Django REST Framework笔记(七)认证与权限

最新推荐文章于 2024-04-24 08:41:07 发布
最新推荐文章于 2024-04-24 08:41:07 发布
阅读量308 收藏
点赞数
分类专栏: DRF学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41855546/article/details/119847814
版权

到目前为止,DRF学习到了一定的程度,可以写很基础的接口了。

不过,离实际应用还差了很远。目前接口的情况:任何人都可以发起请求,实际应用时是不允许的。在传统的django开发中,有@login_required@permission_required 两个装饰器分别对身份和权限进行限制,不过在drf中内置有对应的方法。

所以现在要学习认证与权限。简单来说:

  • 认证 : 使用账号密码登陆,身份校验无误
  • 权限: 各种身份所匹配的操作,如匿名用户可创建用户、登陆的用户只能修改自己的信息、admin用户可以删除用户等等

同时,DRF的认证和权限集成到了一起。DRF的认证是基于django的默认User模块,前面的User都是我自己写的,并且和django自带的User没有半毛钱关系,所以,干脆重写了一个app:Author。 即,从这里开始,代码发生了改变。

  • authors/models.py
from django.db import models
from django.contrib.auth.models import User
from user.models import Company
from django.dispatch import receiver
from django.db.models.signals import post_save

"""
    One2One的模式:增加数据的时候,只能从默认User模型中选择对象
"""
class UserExtension(models.Model):
    user_name = models.OneToOneField(User, on_delete=models.CASCADE)
    cn_name = models.CharField(max_length=10)
    phone = models.CharField(('手机号码') ,max_length=11)
    company = models.ForeignKey(Company, on_delete=models.SET('公司已删除'))

#信号,使用系统自带的user增加数据时,自动为UserExtension新增一个实例
# @receiver(post_save, sender=User)
# def create_userextension(sender, instance, created, **kewargs):
#     if created:
#         UserExtension.objects.create(username=instance, company_id=1, phone='13800138000')
  • authors/serializers.py
from django.db.models import fields
from . models import UserExtension
from rest_framework import serializers
from rest_framework.exceptions import ValidationError
from django.contrib.auth.models import User


class UserSerializer(serializers.ModelSerializer):
    class Meta:
        model = User
        fields = ('id', 'username', 'email')

class UserExListCreateSerializer(serializers.ModelSerializer):
    user_name = UserSerializer()
    
    class Meta:
        model = UserExtension
        fields = '__all__'
        depth = 1

class UserExDetailPutDeleteSerializer(serializers.ModelSerializer):
    user_name = serializers.CharField(read_only=True)

    class Meta:
        model = UserExtension
        fields = '__all__'
  • authors/views.py
from django.db.models.base import Model
from django.shortcuts import render
from .models import UserExtension
from . serializers import UserExListCreateSerializer, UserExDetailPutDeleteSerializer
from rest_framework.viewsets import ModelViewSet
from rest_framework import permissions

#自定义权限
class IsOwnerOrReadOnly(permissions.BasePermission):
    def has_object_permission(self, request, view, obj):
        print(obj.user_name)
        print(request.user)
        if request.method in ('GET',):       # 判断请求方法未get时,任意用户都可以读
            return True
        return request.user == obj.user_name # 只有当前用户与obj的user_name相同时才能读写

class UserExViewSet(ModelViewSet):
    queryset = UserExtension.objects.all()
    # serializer_class = UserExSerializer
    permission_classes = (IsOwnerOrReadOnly, )

    def get_serializer_class(self):
        serializer_class = self.serializer_class
        if self.request.method in ('GET', 'POST'):
            serializer_class = UserExListCreateSerializer
            print(self.request)
            return serializer_class
        else:
            serializer_class = UserExDetailPutDeleteSerializer
            return serializer_class
  • authors/urls.py
from django.urls import path
from . import views

urlpatterns = [
    path('user/', views.UserExViewSet.as_view({'get': 'list', 'post': 'create'})),
    path('user/<int:pk>', views.UserExViewSet.as_view({'get': 'retrieve', 'delete': 'destroy', 'put': 'update'})),
]

DRF自带一些认证与权限的预设方案,如:

  • IsAuthenticatedOrReadOnly 认证用户可读写否则只读(这个有点不太适用,意味着A用户登陆了可以修改B用户的数据)
  • IsAuthenticated 认证用户 认证用户可读写否则拒绝访问
  • IsAdminUser 仅限管理员账号 这个还是蛮使用的,有些数据的确只允许管理员访问

更多权限可浏览源码rest_framework/permisions.py

重点解读自定义权限

这里需要理解一下自定义权限的逻辑。自定义权限要继承permissions.BasePermission 类,BasePermission里有两个方法需要理解的,分别是has_permissionhas_object_permission


class BasePermission(metaclass=BasePermissionMetaclass):
    """
    A base class from which all permission classes should inherit.
    """

    def has_permission(self, request, view):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

    def has_object_permission(self, request, view, obj):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

经过测试,得出以下结论:
1、读写多个对象时,需要has_permission返回True,反之则无权限
2、读写单个对象时,需要has_object_permission 返回True,反之则无权限

上面我的自定义权限的写法为:

#自定义权限
class IsOwnerOrReadOnly(permissions.BasePermission):
    def has_object_permission(self, request, view, obj):
        print(obj.user_name)
        print(request.user)
        if request.method in ('GET',):       # 判断请求方法未get时,任意用户都可以读
            return True
        return request.user == obj.user_name # 只有当前用户与obj的user_name相同时才能读写

分析一下:
1、当为get请求时,任意用户(包含匿名用户)均仅读
2、当request.user 和 当前所请求的obj中的user_name 一致时,可以读写。

这就实现了用户只能修改自己创建的数据,同时也可以读他人的数据。有两点需要说明一下:
1、request.user是django自带的User,即使用自带的user所创建的用户
2、obj.user_name 是appUserExtension的,这个字段和django自带的是One2One关系。

python代码是按顺序执行的,意味着,可以同时写几个权限的逻辑,但必须保证每一个逻辑都要有布尔返回值。

更多集成的权限设置方案

本案例中,权限是通过视图中的permision_class属性来设置的,这个权限仅在该视图中生效,如果某些权限要在全局生效,可以在settings中设置,DRF为我们提供了对应的全局设置方案。

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

如果视图是基于函数的,还可以使用下面的装饰器:


from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAuthenticated

@api_view(['GET'])
@permission_classes((IsAuthenticated, ))
def func(request):	pass

能否在全局使用自定义权限策略呢?

暂时还不懂,跳过。

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
drf:认证权限
qq_39787513的博客
01-24 1154
drf:认证权限一、认证Authentication1、全局认证2、局部认证二、权限1、全局权限2、局部权限三、测试 一、认证Authentication 在drf中我们还可以进行权限认证操作,我们先来看看认证 1、全局认证 全局认证我们只需在django配置文件中加入一个字典即可: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthenti
Django restframework课件笔记详解
03-21
Django REST framework(简称DRF)是Python Web开发领域中一个强大的工具,专门用于构建Web API。这个框架基于Django,提供了许多高级特性,使得开发者能够高效、灵活地构建高质量的RESTful API服务。本课件笔记将...
DRF 认证
zhushixia1989的博客
07-12 161
DRF JWT认证基础
最新发布
weixin_48183870的博客
04-24 787
编码s:要编码的字节串(bytes类型需要是bytesstr不行返回:编码后的字节串。解码s:要解码的base64编码的字节串。长度如果不是4的倍数,后面补等号返回:解码后的原始字节串。模型表:自定义一个普通的user表username = models.CharField(max_length=64, verbose_name='用户名')password = models.CharField(max_length=64, verbose_name='密码')路由层。
DRF 认证(1)
a35155的博客
01-26 1065
认证流程 认证过程解析 一、在django中客户端发来的请求会执行视图类的as_view方法,而as_view方法会执行dispatch方法,然后进行反射执行相应的方法(get、post等) 反射:通过字符串的形式操作对象相关的属性 https://www.chenshaowen.com/blog/reflection-of-python.html 1. getattr(object,‘name‘,‘default’) 如果存在name的属性方法,则返回name的属性方法,否则返回default的属性
DRF 用户认证
梦忆安凉的博客
09-01 1021
DRF用户认证
DRF的权限认证
weixin_30296405的博客
04-10 221
一、自定义权限 utils文件夹下新建permissions.py,代码如下: from rest_framework import permissions class IsOwnerOrReadOnly(permissions.BasePermission): """ Object-level permission to only allow owners of...
vueshop:Vue + Django restframework 前后端分离在线电商平台
05-02
VueShopVue + Django restframework 前后端分离在线电商平台简书记录: 笔记:开发环境Python 3.6.5Django 2.1OS:Windows 10Django restframework 3.9Vue 2.9.6MySQL 5.7其他的依赖请看requirementsQuick Start$ ...
django笔记 django笔记
06-16
Django拥有丰富的第三方库,如Django REST framework用于构建RESTful API,Django Channels支持WebSocket通信,以及用于权限管理的Django Guardian等。 以上只是Django框架的基本介绍,实际上,Django的功能远不止...
Django-rest-framework 06-1(实例:生鲜购物商城)
01-20
生鲜购物商城-项目创建写在前面1、创建项目2、项目配置3、设计...③本次项目设计采用Django-rest-framework框架,前后端分离设计 1、创建项目 ①使用pycharm创建项目 ②创建app:python manage.py startapp App ③在
django-rest-work笔记
12-14
Some reasons you might want to use REST framework: The Web browsable API is a huge usability win for your developers. Authentication policies including packages for OAuth1a and OAuth2. Serialization ...
django-rest 权限
weixin_39944891的博客
08-20 204
权限:为不同的用户赋予访问不用的视图 一、.djangorestframwork的权限基本使用:定义一个权限类,在其中实现has_permission方法, 然后在视图函数中配置就行 # 权限类 class Mypermission(object): def has_permission(self,request, view): pass # 使用:permission_classes =[权限1,权限2,] class UserInfoView(APIView): """
drf验证
yx1179109710的博客
08-17 733
drf验证:     1、在settings中配置: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuth...
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2564
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
DRF_权限认证
m0_51181022的博客
12-14 708
如需自定义权限,需继承父类,并实现以下两个任何一个方法或全部:是否可以访问视图,view表示当前视图对象,如果没有设置的话默认的是True,如果设置,False则表示所有的用户都不能访问该视图:是否可以访问数据对象,view表示当前视图,obj为数据对象,控制视图能够访问添加了权限控制类的数据对象。
笔记: Django Rest Framework 权限类Permission自定义 使用流程概述
05-13 1463
目的: 为不同的试图 用不同的权限访问 只要写上一个类,权限类,然后在views中引入就可以了,套路和上面的权的是一样的模式 如下所以: 写的权限类: has_permission()返回True表示权限认证成功,返回False表示权限不通过,这个函数同时有三个参数,最后一个是view, 这个是在源码中规定的 注意里面的message #下面是权限的代码, 没有继承restframework类中的任何一个类 class MyPermission(object): message = '这里可以定制返
DRF 三大认证
weixin_48183870的博客
04-22 892
三大认证之首,只有通过这个认证才会进行两外两个认证认证组件用于确定请求是来自谁。例如,它可以检查一个请求是否附带了一个有效的用户会话token,从而识别出请求的用户。三大认证的第二个,到这里说明已经通过了认证组件权限组件用于确定已认证的用户是否有权限执行某个操作。例如,一个API视图可能只允许特定的用户组或具有特定权限的用户访问。三大认证的最后一个,到这里说明已经通过了认证权限组件权限组件用于确定已认证的用户是否有权限执行某个操作。例如,一个API视图可能只允许特定的用户组或具有特定权限的用户访问。
DRF认证组件
diaolouan9546的博客
09-23 213
1.DRF认证组件之视图注册用法(自定义简单使用)   settings.py配置   INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', ...
6、DRF实战总结:认证及使用Token认证,代码示例详解(附源码)
SteveRocket's-Blog
04-08 2646
身份验证是将传入的请求对象(request)与一组标识凭据(例如请求来自用户或其签名的令牌token)相关联的机制。REST framework 提供了一些开箱即用的身份验证方案,并且还允许实现自定义方案。 DRF的每个认证方案实际上是一个类。可以在视图中使用一个或多个认证方案类。REST framework将尝试使用列表中的每个类进行身份验证,并使用成功完成验证的第一个类返回的元组设置 request.user 和request.auth。
django restframework 最全笔记
05-31
但是,我可以大致介绍一下Django REST framework的一些特点和用途。 Django REST framework是一个基于Django的Web API开发框架,它提供了一些常用的API开发工具和功能,使得开发者可以更加便捷地创建和管理Web API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值