DRF 中的身份验证与权限

最新推荐文章于 2023-04-08 20:00:00 发布
最新推荐文章于 2023-04-08 20:00:00 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: DRF框架 文章标签: django 数据库 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42262081/article/details/121556500
版权

身份验证与权限

前面举例项目的API对谁可以编辑或删除项目没有任何限制。而希望有一些更高级的行为,以确保:

  • 项目总是与创建者相关联。
  • 只有经过身份验证(登录后)的用户才能创建项目。
  • 只有项目的创建者才能更新或删除它。
  • 未经身份验证(游客)的请求应该具有完全只读访问权限。

modules.py 如下:
方便演示这里直接使用auth应用的User模型

from django.db import models

class Student(models.Model):
    """
    学生表
    """
    name = models.ForeignKey('auth.User', verbose_name='学生姓名',null=True, help_text='学生姓名', on_delete=models.SET_NULL,
                             related_name='student')
    gender = models.SmallIntegerField('性别', default='1', help_text='性别')
    hobby = models.CharField('爱好', max_length=200, null=True, blank=True, help_text='兴趣爱好')
    age = models.IntegerField('年龄', null=True, )
    create_time = models.DateTimeField('创建时间', auto_now_add=True, help_text='创建时间')

    class Meta:
        """
        元数据,
        """
        db_table = 'student'  # 指定当前模型创建的表明,不写默认当前的模型名Student
        verbose_name = '学生信息表'  # 注释
        verbose_name_plural = verbose_name  # 指定为复数

    def __str__(self):
        return f'name:{self.name},hobby:{self.hobby}'  # 输出项目名称,方便于调式


class Subject(models.Model):
    name = models.CharField(verbose_name='科目名称', max_length=100, null=True)
    sutdent = models.ForeignKey(Student, on_delete=models.CASCADE)  # 级联删除,删除主表数据时从表数据也会删除
创建用户

创建不同的用户用于测试API

python manage.py createsuperuser

最好将这些用户的表示添加到的API中,因此需要创建用户的序列化器。serializers.py代码如下:

from rest_framework import serializers
from project2s.models import Student, Subject
from django.contrib.auth.models import User

class ProjectSerializers(serializers.ModelSerializer):

    name = serializers.ReadOnlyField(source='name.username')
    class Meta:
        model = Student
        fields = ['id', 'name', 'hobby', 'age']

class SubjectSerializers(serializers.ModelSerializer):
    class Meta:
        model = Subject
        fields = '__all__'


class UserSerializers(serializers.ModelSerializer):
    student = serializers.PrimaryKeyRelatedField(many=True, queryset=Student.objects.all()) #因为'student'是用户模型的反向关系, 默认情况下,在使用ModelSerializer类时将不包含它,所以需要为它添加一个显式字段。

    class Meta:
        model = User
        fields = ['id', 'username', 'student']

在views.py中添加几个视图。希望只对用户表示使用只读视图,因此使用通用视图ListAPIView和RetrieveAPIView。

from project2s.models import Student, Subject
from django.contrib.auth.models import User
from project2s.serializers import ProjectSerializers, SubjectSerializers, UserSerializers
from rest_framework importgenerics
from rest_framework import permissions

# 类视图

class ListCreateView(generics.ListCreateAPIView):
    queryset = Student.objects.all()
    serializer_class = ProjectSerializers
    permission_classes = [permissions.IsAuthenticatedOrReadOnly]  # 添加权限

    def perform_create(self, serializer):
        serializer.save(name=self.request.user)

class UpdatePutDeleteDetailView(generics.RetrieveUpdateDestroyAPIView):
    queryset = Student.objects.all()
    serializer_class = ProjectSerializers
    permission_classes = [permissions.IsAuthenticatedOrReadOnly]  


class ListSubjectView(generics.ListCreateAPIView):
    queryset = Subject.objects.all()
    serializer_class = SubjectSerializers


class ListUserView(generics.ListCreateAPIView): # 用户只读
    queryset = User.objects.all()
    serializer_class = UserSerializers


class UserDetailView(generics.RetrieveAPIView): # 用户详情
    queryset = User.objects.all()
    serializer_class = UserSerializers

urls.py路由配置

from django.urls import path
from project2s import views
from rest_framework.urlpatterns import format_suffix_patterns

app_name = 'project2s'

urlpatterns = [
    path('students/', views.ListCreateView.as_view()),  # 创建或展示
    path('students/<int:pk>/', views.UpdatePutDeleteDetailView.as_view()),  # 删除或显示
    path('subject/', views.ListSubjectView.as_view()),  # 查看
    path('user/', views.ListUserView.as_view()),  # 查看
    path('user/<int:pk>', views.UserDetailView.as_view())  # 查看详情
]

urlpatterns = format_suffix_patterns(urlpatterns)

关联项目与用户

现在可以创建项目,并手动选择对应的用户与项目进行关联。但是在某些场景下这可能不是你想要的,比如谁创建项目就把谁与创建的项目进行关联。

那么用户就不能再作为序列化表示的一部分发送,而是传入请求的一个属性。django会将当前用户对象设置到request.user属性上,它是在中间件AuthenticationMiddleware中完成的。

首先修改项目的序列化器,将name字段修改为只读,并显示用户的用户名。

class ProjectSerializers(serializers.ModelSerializer):
    name = serializers.ReadOnlyField(source='name.username')

    class Meta:
        model = Student
        fields = ['id', 'name', 'hobby', 'age']

source参数控制哪个属性用于填充字段,并可以指向序列化实例上的任何属性。它也可以采用上面所示的句点符, 在这种情况下,它将遍历给定的属性, 与Django的模板语言使用的方式类似。

ReadOnlyField始终是只读的,并将用于序列化表示,但当模型实例被反序列化时,将不会用于更新它们。

然后再重写项目视图上的perform_create()方法,修改保存实例保存的方式,处理隐式传入请求或者请求URL中的任何信息,这里我们给项目关联当前用户。

在ListCreateView视图类上,添加以下方法:

class ListCreateView(generics.ListCreateAPIView):
    queryset = Student.objects.all()
    serializer_class = ProjectSerializers

    def perform_create(self, serializer):
        serializer.save(name=self.request.user)

添加登录功能

此时创建项目你会发现报错,这是因为,django再未做身份验证的请求的user属性上绑定了一个AnonymousUser对象。我们需要能够以用户身份登录。

通过编辑根urls.py文件中的URLconf,我们可以添加一个login视图来与可浏览的API一起使用。

在文件的末尾,添加一个模式,以包含可浏览API的登录和注销视图。

from django.contrib import admin
from django.urls import path, include

urlpatterns = [
    path('admin/', admin.site.urls),
    path('', include('project2s.urls')),
    path('auth', include('rest_framework.urls'))  # 登录功能

]

模式的’auth/'部分实际上可以是你想使用的任何URL。

现在,如果你再次打开浏览器并刷新页面,你会在页面的右上角看到一个“Login”链接。登录之前创建的用户,你将能够再次创建项目。

视图添加权限

现在希望确保只有经过身份验证的用户才能创建、更新和删除项目。REST框架包括许多权限类,我们可以使用它们来限制谁可以访问给定的视图。在这个例子中,我们要找的是IsAuthenticatedOrReadOnly,这将确保经过身份验证的请求获得读写访问权限,而未经身份验证的请求获得只读访问权限。

首先在views模块中添加以下导入

from rest_framework import permissions

然后,将下列属性添加到ListCreateView和UpdatePutDeleteDetailView视图类中。

class ListCreateView(generics.ListCreateAPIView):
    queryset = Student.objects.all()
    serializer_class = ProjectSerializers
    permission_classes = [permissions.IsAuthenticatedOrReadOnly]  # 添加权限

    def perform_create(self, serializer):
        serializer.save(name=self.request.user)

class UpdatePutDeleteDetailView(generics.RetrieveUpdateDestroyAPIView):
    queryset = Student.objects.all()
    serializer_class = ProjectSerializers
    permission_classes = [permissions.IsAuthenticatedOrReadOnly]  # 未登录时校验权限

permission_classes = [permissions.IsAuthenticatedOrReadOnly]
现在退出登录,会发现在项目列表页面的POST请求表单不见了
在这里插入图片描述
学生详情页的update,put按钮也看不见了
在这里插入图片描述

对象级权限

在这里插入图片描述

再创建一个用户并登录,会发现可以对前面用户创建的项目进行编辑。
实际上,希望所有项目对任何人都可见,但也要确保只有创建了项目的用户才能更新或删除它。

为此,需要创建一个自定义的权限。
在projects应用程序中,创建一个新文件permissions.py,编写如下代码:

from rest_framework import permissions
class IsStudentOrReadonly(permissions.BasePermission):
    """
    自定义权限只允许对象的学生编辑
    """
    def has_object_permission(self, request, view, obj):
        if request.method in permissions.SAFE_METHODS:
            return True
        return obj.name == request.user

将它添加到UpdatePutDeleteDetailView视图上

class UpdatePutDeleteDetailView(generics.RetrieveUpdateDestroyAPIView):
    queryset = Student.objects.all()
    serializer_class = ProjectSerializers
    permission_classes = [permissions.IsAuthenticatedOrReadOnly,IsStudentOrReadonly]  # 未登录时校验权限
permission_classes = [permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly]

刷新后只有当登录用户与当前代码片段的创建用户相同时,DELETE和PUT按钮才会出现在页面上。
在这里插入图片描述
在这里插入图片描述

久醉绕心弦,
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DRF(九):认证权限
qingyanhuan的博客
09-14 891
认证 自定义认证 权限 自定义权限
5、DRF实战总结:认证(Authentication)与权限(Permission)(附源码)
SteveRocket's-Blog
04-07 938
在这种情况下,需要的是 IsAuthenticatedOrReadOnly 类,它将确保经过身份验证的请求获得读写访问权限,未经身份验证的请求将获得只读的权限。以及使用默认的基于session机制的用户认证。比如当访问单篇文章资源时,不仅可以看到红色的delete按钮和修改文章内容的表单,而且可以在未登录的情况对它们进行操作。无论是Django还是DRF, 当用户成功通过身份验证以后,系统会把已通过验证的用户对象与request请求绑定,这样就可以使用request.user获取这个用户对象的所有信息了。
Django DRF 认证权限、频率
XWenXiang的博客
06-21 846
在前面说的 APIView 封装了三大认证,分别为认证权限、频率。认证即登录认证权限表示该用户是否有权限访问接口,频率表示用户指定时间内能访问接口的次数为了方便举例说明,事先定义好模型表 2. 认证 2.1 自定义认证 自定义登录认证可以生成随机字符串,并添加进 UserToken 表,每一次登录都会生成,若该字符串已存在则更新,不存在则新建。登录视图函数 自定义认证表需要创建认证类,首先继承拓展 BaseAuthentication 导入语句:自定义认证类 2.1.1 全局使用 在配置文件添加配
6、DRF实战总结:认证及使用Token认证,代码示例详解(附源码)
SteveRocket's-Blog
04-08 2669
身份验证是将传入的请求对象(request)与一组标识凭据(例如请求来自用户或其签名的令牌token)相关联的机制。REST framework 提供了一些开箱即用的身份验证方案,并且还允许实现自定义方案。 DRF的每个认证方案实际上是一个类。可以在视图使用一个或多个认证方案类。REST framework将尝试使用列表的每个类进行身份验证,并使用成功完成验证的第一个类返回的元组设置 request.user 和request.auth。
drf - Django Rest Framework Permissions权限验证详解
weixin_51098806的博客
03-24 3408
来我的GitHub来看更多关于DRF的资料吧 十分钟学会DRF的企业级用法 官方解释: 权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权 限用于授予或拒绝不同类型的用户对API不同部分的访问。 最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架的IsAuthenticated类。 其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继
django-firebase-auth:用于Google Firebase身份验证服务的Django DRF身份验证提供程序
02-05
"django-firebase-auth" 是一个专为 Django REST Framework (DRF) 设计的身份验证插件,它允许开发者将 Google Firebase 的身份验证服务集成到他们的 Django 应用。Firebase 提供了一种方便的方式来管理用户认证,...
drf-auther:Django Rest Framework的身份验证和授权
02-08
" 这段描述暗示了drf-auther库可能提供了一种优于DRF默认机制的解决方案,可能是通过增加新的认证策略、权限模型或Token管理,以提升安全性并简化开发者在处理用户认证与授权过程的工作。 **标签:** "Python" ...
身份验证 REST API 服务
最新发布
05-17
DRF ,可以配置 TokenAuthentication 类来启用 JWT 身份验证。当用户成功登录后,服务器将返回一个包含用户信息的 JWT 令牌,客户端随后可以使用该令牌访问受保护的 API 端点。 3. **Django 用户认证系统**:...
Python-djangoguardianDjango12实现了单个对象权限
08-11
`django-guardian`与DRFDjango Rest Framework)可以很好地集成,通过自定义权限类或在视图进行权限检查。 ```python from rest_framework.permissions import DjangoObjectPermissions from rest_framework....
学习DRF
02-25
Django REST Framework是一个为Django设计的高级Web API框架,它提供了许多开箱即用的功能,如序列化、身份验证、分页和过滤,使得构建符合REST原则的API变得容易。 2. **安装与设置** 学习DRF的第一步是安装DRF...
DRF_权限认证
m0_51181022的博客
12-14 708
如需自定义权限,需继承父类,并实现以下两个任何一个方法或全部:是否可以访问视图,view表示当前视图对象,如果没有设置的话默认的是True,如果设置,False则表示所有的用户都不能访问该视图:是否可以访问数据对象,view表示当前视图,obj为数据对象,控制视图能够访问添加了权限控制类的数据对象。
DRF 3.x Permissions 权限使用示例和配置方法
热门推荐
Mr数据杨
01-26 3万+
大家好,我是Mr数据杨。想象一下,那个以天下著名的赤壁之战,当时的曹操,具备了最高的权限,他拥有巨大的军队,几乎可以称霸全国,这就好比他拥有了所有的权限查看方法。他可以查看所有的信息,了解每一个军队,每一处地形。但是,对于这些权限的使用,就需要一定的策略设置,就像曹操将军队分为水军和陆军,这就是权限策略设置。
DRF向导之认证权限
SCUhzs
09-27 270
src 目前为止,我们的API对谁能编辑或删除snippet(代码片段)还没有任何限制。我们将增加一些扩展功能来确保以下: snippets总关联一个创建者; 只有认证后的用户才能创建一个snippets. 只有创建者才能更新或删除snippet; 非认证请求只拥有只读权限。 1. 为model增加信息 我们先需要对Snippet的model做些修改。首先,增加一些fields. 其一个用来...
Django--011 DRF-认证和授权
qq_25672165的博客
09-14 340
DRF. 权限管理
DRF 认证(1)
a35155的博客
01-26 1068
认证流程 认证过程解析 一、在django客户端发来的请求会执行视图类的as_view方法,而as_view方法会执行dispatch方法,然后进行反射执行相应的方法(get、post等) 反射:通过字符串的形式操作对象相关的属性 https://www.chenshaowen.com/blog/reflection-of-python.html 1. getattr(object,‘name‘,‘default’) 如果存在name的属性方法,则返回name的属性方法,否则返回default的属性
8-4 drf权限验证
huanglianggu的专栏
05-07 1368
现在的情况是:可以获取任何一个用户的收藏记录 也可以删除任何一个收藏记录 因此,需要有权限控制。 https://www.django-rest-framework.org/api-guide/permissions/#allowany 配上 IsAuthenticated 如果用户未登录的情况下,访问,会报401错误: 效果: ht...
Django 鉴权 - 利用 djangorestframework_simplejwt
IT技术讨论
08-07 7923
安装 pip install djangorestframework_simplejwt 设置 settings.py 设置: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_simplejwt.authentication.JWTAuthentication', ], } 路由配置: from...
django 项目认证权限实际操作(使用了DRF)
09-11 316
Django REST framework 认证权限: 1, 认证权限是不同的 2, 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问 3, 认证是检验是 能否通过强调的是检验身份 4, 项目采用的认证是 全局认证 权限代码 可以随时更改权限 5, 自定义认证主要是 获取前端的 token 值 然后进行 token 检验! 首先 定义试图...
从0学DRF(源码剖析)(二)认证
Zijian Su的博客
02-29 750
源码分析 Django的APIview的dispatch方法源码 def dispatch(self, request, *args, **kwargs): """ `.dispatch()` is pretty much the same as Django's regular dispatch, but with extra hooks ...
drf simplejwt
07-28
DRF SimpleJWT是一个基于Django框架的简单JWT(JSON Web Token)认证库。JWT是一种用于在网络应用间传输信息的安全标准,它由三个部分组成:头部(header)、载荷(payload)和签名(signature)。 DRF SimpleJWT提供了方便的工具,用于在Django REST Framework实现基于JWT的认证和授权。它适用于需要在Web API使用JWT进行身份验证权限控制的项目。 使用DRF SimpleJWT可以轻松地生成、验证和刷新JWT。首先,您需要在Django项目安装DRF SimpleJWT库。然后,您可以配置您的Django设置,使用该库提供的认证类替换默认的Token认证类。这样,您的API视图就可以使用JWT进行身份验证了。 DRF SimpleJWT还提供了一些额外的功能,比如JWT的过期时间设置、通过自定义payload来添加额外信息等。您可以根据您的项目需求来配置和使用这些功能。 总的来说,DRF SimpleJWT是一个方便易用的库,它简化了在Django项目使用JWT进行身份验证的过程。它提供了一套完整的工具,帮助您生成、验证和刷新JWT。如果您需要在Django REST Framework实现JWT认证和授权,DRF SimpleJWT是一个值得考虑的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

久醉绕心弦,

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值