DRF权限认证的实现

最新推荐文章于 2024-04-09 11:30:16 发布
最新推荐文章于 2024-04-09 11:30:16 发布
阅读量404 收藏 1
点赞数
分类专栏: django-restframework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43157245/article/details/104517551
版权

首先我们定义了一个博客模型,其model.py和serializers.py以及views.py文件分别如下

1.models.py

from django.db import models
from django.contrib.auth.models import User
# Create your models here.
class Blog(models.Model):
    user=models.ForeignKey(User,on_delete=models.CASCADE,related_name="blog",verbose_name="作者")
    title=models.CharField(max_length=100,verbose_name="文章标题")
    text=models.TextField(verbose_name="内容")
    add_time=models.DateTimeField(auto_now_add=True)
    class Meta:
        verbose_name="博客"
        verbose_name_plural=verbose_name
        unique_together=("title","user")
    def __str__(self):
        return  self.title

2 serializers.py

from rest_framework import serializers
from .models import Blog

class BlogSerializer(serializers.ModelSerializer):
    user=serializers.HiddenField(default=serializers.CurrentUserDefault())
    class Meta:
        model=Blog
        fields=("user","title","text",)

3 views.py

from django.shortcuts import render
from rest_framework import mixins,viewsets
from .serializers import BlogSerializer
from .models import Blog
from rest_framework.permissions import IsAuthenticated
# Create your views here.
class BlogViewSet(mixins.CreateModelMixin,
                  mixins.ListModelMixin,viewsets.GenericViewSet):
    queryset = Blog.objects.all()
    serializer_class = BlogSerializer

这里可以看下我们最终实现的效果如何。
在这里插入图片描述
这里我们可以看到我创建了两个博客实例,两个标题一个是python学习,一个是python,他们都是属于用户ll_admin。但是此时如果我们仔细观察就会发现此时右上角有个Log In,说明此时我们并没有用户登录但是却能访问用户的数据,这是不合理的。因此我们需要对此进行限制,只有让用户在登录之后才能访问相应的数据。我们只需要将代码改为如下即可

from django.shortcuts import render
from rest_framework import mixins,viewsets
from rest_framework.permissions import IsAuthenticated
from .serializers import BlogSerializer
from .models import Blog
from rest_framework.permissions import IsAuthenticated
# Create your views here.
class BlogViewSet(mixins.CreateModelMixin,
                  mixins.ListModelMixin,viewsets.GenericViewSet):
    queryset = Blog.objects.all()
    permission_classes = (IsAuthenticated,)
    serializer_class = BlogSerializer

我们只需要添加一个permission_class即可完成这个功能。最后效果如下
在这里插入图片描述
那接下来如果我们只想要用户操作自己的数据该怎么实现呢。比如说我们只想让用户浏览自己的文章并且只能删除自己的文章。我们可以将代码改为如下

from django.shortcuts import render
from rest_framework import mixins,viewsets
from rest_framework.permissions import IsAuthenticated
from .serializers import BlogSerializer
from .models import Blog
from rest_framework.permissions import IsAuthenticated
from .permissions import IsOwnerOrReadOnly
# Create your views here.
class BlogViewSet(mixins.CreateModelMixin,
                  mixins.ListModelMixin,mixins.DestroyModelMixin,viewsets.GenericViewSet):
    permission_classes = (IsAuthenticated,IsOwnerOrReadOnly,)
    serializer_class = BlogSerializer
    def get_queryset(self):
        return Blog.objects.filter(user=self.request.user)

为了实现删除功能我们继承了mixins.DestroyModelMixin,同时我们添加了另外一个权限即IsOwnerOrReadOnly,我们可以看下它具体的实现代码

from rest_framework.permissions import BasePermission
from rest_framework.permissions import SAFE_METHODS

class IsOwnerOrReadOnly(BasePermission):
    def has_object_permission(self, request, view, obj):
        if request.method in SAFE_METHODS:
            return True
        return obj.user==request.user

这是我们自己定义的一个权限类,我们重构了has_object_permission方法。首先我们判断请求方法是不是在SAFE_METHODS中,SAFE_METHODS 是一个元祖其值为(‘GET’, ‘HEAD’, ‘OPTIONS’),所以我们如果我们是通过get方法访问某个页面就会返回True,最后我们在views.py文件中重构get_queryset()方法并将queryset属性删除。这样就实现了用户只能访问自己的数据。倘若我们是要删除我们的数据has_object_permission方法会判断要删除的对象的user属性是不是等于请求的当前用户。不是则返回False因而删除失败。这样就实现了我们一个用户的权限认证。

长不大的小菜鸡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DRF认证权限频率
Yietong的博客
10-08 459
通过引发RestrictError(django.db.IntegrityError的一个子类)来防止删除被引用的对象, 与PROTECT不同的是, 如果被引用的对象也引用了一个在统一操作中被删除的不同对象, 但通过CASCADE关系,则允许删除被引用的对象。【当主表中的一条数据删除时, 从表中所有的关联数据字段设置为SET()中设置的值, 与models.SET_DEFAULT相似, 只不过此时从表中的相关字段不需要设置default参数】3. 重写authenticate方法。
DRF(九):认证权限
qingyanhuan的博客
09-14 889
认证 自定义认证 权限 自定义权限
DRF五 ---- 认证权限
zxcvbbnn的博客
08-05 630
认证权限认证还是先创建一个模型类序列化视图路由权限drf里面的源码解决不认证就能修改的问题解决谁认证都可以修改的问题路由里面显示登录的代码DRF提供的四种认证BasicAuthentication在pycharm中创建数据对BasicAuthentication身份认证的总结TokenAuthenticationTokenAuthentication的配置TokenAuthentication验证TokenAuthentication的缺点SessionAuthenticationsession验证是怎么生
DRF_权限认证
m0_51181022的博客
12-14 708
如需自定义权限,需继承父类,并实现以下两个任何一个方法或全部:是否可以访问视图,view表示当前视图对象,如果没有设置的话默认的是True,如果设置,False则表示所有的用户都不能访问该视图:是否可以访问数据对象,view表示当前视图,obj为数据对象,控制视图能够访问添加了权限控制类的数据对象
DRF认证权限、限流等八大组件
m0_61810345的博客
02-27 957
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部是否可以访问视图, view表示当前视图对象,request可以通过user属性获取当前用户是否可以访问模型对象, view表示当前视图, obj为模型数据对象,request可以通过user属性获取当前用户"""VVIP权限自定义权限,可用于全局配置,也可以用于局部配置""""""视图权限返回结果未True则表示允许访问视图类。
drf-------权限组件
淘淘桃的博客
05-25 1213
大家都登录了,但有的功能(接口),只有超级管理员能做,有的功能所有登录用户都能做----》这就涉及到权限的设计了。# 咱们现在只是为了先讲明白,drf权限组件如何用,咱们先以最简单的为例。-查询所有图书:所有登录用户都能访问(普通用户和超级管理员)# 权限设计:比较复杂---》有acl,rbac,abac。-错误信息是self.message='字符串'-如果没有权限,就返回False。-如果有权限,就返回True。-删除图书,只有超级管理员能访问。-给其它用户设置的权限。# 权限类的使用步骤。
python drf基础资料
09-14
本文将深入探讨DRF的基础知识,包括安装、设置、序列化、路由、视图、权限认证等方面。 1. **安装与设置** 安装DRF非常简单,只需在你的项目环境中使用pip: ``` pip install djangorestframework ``` 在你...
Django restframework 框架认证权限、限流用法示例
09-18
它提供了许多功能,包括认证权限和限流,使得构建RESTful API变得更加简单和规范。 **认证(Authentication)** 认证是验证用户身份的过程。DRF提供多种认证方式,包括: 1. **BasicAuthentication**:基于HTTP...
学习DRF
02-25
同时,权限管理可以通过编写自定义权限类来实现,控制用户对API资源的访问权限。 6. **序列化器字段和扩展** 学习DRF时,需要理解各种内置的序列化器字段,如CharField、IntegerField等,并了解如何创建自定义字段...
Django DRF APIView源码运行流程详解
09-16
这是 DRF 添加认证权限和速率限制的地方。每个组件(如认证权限)都会检查请求是否满足其条件,如果不满足,可能会抛出异常或返回错误响应。 4. **request 对象封装**:`initialize_request` 方法被用来封装...
django_vue_rbac:基于Django,Vue的RBAC权限管理系统,可精确到按钮级权限,轻松添加业务页面
03-07
RBAC权限管理系统 项目简介 一个基于Django,Django REST框架(DRF),Vue的前布局分离的后台管理系统,可轻松添加业务页面及功能。 系统预览 特别鸣谢 感谢提供的非商业开源软件开发授权 感谢提供一级Django框架 感谢提供设想DRF框架 感谢提供的页面布局及前端模板
Django+JWT实现Token认证实现方法
09-19
在现代Web应用中,特别是在前后...通过自定义认证后端和中间件,可以在不引入DRF的情况下实现JWT认证,同时保持与Django内置权限系统的兼容性。这种实现方法可以帮助开发者更好地控制API的访问权限,提高系统的安全性。
python教程简书_python教程
weixin_39718460的博客
12-11 175
1, 序列化 Serialization创建一个新环境在做其他事之前,我们会用virtualenv创建一个新的虚拟环境。这将确保我们的包配置与我们正在工作的其他项目完全隔离。virtualenv env # 创建虚拟环境,命名: envsource env/bin/activate # 进入虚拟环境env既然我们已经在虚拟环境中,那么我们就可以安装我们依赖的包了。pip inst...
drf权限(2)
a35155的博客
02-10 413
内置权限类分析 BasePermission 默认实现has_permission, has_object_permission方法 class BasePermission(metaclass=BasePermissionMetaclass): """ A base class from which all permission classes should inherit. """ def has_permission(self, request, view):
5、DRF实战总结:认证(Authentication)与权限(Permission)(附源码)
SteveRocket's-Blog
04-07 916
在这种情况下,需要的是 IsAuthenticatedOrReadOnly 类,它将确保经过身份验证的请求获得读写访问权限,未经身份验证的请求将获得只读的权限。以及使用默认的基于session机制的用户认证。比如当访问单篇文章资源时,不仅可以看到红色的delete按钮和修改文章内容的表单,而且可以在未登录的情况对它们进行操作。无论是Django还是DRF, 当用户成功通过身份验证以后,系统会把已通过验证的用户对象与request请求绑定,这样就可以使用request.user获取这个用户对象的所有信息了。
drf框架之权限认证
qq_34157140的博客
03-28 684
drf框架之权限认证功能 一.项目背景引入 本人学习的是某马的前后端分离的美多商城项目,本项目中使用了权限认证。但项目中虽然实现权限的动态分配以及添加,但在访问视图时没有做权限判定,没有实际功能,所以本人基于自定义权限后对其进行改进。 二.drf框架权限认证的介绍 drf和django对权限认证做了很好的封装,我们只需要很少的代码就可以实现RBAC(Role-Based Access Control的缩写,意为:基于权限的角色管理系统)。 用户模型类项目采用的是django自带的模型类,并对其进行了一定的
DRF认证权限、限流、序列化、反序列化
最新发布
hrj199036的博客
04-09 759
class 序列化类名(serializers.Serializer):字段 = serializers.类型()...#字段要与数据库中的一致由于序列化时,字段与模型中的字段是一样的,所以将其集中class 自定义ModelSerializer类名(ModelSerializer):model = 模型类名fields = [字段类名列表] | "__all__"#所有字段都返回在modelserializer的字段自定制。
drf:认证权限
qq_39787513的博客
01-24 1154
drf:认证权限一、认证Authentication1、全局认证2、局部认证二、权限1、全局权限2、局部权限三、测试 一、认证Authentication 在drf中我们还可以进行权限认证操作,我们先来看看认证 1、全局认证 全局认证我们只需在django配置文件中加入一个字典即可: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthenti
DRF访问控制(RBAC)、JWT认证
al6nlee的博客
11-05 682
目录RBAC什么是RBACDjango的内置RBAC(六表)表关系实操登录admin操作admin二次开发base64编码与解码JWT认证为什么使用JWT 认证?Session机制JWT机制JWT的构成headerpayloadsignature本质原理JWT认证算法:签发与校验签发:根据登录请求提交来的 账号 + 密码 + 设备信息 签发 token校验:根据客户端带token的请求 反解出 ...
drf实现前后端分离项目原理
09-06
4. 认证权限控制:DRF支持各种认证机制(如基于Token、JWT等),可以用于验证和授权API请求。开发人员可以根据项目需求配置适当的认证方式,并实施权限控制。 5. 数据处理和验证:DRF提供了强大的序列化器来处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值