Django Rest Framework学习进程(四) API权限

第四部分的学习主要是关于API的权限的，目前，我们的API对谁可以编辑或删除代码段没有任何限制。我们希望有更高级的行为，以确保：

(1) 代码片段始终与创建者相关联。

(2) 只有通过身份验证的用户可以创建片段。

(3) 只有代码片段的创建者可以更新或删除它。

(4) 未经身份验证的请求应具有完全只读访问权限。

　　1.往我们的模型中加入一些信息

//编辑snippets/models.py文件，加入以下两个字段
#其中,owner用来存储创建snippet的用户,另一个则用来存储高亮的HTML内容
owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

//我们还需要用到pygments，使用它来填充要高亮显示的字段
//首先导入以下依赖包
from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

//然后加入一个save函数
def save(self, *args, **kwargs):
    """
    使用`pygments`库创建一个高亮显示的HTML表示代码段。
    """
    lexer = get_lexer_by_name(self.language)
    linenos = self.linenos and 'table' or False
    options = self.title and {'title': self.title} or {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos,
                              full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super(Snippet, self).save(*args, **kwargs)
    
//清空之前的数据库，重新进行数据库迁移操作
python manage.py makemigrations snippets
python manage.py migrate


//创建几个用户
python manage.py createsuperuser

　　2.给用户模型增加路径

在snippets/serializers.py中，创建一个新的序列化器
//首先导入依赖包
from django.contrib.auth.models import User

//创建一个序列化器UserSerializer
class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())
    
    //你可能会疑惑为啥snippets为作为字段传进去，
　　//因为'snippets' 在用户模型中是一个反向关联关系。在使用 ModelSerializer 类时它默认不会被包含，所以我们需要为它添加一个显式字段
    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

　　3.编写views.py

//在views.py中,我们希望仅对用户使用只读视图，所以我们使用ListAPIView和RetrieveAPIView这两个通用的基类视图
//首先导入以下依赖包
from snippets.serializers import UserSerializer
from django.contrib.auth.models import User

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

　　4.URL的编写

//将以下路径加入到snippets/urls.py当中
url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

　　5.将Snippet和用户关联

//在views.py中,将以下函数,添加到SnippetList当中
//目的是使序列化器的create()方法现在将被传递一个附加的'owner'字段以及来自请求的验证数据。
def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

//在serializers.py的SnippetSerializer中,添加这个字段
//ReadOnlyField类表示始终只是可读的,只能用于序列化展示,不能用于在反序列化中更新模型实例
owner = serializers.ReadOnlyField(source='owner.username')

//别忘了还要把owner添加到Meta类中的fields中

　　6.添加视图所需要的权限

//我们要确保经过身份验证的请求才能获得读写访问权限，未经身份验证的请求将获得只读访问权限
//在views.py中,导入permissions
from rest_framework import permissions

//在SnippetList和SnippetDetail当中,添加这行代码:
permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

//编辑tutorial.py,添加urlpatterns
urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

　　7.创建对象级别的权限

//在snippets下,创建一个permissions.py文件，并写入以下内容
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    自定义权限只允许对象的所有者编辑它。
    """

    def has_object_permission(self, request, view, obj):
        # 读取权限允许任何请求，
        # 所以我们总是允许GET，HEAD或OPTIONS请求。
        if request.method in permissions.SAFE_METHODS:
            return True

        # 只有该snippet的所有者才允许写权限。
        return obj.owner == request.user

//接下来,编辑views.py,导入IsOwnerOrReadOnly
from snippets.permissions import IsOwnerOrReadOnly
在SnippetDetail的permission_classes中,加上IsOwnerOrReadOnly
permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

　　8.完结撒花

//接下来,你运行项目可能会报'CSRFCheck' object has no attribute 'process_request' 这个错误在settings.py中,加入以下代码即可,如没报错即可忽略。
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES": []
}

 

　　　　

　　　　

　　　　

转载于:https://www.cnblogs.com/lanpeipeng/p/10589320.html