权限组件
重点
1 权限规则
2 如何自定义权限
3 我们一般在视图类中局部配置 drf 提供的权限类,但是也会自定义权限类完成局部配置
自定义权限类
1 自定义权限类,继承 BasePermission 类
2 必须重写 def has_permission(self, request, view): 方法
? 设置权限条件,条件通过,返回 True: 有权限
? 设置权限条件,条件失败,返回 False: 无权限
3 drf 提供的权限类:
AllowAny:匿名与合法用户都可以
IsAuthenticated:必须登录,只有合法用户可以
IsAdminUser:必须是admin后台用户
IsAuthenticatedOrReadOnly:匿名只读,合法用户无限制
系统权限类使用
图书接口:游客只读,用户增删改查权限使用
from rest_framework.permissions import IsAuthenticatedOrReadOnly
class BookViewSet(ModelViewSet):
# 游客只读,用户可增删改查
permission_classes = [IsAuthenticatedOrReadOnly]
queryset = models.Book.objects.all()
serializer_class = serializers.BookSerializer
权限组件项目使用:VIP 用户权限
数据准备
"""
1)User表创建两条数据
2)Group表创建一条数据,name叫vip
3)操作User和Group的关系表,让1号用户属于1号vip组
"""
permission.py
from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group
class IsVipUser(BasePermission):
def has_permission(self, request, view):
if request.user and request.user.is_authenticated: # 必须是合法用户
try:
vip_group = Group.objects.get(name='vip')
if vip_group in request.user.groups.all(): # 用户可能不属于任何分组
return True # 必须是vip分组用户
except:
pass
return False
views.py
from .permissions import IsVipUser
class CarViewSet(ModelViewSet):
permission_classes = [IsVipUser]
queryset = models.Car.objects.all()
serializer_class = serializers.CarSerializer
serializers.py
class CarSerializer(serializers.ModelSerializer):
class Meta:
model = models.Car
fields = ('name', )
urls.py
router.register('cars', views.CarViewSet, 'car')
特殊路由映射的请求
实现用户中心信息自查,不带主键的 get 请求,走单查逻辑
urls.py
# 用路由组件配置,形成的映射关系是 /user/center/ => list | user/center/(pk)/ => retrieve
# router.register('user/center', views.UserCenterViewSet, 'center')
urlpatterns = [
# ...
# /user/center/ => 单查,不能走路由组件,只能自定义配置映射关系
url('^user/center/$', views.UserCenterViewSet.as_view({'get': 'user_center'})),
]
views.py
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
class UserCenterViewSet(GenericViewSet):
permission_classes = [IsAuthenticated, ]
queryset = models.User.objects.filter(is_active=True).all()
serializer_class = serializers.UserCenterSerializer
def user_center(self, request, *args, **kwargs):
# request.user就是前台带token,在经过认证组件解析出来的,
# 再经过权限组件IsAuthenticated的校验,所以request.user一定有值,就是当前登录用户
serializer = self.get_serializer(request.user)
return Response(serializer.data)