修改实例保存的方式,并处理在传入请求或请求的URL中隐含的任何信息。
在我们SnippetList 视图类中,添加下面的方法

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

当我们的serializer里create()方法被调用时,将自动添加owner字段和验证合法的请求数据

更新我们的seralizer

现在sippets创建的时候已经和我们的用户关联起来,让我们更新我们的SnippetSerializer,添加以下定义的字段:

owner = serializers.ReadOnlyField(source='owner.username')

source参数用于控制那个属性被用来填充字段,并且可以指向序列化实例上的任何属性。 它也可以采用上面所示的虚线符号,在这种情况下,它将遍历给定的属性,与使用Django的模板语言类似的方式。
我们添加的字段是无类型的ReadOnlyField类,与其他类型的字段,例如CharField,BooleanField等相反。无类型的ReadOnlyField总是只读的,并且将用于序列化表示,但不会 用于在反序列化时更新模型实例。 我们也可以在这里使用CharField(read_only = True)。
同时需要在meta class中添加owner字段

class Meta:
        model = Snippet
        fields = ('id', 'title', 'code', 'linenos', 'language', 'style','owner')

在views中添加请求权限

现在snippets 已经和我们的用户关联上了,我们需要确保仅仅通过验证的用户能够增删改

REST framework 包含有一些权限类,我们可以用来限制谁可以访问给定的视图,在这种情况下,首先我们查找IsAuthenticatedOrReadOnl,这将确保已验证的请求获得读写访问权限,并且未验证的请求获得只读访问权限。

首先在module中导入permissions,

from rest_framework import permissions

然后在SnippetListSnippetDetail view中添加下面这个属性

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登陆WEB API

如果您打开浏览器并转到可浏览的API,您会发现您无法再创建新的代码段。为此,我们需要能够以用户身份登录。

我们可以通过编辑项目级urls.py文件中的URLconf来添加一个登录视图,以便与可浏览的API一起使用
编辑urls.py,添加如下内容

from django.conf.urls import include
urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

r'^api-auth/' 这个可以自定义,但是后面的namespace必须使用rest_framework作命名空间,但是在django1.9+版本,自动设置,不需要添加
现在,如果您再次打开浏览器并刷新页面,您将在页面右上角看到一个“登录”链接。如果您以之前创建的用户之一登录,则可以再次创建代码段
创建几个代码段后,转到“/ users /”端点,并注意该表示中包含每个用户的“代码段”字段中与每个用户相关联的代码段ID列表。

对象级别的权限

我们希望所有的代码片段对任何人都可见,但也确保只有创建代码片段的用户能够更新或删除它。为了实现这个,我们需要创建一个自定义权限
在snippets.app中,创建一个新的文件,名为permissions.py

from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        return obj.owner == request.user

现在我们在SnippetDetail view中通过编辑permission_classes属性为snippet实例中添加自定义的权限

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

同时确保导入了自定的权限类

from snippets.permissions import IsOwnerOrReadOnly

现在,如果您再次打开浏览器,则会发现如果您以创建代码段的同一用户身份登录,则“DELETE”和“PUT”操作只会显示在代码段实例端点上。

使用api进行身份验证

因为我们现在有一组API的权限,如果我们想要编辑任何snippet,我们需要使用SessionAuthenticationBasicAuthentication验证我们的请求
当我们通过Web浏览器与API交互时,我们可以登录,然后浏览器会话将为请求提供所需的身份验证。
如果我们以编程方式与API交互,我们需要在每个请求中显式提供身份验证凭据。
如果我们尝试创建一个未验证的代码段,我们会收到一条错误:

{
    "detail": "Authentication credentials were not provided."
}

我们在请求的时候加入验证,我们将可以创建:

curl  -X POST  -s -u test:1234.com -H "Content-Type:application/json"  -d  '{"title": "sec test","code": "python asdasdas manasdnasd", "linenos": false,"language": "python","style": "vim","owner": "fuzengjie"}' http://127.0.0.1:8000/snippets/ | jq .
{
  "id": 2,
  "title": "sec test",
  "code": "python asdasdas manasdnasd",
  "linenos": false,
  "language": "python",
  "style": "vim",
  "owner": "test"
}

转载于:https://www.cnblogs.com/pycode/p/6525456.html

weixin_30276935
关注
Django REST framwork权限验证实例
09-17
Django REST Framework中,权限验证是至关重要的一个环节,它确保了只有授权的用户才能访问和操作特定的资源。本实例将详细讲解如何在Django REST Framework中实现权限验证。 首先,我们来看如何判断用户是否已...
教程1:序列化
优秀的亮亮
04-14 1717
教程将介绍如何创建突出显示Web API的简单pastebin代码。在此过程中,它将介绍组成REST framework的各种组件,并让您全面了解所有内容如何组合在一起。
Django REST框架 -序列化
weixin_33841722的博客
09-20 167
建立一个新的环境 在我们做任何事情之前,我们将使用virtualenv创建一个新的虚拟环境。这将确保我们的包配置与我们正在开展的任何其他项目保持良好的隔离。 virtualenv env source env/bin/activate 现在我们在一个virtualenv环境中,我们可以安装我们的包的要求。 pip install django pip install djangores...
postman的身份验证Authentication
loner_fang的博客
08-06 1万+
1、概述     Authorization是验证是否拥有从服务器访问所需数据的权限。当发送请求时,通常必须包含参数,以确保请求具有访问和返回所需数据的权限。Postman提供了授权类型,可以轻松地在Postman本地应用程序中处理身份验证协议。 应当注意:NTLM和BearerToken仅在Postman本地应用程序中可用。所有其他授权类型都可以在Postman本地应用程序和Chrome...
Django基础
weixin_34092370的博客
11-22 158
Python的WEB框架有Django、Tornado、Flask 等多种,Django相较与其他WEB框架其优势为:大而全,框架本身集成了ORM、模型绑定、模板引擎、缓存、Session等诸多功能。 基本配置 一、创建django程序 终端命令:django-admin startproject sitename IDE创建Django程序时,本质上都是自动执行上述命令 其他常...
Django的Serializers的使用
a86123969的博客
12-06 855
Serializer   在这里通过一个验证用户身份的例子说明rest_framework中serializer.Serialize的使用. 编写serializer   Serializer的使用不需要依赖于模型,所以可以不要编写model,直接编写serializer文件. from rest_framework import serializers cla...
Django Rest framework之权限的实现示例
09-19
### Django Rest Framework之权限实现详解 #### 一、前言 在Django Rest framework中,权限控制是一项重要的功能,它确保只有拥有特定权限的用户才能访问API中的某些资源。本篇文章将详细介绍如何在Django Rest ...
Django restframework 框架认证、权限、限流用法示例
09-18
Django Rest Framework(DRF)是一个为开发高质量API而设计...总结,Django Rest Framework提供了强大的认证、权限和限流机制,使开发者能够构建安全、可控的API。通过合理配置和自定义,可以满足各种复杂的应用场景。
PythonDjango REST框架中的序列化及请求和返回
weixin_30721077的博客
08-30 207
PythonDjango REST框架中的序列化及请求和返回 序列化Serialization 1. 设置一个新的环境 在我们开始之前, 我们首先使用virtualenv要创建一个新的虚拟环境,以使我们的配置和我们的其他项目配置彻底分开。 现在我们处在一个虚拟的环境中,开始安装我们的依赖包 $pip install django $pip install djang...
django rest framework 入门1-序列化 Serialization
热门推荐
zhaoyingm的专栏
01-22 3万+
1. 设置一个新的环境 在我们开始之前, 我们首先使用virtualenv要创建一个新的虚拟环境,以使我们的配置和我们的其他项目配置彻底分开。   $mkdir ~/env $virtualenv  ~/env/tutorial $source ~/env/tutorial/bin/avtivate 现在我们处在一个虚拟的环境中,开始安装我们的依赖包 $pip install djan
Day21包和模块
weixin_50199478的博客
10-30 606
一个.py文件就是一个模块。模块是含有一系列数据、函数、类等的程序。包是将模块以文件夹的组织形式进行分组管理的方法,以便更好地组织和管理相关模块。包是一个包含一个特殊的__init__.py文件的目录。
01_IAR新建CC2530工程
nanxl1的博客
11-02 892
由于很多Zigbee商家提供的教程未有从零建立CC2530工程的讲解,可能会导致后面的开发中出现一些琐碎的问题。本文将以**LED流水灯**为例,从0到1用**IAR**建立CC2530工程。
cleanfid库的fid使用,及其使用CLIP模型clip_vit_b_32计算FID
百年孤独百年的博客
11-02 770
这篇博客详细介绍了如何使用 cleanfid 库计算 Fréchet Inception Distance (FID),特别是利用 CLIP 模型 clip_vit_b_32 计算 FID 分数来评估生成图像的质量。内容涵盖了 FID 的概念和原理、cleanfid 库的安装与配置、从缓存中加载与手动加载模型的方法,以及解决可能遇到的依赖问题。通过这篇教程,可以掌握使用 cleanfid 库计算fid的完整流程,并能够解决服务器环境中遇到的联网与模型下载问题。
Backtrader 数据篇 02
进击的小学生
10-30 1002
重新自定义数据读取函数,自定义的方式就是继承数据加载类 GenericCSVData、PandasData 再构建一个新的类,然后在新的类里统一设置参数。如果传递负值(例如:-1),则表示 CSV 数据中不存在该字段自定义的函数,不会修改 Backtrader 底层的数据表格内 lines 的排列规则。
变量与数据类型:从整数到字符串
redrose2100的博客
10-30 75
变量是用于存储数据的命名空间。在Python中,定义变量非常简单,你只需要将一个值赋给变量名即可。# 定义变量x = 10变量名只能包含字母、数字和下划线(_)。变量名不能以数字开头。变量名不能为Python的关键字(如ifelsewhile等)。# 合法的变量名age = 25# 非法的变量名# 1st_num = 10 # 不能以数字开头# if = "condition" # 不能使用Python关键字。
【2024-10-31-2024-11-03】LeetCode刷题——python语法基础题
最新发布
tan_run的博客
11-03 202
【2024-10-31-2024-11-03】LeetCode刷题——python语法基础题 交替合并字符串,移动零,罗马字符转整数,反转链表
196.245.124.255.236.194.0.0.0.0.0.0.0.0.9 用python截取最后一个点后面的数据
qq_44534541的博客
10-30 138
这个方法从字符串的右边开始分割,并且可以指定分割的最大次数。在Python中,如果你想要截取字符串中最后一个点(,因为它是最后一个点后面的数据。这段代码会处理没有点的情况()和点的后面不是数字的情况()后面的数据,你可以使用。
植物病害图像分割系统:智能化检测
prchen818的博客
10-30 966
数据集信息展示在现代农业生产中,植物病害的早期识别与处理至关重要。为了提升植物病害的自动检测与分割能力,本研究选用了名为“new_plant_diseases”的数据集,旨在训练和改进YOLOv8-seg模型,以实现高效、准确的植物病害图像分割。
安装python时Install launcher for all users灰色无法选中解决方法
夏末蝉未鸣的博客
10-30 223
解决办法:可能是上一次卸载python没卸载干净,在控制面板中卸载,把Python Launcher卸载掉。卸载完后,就可以正常安装了。
django rest framwork 连接oracle
05-05
要使用 Django REST Framework 连接 Oracle 数据库,需要进行以下步骤: 1. 安装必要的库 使用 pip 安装以下库: ``` pip install cx_Oracle pip install django-cors-headers ``` 2. 配置 settings.py 文件 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值