「Django REST Framework 框架」Permissions权限解析及应用举例

最新推荐文章于 2024-05-07 19:10:31 发布
最新推荐文章于 2024-05-07 19:10:31 发布
阅读量1k 收藏 2
点赞数
原文链接:https://blog.csdn.net/qq_20288327/article/details/113117355
版权

全部 Django Web 开发文章索引目录传送门:

【Django Web 开发】全部文章目录索引

文章目录
内容介绍
Permissions权限
应用举例
内容介绍
代码内容基于「Django REST Framework API框架」源码版本 3.12.x ,更新内容会进行标记说明对应版本。

身份认证和权限组合使用,用来确定请求是否返回数据还是拒绝请求数据。

Permissions权限
1.确定权限

# 在运行视图前检查每个请求的权限
# 如果检查失败则会引发 exceptions.PermissionDenied 异常并且不会运行视图代码
# 根据以下规则
# 401:请求未成功进行身份验证
# 403:请求已成功通过身份验证,,但权限被拒绝禁止的响应

def get_object(self):
    obj = get_object_or_404(self.get_queryset(), pk=self.kwargs["pk"])
    self.check_object_permissions(self.request, obj)
    return obj

1
2
3
4
5
6
7
8
9
10
11
2.设置权限策略

# 在 Django 项目中的 settings.py 中, 你可以使用全局设置权限访问策略
REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',            # IsAuthenticated 仅通过认证的用户
        'rest_framework.permissions.AllowAny',                   # AllowAny 允许所有用户
        'rest_framework.permissions.IsAdminUser',                # IsAdminUser 仅管理员用户
        'rest_framework.permissions.IsAuthenticatedOrReadOnly',  # IsAuthenticatedOrReadOnly 认证的用户可以完全操作,否则只能get读取

    ]
}


# 单个 APIView 进行策略设置
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request, format=None):
        content = {
            'status': 'request was permitted'
        }
        return Response(content) 


# 使用装饰器的方式进行访问策略装饰
from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response

@api_view(['GET'])
@permission_classes([IsAuthenticated])
def example_view(request, format=None):
    content = {
        'status': 'request was permitted'
    }
    return Response(content) 

# 通过 class 属性或装饰器设置新的权限类时是在告诉视图忽略 settings.py 文件上设置的默认列表。
# 如果继承自 rest_framework.permissions.BasePermission
# 则可以使用标准的 Python 按位运算符来组合权限

# IsAuthenticatedOrReadOnly
from rest_framework.permissions import BasePermission, IsAuthenticated, SAFE_METHODS
from rest_framework.response import Response
from rest_framework.views import APIView

class ReadOnly(BasePermission):
    def has_permission(self, request, view):
        return request.method in SAFE_METHODS

class ExampleView(APIView):
    permission_classes = [IsAuthenticated|ReadOnly]

    def get(self, request, format=None):
        content = {
            'status': 'request was permitted'
        }
        return Response(content)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
3.认证的基础方式

# 1. IsAuthenticated
# 允许已认证并通过认证的用户情况可以进行后续操作。

# 2. IsAdminUser
# 用户身份中 user.is_staff 是 True 被允许。

# 3. IsAuthenticatedOrReadOnly
# 允许已认证用户读取和修改,未认证用户只读。
1
2
3
4
5
6
7
8
4.DjangoModelPermissions

# 该权限类与 Django 的标准 django.contrib.auth 模型权限相关联
# 此权限只能应用于 .queryset 属性的视图
# 仅当用户通过身份验证并分配了相关的模型权限时,才会授权。
# POST 请求需要用户对 add 模型具有权限
# PUT、PATCH 请求要求用户对 change 模型具有权限
# DELETE 请求需要用户对 delete 模型具有权限

# 可以覆盖默认行为以支持自定义模型权限
# 例如想要包括 GET 请求的view模型权限
# 要使用自定义模型权限,覆盖 DjangoModelPermissions 并设置 .perms_map 属性
# 如果将此权限与重写 get_queryset() 方法的视图一起使用该视图上可能没有 queryset 属性
# 在这种情况下建议使用 sentinel queryset 标记视图,以便此类可以确定所需的权限
queryset = User.objects.none()  # Django模型权限要求
1
2
3
4
5
6
7
8
9
10
11
12
13
5.DjangoModelPermissionsOrAnonReadOnly

# 与 DjangoModelPermissions 相似
# 允许未经身份验证的用户对 API 进行只读访问
REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
      'rest_framework.permissions.DjangoModelPermissionsOrAnonReadOnly'
    ]
}
1
2
3
4
5
6
7
6.DjangoObjectPermissions

# 该权限类与 Django 的标准对象权限框架相关联,允许对模型进行按对象划分的权限
# 使用此权限类需要添加一个支持对象级权限的权限后端django-guardian

# 安装
pip install django-guardian

# settings.py
INSTALLED_APPS = [
    ......
    'guardian',
]

AUTHENTICATION_BACKENDS = (
    # 然后将guardian作为额外的授权BACKEND添加进配置
    'django.contrib.auth.backends.ModelBackend',
    'guardian.backends.ObjectPermissionBackend',
)

# 与 DjangoModelPermissions 一样
# 此权限必须仅应用于具有.queryset 属性或 .get_queryset() 方法的视图
# 当用户通过身份验证并分配了相关的每个对象权限和相关的模型权限后才会授予授权。
# POST 请求要求用户对 add 模型实例具有权限
# PUT、PATCH 请求要求用户对 change 模型实例具有权限
# DELETE 请求要求用户对 delete 模型实例具有权限

# DjangoObjectPermissions 不需要 django-guardian 并且应该同样支持其他对象级后端。与 DjangoModelPermissions 一样,可以覆盖 
# DjangoObjectPermissions 和设置 .perms_map 属性来使用自定义模型权限
# 需要 GET、HEAD 和 OPTIONS 请求的对象级视图权限
# 并且正在将 django-guardian 用作对象级权限后端
# 则需要考虑使用 djangorestframework-guardian 包提供的DjangoObjectPermissionsFilter 类确保列表端点只返回结果
# 包括用户具有适当查看权限的对象

# shell 命令执行
python manage.py migrate
# 生成表单guardian_groupobjectpermission和guardian_userobjectpermission
# 记录了用户/组与model以及model内的具体object的权限对应关系
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
7.自定义权限

# 要实现自定义权限重写 BasePermission 
# .has_permission(self, request, view)
# .has_object_permission(self, request, view, obj)
# 方法应返回 True 应授予请求访问权限, 否则则返回 False。
# 测试中请求是读操作或写操作, 你应该检查对常量的请求方法 SAFE_METHODS
# 这是一个包含 'GET'、'OPTIONS' 和 'HEAD' 的一个元组。

# 只有在视图中 has_permission 检查已通过时才会调用实例级别 has_object_permission 方法
# 视图代码应该显式调用 .check_object_permissions(request,obj)
# 如果是通用视图,则默认情况下会为处理此问题(基于函数的视图将需要显式检查对象权限,在失败时引发 PermissionDenied)
# 测试失败则自定义权限将引发 PermissionDenied 异常
# 要更改与异常关联的错误消息
# 直接在自定义权限上实现 message 属性,否则将使用 PermissionDenied 的 default_detail 属性
# 同样要更改与异常关联的代码标识符,直接在您的自定义权限上实现 code 属性
# 否则将使用 PermissionDenied 的  default_codefrom 属性。
if request.method in permissions.SAFE_METHODS:
    # 检查只读请求的权限
else:
    # 检查写请求的权限
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
应用举例
# 权限类对照阻止列表检查传入请求的 IP 地址, 并在IP被阻止时拒绝该请求。
from rest_framework import permissions

class BlocklistPermission(permissions.BasePermission):
    """
    全局权限检查被阻止的ip。
    """

    def has_permission(self, request, view):
        ip_addr = request.META['REMOTE_ADDR']
        blocked = Blocklist.objects.filter(ip_addr=ip_addr).exists()
        return not blocked


# 除了针对所有传入请求运行的全局权限外
# 还可以创建仅针对影响特定对象实例的操作运行的对象级别权限
# 通用视图将检查适当的对象级别权限
# 但是如果您要编写自己的自定义视图则需要确保自己检查对象级别权限
# 通过在拥有对象实例后从视图中进行调用 self.check_object_permissions(request, obj) 来实现
# 如果任何对象级权限检查失败则调用将引发 APIException,否则将简单地返回
class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    对象级权限,只允许对象的所有者对其进行编辑。
    假设模型实例具有“所有者”属性。
    """

    def has_object_permission(self, request, view, obj):
        # 读取权限允许任何请求,
        # 总是允许GET, HEAD或OPTIONS请求。
        if request.method in permissions.SAFE_METHODS:
            return True

        # 实例必须具有名为“owner”的属性。
        return obj.owner == request.user


 

只要思想不滑坡办法总比困难多--小鱼干
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django REST Framework教程(5): 认证(Authentication)与权限(Permission)初识
大江狗
10-17 2687
在前面教程中我们以博客为例,使用DRF开发了博客文章列表资源和单篇文章资源这两个API,支持客户端以各种请求方式对文章资源进行增删查改。然而目前的 API 对谁可以新建、编辑或删除文章资...
Django restframework 框架认证、权限、限流用法示例
09-18
主要介绍了Django restframework 框架认证、权限、限流用法,结合实例形式详细分析了Djangorestframework 框架认证、权限、限流的具体使用方法及相关操作注意事项,需要的朋友可以参考下
django 实战(14): 权限(Permission模型)
luyouqi11的博客
07-18 869
由第13节自注册产生的用户只有三个字段username、email、password。与第9、10节创建的用户相比,其信息是不完备的。对于此类情况,需要补充用户详情。这里就不再详细介绍了,读者可参照第9、10节进行自行完善。用户登陆后,就不可避免的涉及到了用户权限问题。
Django restframework permission 权限
水野与小太郎的博客
12-05 1124
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性中的身份验证信息来确定是否允许传入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架中的权限和认证一样:为权限类列表。 在运行视图主体之前,将检查列表中的每个权限。如...
深入Django:用户认证与权限控制实战指南
最新发布
05-07 1181
要自定义登录或注册视图,可以创建一个类视图并定义。
django权限管理(Permission)
weixin_30419799的博客
06-13 251
什么是权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自 己被授权的资源 权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个 系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥 匙,就如系统一样。 django权限机制 django权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵...
django guardian 对象级别权限设计
ronon77的专栏
03-14 1326
         django 目前权限两种:              1.表级别,也是model,默认的表级别,add ,delete,change              2.对象级别,也是field           虽加入了guardian,设计思路还是user ,group,role,类似于linux的3 2 1           guradian 的官网示例  ...
Django REST framework 单元测试实例解析
09-18
主要介绍了Django REST framework 单元测试实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
重写 Django REST framework drf-api-logger 应用
06-29
Django REST Framework(DRF)中,`drf-api-logger`是一个非常有用的库,它可以帮助开发者记录API请求的日志,以便于监控、调试和分析应用的行为。然而,原始的`drf-api-logger`可能并不完全满足所有需求,比如在...
DRF(Django rest framework框架详细解析
03-17
框架中描述了resultful风格、DRF的序列化器序列化和反序列化原理、各种视图使用方法、视图集使用方法、权限认证、过滤、排序
django-rest-framework-files:对Django REST框架的文件下载和上传支持
05-09
REST框架文件 对Django REST框架的文件下载和上传支持。概述REST框架文件允许您下载用于呈现响应的格式的文件,并且还可以通过上传包含模型字段的文件来创建模型实例。要求Python(2.7、3.5、3.6) Django REST框架...
django-admin-permissions:非常简单的扩展,在admin字段中添加了权限检查
05-09
django-admin-permissions 非常简单的扩展,在admin字段中添加了权限检查 要求 Python 2.7+或Python 3.3+ Django 1.8以上 安装 使用您喜欢的Python软件包管理器从PyPI安装应用程序,例如 例子: pip install django-admin-permissions 将admin_permissions添加到INSTALLED_APPS : 例子: INSTALLED_APPS = ( ... ' admin_permissions ', ... ) 用法示例 使用ModelAdminPermission类,并使用fields_permissions设置权限: class ArticleAdmin ( ModelAdminPermission ): fieldsets = [
django rest framework 自定义返回方式
09-16
Django REST Framework中,我们经常需要根据项目需求定制API的返回格式,以便更好地与前端或其他客户端进行交互。默认情况下,DRF的响应(Response)通常是包含数据(data)的一个简单的JSON对象,但这种默认格式...
Django REST framework讲义PDF全集,中文文档PDF版
08-11
Django REST Framework(DRF)是基于Python的Django Web框架的一个强大扩展,专为构建Web API而设计。本讲义全面涵盖了这个框架的核心概念、功能以及最佳实践,旨在帮助开发者快速掌握如何利用DRF创建高效、可维护的...
Django REST framework框架手册
12-08
**Django REST Framework (DRF) 框架详解** Django REST Framework(简称DRF)是一个强大的、灵活的用于构建Web API的Python框架。它建立在Django之上,为开发高质量、可维护的API提供了丰富的工具集。下面将详细...
Django Rest framework权限的详细用法
09-18
Django Rest Framework(DRF)中,权限管理是一个核心组件,它允许开发者定义谁可以访问哪些资源。本文将深入探讨DRF权限的详细用法,帮助开发者更好地理解和实现权限控制。 首先,权限是用来决定用户对系统资源...
django-rest-framework框架总结之认证、权限、限流、过滤、分页及异常处理
weixin_43865008的博客
01-28 1950
针对 django-rest-framework框架中的认证、权限、限流、过滤、分页及异常处进行总结理。
restframework权限,认证,限流配置
ACAMPUS
12-08 2881
认证Authentication DRF框架的默认全局认证方案如下: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', # session认证 'rest_framework.aut...
Django REST Framework——6. 认证、权限、限流、过滤、排序及异常处理
花城的博客
12-21 1488
文章目录一、认证(Authentication)1.1 身份认证的流程1.2 自定义认证类1.3 设置认证方案二、权限Permissions)2.1 权限检查流程2.2 对象级别的权限2.3 自定义权限补充说明2.4 设置权限三、限流(Throttling)3.1 限流检查流程3.2 内置限流3.2.1 AnonRateThrottle3.2.2 UserRateThrottle3.3 设置限流四、过滤(Filtering)4.1 根据当前用户进行过滤4.2 根据URL进行过滤4.3 使用第三方djang
django rest framework框架
05-20
可以简单地描述一下 Django REST framework 框架是什么吗? Django REST framework 是一个基于 Django 的 Web API 开发框架,它帮助开发人员轻松地构建和发布 Web API。该框架提供了广泛的功能,例如序列化、验证、认证、许可和文档生成等。Django REST framework 还支持使用多个认证方案,包括基本认证、令牌认证以及 OAuth 认证等。除此之外,它也提供了一些默认的视图和函数,以便快速地构建 Web API。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值