drf 对象级权限

最新推荐文章于 2024-04-12 20:21:30 发布
最新推荐文章于 2024-04-12 20:21:30 发布
阅读量221 收藏
点赞数
分类专栏: drf django 文章标签: django drf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48192346/article/details/133052006
版权
django 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
drf
1 篇文章 0 订阅
订阅专栏

drf 对象级权限

Django REST Framework(DRF)提供了对象级别权限(Object-level permissions)来控制特定对象的访问权限。

简单来说:通过视图类中的self.get_object(pk)得到一个obj对象(视图对象),在与request.user对象(请求对象)进行比较,来判断该用户是否有权限。

def retrieve(self, request, pk):
    obj = self.get_object(pk)  #获取视图对象
    self.check_object_permissions(request, obj) #调用权限的has_object_permission方法,来判断是否有权限

用途:因为要使用到self.get_object(pk)方法,当然也可以重写一个该方法,但该方法仅限于:获取单个对象(retrieve),删除单个对象(destroy),更新单个对象(update)

自动实现对象级权限

model.py
class User(model.Model):
    username = models.CharField("用户名", max_length=32)
    password = models.CharField('密码', max_length=32)
    email = models.EmailField('邮箱', max_length=32, blank=True)
    phone = models.CharField("手机号", max_length=11, blank=True)
    created = models.DateTimeField("创建时间", auto_now_add=True)
    updated = models.DateTimeField("更新时间", auto_now=True)

class getArticlePermissions(BasePermission):
    def has_object_permission(self, request, view, obj):
        try:
            return obj.user == request.user
        except:
            return obj == request.user
        
class UserView(GenericAPIView):
    queryset = User.objects.all() #这里一定要用户模型
    serializer_class = categoryModelSerializer
   	permission_classes = [getArticlePermissions,]
	def get(self,request,pk):
        pass
  #说明,因为GenericAPIView中有queryset方法,而get_object(pk)方法有能得到一个对象,就可以自动的调用self.check_object_permissions(request, obj),进而实现对象级权限,但这种有很强的局限性
1. 视图要包含queryset属性
2. queryset = 对象模型
3. 仅限于获取pk属性的方法,一般是单个对象 (put,delete,get)
4. pk的值一定只能跟queryset有关,pk是对象的id

自定义对象级权限

当调用.get_object()时,由REST框架的通用视图运行对象级权限检测。如果你正在编写自己的视图并希望强制执行对象级权限检测,或者你想在通用视图中重写get_object方法,那么你需要在检索对象的时候显式调用视图上的.check_object_permissions(request, obj)方法。

class getArticlePermissions(BasePermission):
    def has_object_permission(self, request, view, obj):
        try:
            return obj.user == request.user
        except:
            return obj == request.user
        


class articleView(GenericViewSet, mixins.ListModelMixin, mixins.UpdateModelMixin, mixins.CreateModelMixin,
                  mixins.DestroyModelMixin, mixins.RetrieveModelMixin):
    queryset = Category.objects.all()
    serializer_class = categoryModelSerializer
    permission_classes = [IsAuthenticated, getArticlePermissions]

    def retrieve(self, request, pk=None, *args, **kwargs):
        user = request.user  #获取请求对象
        print(user)
        if user: #判断请求对象是否有值
            try:
                obj = Category.objects.filter(user=user, pk=pk).first() #获取视图对象
            except:
                return Response({"message": "失败"}) 
            self.check_object_permissions(request, obj)  #调用权限的has_object_permission进行对象级权限校验
            serializer = categoryModelSerializer(instance=obj) #序列化
            return Response(serializer.data)
        return Response({"status_code": 500, "message": "违法登录"})

注意

​ 如果你的用户对象是自定义对象的话,并且又创建了超级用户,这样的话就有两个模型类

​ 并且你配置了如下设置

    'DEFAULT_AUTHENTICATION_CLASSES': (
		...
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication'
		...
    ),
    则你在未登录的情况下,request.user会是你的超级用户,
    而不是匿名对象,而造成的一切的因素是你配置了
    'rest_framework.authentication.SessionAuthentication',
    只需要将它注释即可
boy_china_tian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python-djangorules一个小巧但是强大的应用提供对象级别权限管理且不需要使用数据库
08-11
django-rules:一个小巧但是强大的应用,提供对象级别权限管理,且不需要使用数据库
django guardian 对象级别权限设计
ronon77的专栏
03-14 1330
         django 目前权限两种:              1.表级别,也是model,默认的表级别,add ,delete,change              2.对象级别,也是field           虽加入了guardian,设计思路还是user ,group,role,类似于linux的3 2 1           guradian 的官网示例  ...
Django-guardian实现对象级别权限控制
热门推荐
菲宇运维
04-09 1万+
django-guardian是为Django提供额外的基于对象权限的身份验证后端。 特征 匿名用户的支持 高API 经过严密测试 Django admin的整合 装饰器 安装 pip install django-guardian 配置setting 1、将guardian加入到INSTALLED_APPS INSTALLED_APPS = ( # ... ...
【AMAD】django-guradian -- 为Django加入单个对象级别权限
weixin_30322405的博客
05-23 189
动机 简介 个人评分 动机 django默认的permission系统就是将将能用的程度。默认授权会将一个数据表所有数据的权限都授予,而现实世界不是这样。很多时候,我们仅想授权数据的一小部分给用户。 简介 django-guardian1使用一个中间表来记录对象权限。并且支持: admin集成 authentication backend 个人评分 类型...
Python-djangoguardianDjango12实现了单个对象权限
08-11
django-guardian:Django 1.2 实现了单个对象权限
python drf基础资料
09-14
本文将深入探讨DRF的基础知识,包括安装、设置、序列化、路由、视图、权限和认证等方面。 1. **安装与设置** 安装DRF非常简单,只需在你的项目环境中使用pip: ``` pip install djangorestframework ``` 在你...
DjangoDRF框架阶段讲义
06-27
4. **权限和认证(Authentication & Authorization)**:DRF提供了一套完整的权限和认证机制,包括基本认证、令牌认证、OAuth2等,确保API的安全性。 5. **序列化器(Serializers)**:DRF的序列化器可以处理复杂的数据...
学习DRF
02-25
序列化是将Python对象转换为JSON或其他可传输格式的过程,DRF提供了强大的序列化工具,包括ModelSerializer和Serializer类,它们简化了模型数据和自定义数据的序列化和反序列化。 4. **视图与路由** 在DRF中,...
DRF:学习DRF
03-13
DRF提供了一套完整的解决方案,包括序列化、认证、权限管理、URL路由、分页和过滤等。 2. **序列化**: 序列化是将Python对象转换为JSON或其他可传输格式的过程。DRF提供了一个强大的序列化系统,支持模型实例、...
django drf框架自带的路由及最简化的视图
09-18
在实际开发中,结合DRF的其他组件,如权限管理、分页、过滤等,我们可以构建出功能强大且易于维护的Web API服务。对于初学者来说,理解并熟练运用这些核心概念是掌握DRF的关键。不断实践和探索,将有助于提高开发...
Django的每个对象权限-Python开发
05-25
django-guardian django-guardian是每个对象权限[1]的实现,它是自Django 1.5开始受支持的授权后端。 它不适用于较早的Django版本。 文档在线文档django-guardian django-guardian是基于对象权限[1]在Django授权后端之上的实现。文档在线文档位于https://django-guardian.readthedocs.io/。 要求Python 3.5+受支持的Django版本(当前为2.2+)在Travis CI上测试了Django 2.2、3.0和master。 安装要安装django-guardian,只需运行:pip install django-guardian配置我们需要将django-guardian挂接到o
系统对象对象权限
gumengkai的博客
05-24 4557
一.概述 1.作用 oracle使用权限来控制用户对数据的访问以及用户所能执行的操作。通过对用户授予权限,用户 能够在自己的模式或其他用户的模式中创建、删除或修改数据库对象,或者在数据库中执行某些 特定的操作。 权限可以通过以下两种方法授予用户 a.直接将权限授予用户 b.首先将权限授予角色,然后再将角色授予用户 2.分类 a.系统权限:在数据库级别执行某种操作,用于控制
Django 用户验证与权限管理详解
Rocky006的博客
11-30 1146
Django是一款强大且灵活的Python Web框架,不仅在构建功能复杂的网站应用中表现出色,还在诸如用户验证、权限管理等细微之处提供了优秀的解决方案。在多用户、权限复杂的Web应用中,认证和权限管理尤其重要。接下来,我们就来探究一下Django如何处理用户验证和权限管理的。
Django框架如何实现用户认证和权限管理?
最新发布
2401_84297769的博客
04-12 373
然后,将用户添加到该组中,这样用户就可以继承组的权限。除了全局的权限管理外,Django还支持对象级别权限控制。这意味着你可以控制用户对特定对象的访问权限,而不仅仅是对整个模型或应用的访问权限。用户认证是验证用户身份的过程,通常涉及用户名和密码的匹配。通过遵循这些最佳实践,并结合Django强大的用户认证和权限管理系统,你可以构建一个既安全又灵活的Web应用程序。属性,以声明额外的权限Django权限管理系统基于用户、组和权限的概念。除了Django内置的权限系统外,你还可以根据需要定义自定义权限
Django点滴(1)xadmin+rule对象权限的实现
zcyuefan的博客
08-31 4407
Django-xadmin+rule对象权限的实现 Django点滴系列是本人Django使用的一个记录,主要用于踩坑填坑,如果能帮到你,就是我荣幸! 1. 需求vs现状 1.1 需求 要求做一个ERP后台辅助管理的程序,有以下几项基本要求: 1. 基本的增删改查功能 2. 基于对象权限控制(如:系统用户分为平台运营人员和商家用户,商家用户小A只能查看编辑所属商家记录,
django 扩展自带权限,使其支持对象权限
weixin_34224941的博客
10-17 308
扩展django 自带权限 说明 在不重写 自带权限的基础上,完成支持对象权限,适用于小型项目。欢迎提出修改意见 软件支持 jsonfield 数据库 新建3个表 from django.db import models from django.contrib.auth.models import AbstractUser, Group ,User from jsonfield impo...
如何利用Django-guardian实现对象级别权限控制
大江狗
03-27 1629
编者的话:Django自带的权限管理粒度比较粗,如果一个用户对一个模型Model具有编辑(change)的权限,那么该用户将拥有对该模型Model对...
django admin 权限配置(类级别配置和字段级别配置)
cms专家
02-27 4254
一个常用的 Django admin 特性是它的权限系统,该系统可以扩展以包含低权限。默认情况下,admin 可以细粒度控制角色和权限,但是这些角色仅应用于类级别:用户可以修改所有 所有文章  或者只修改自己发布的文章。     只允许用户修改特定的对象。这常常称为低 权限,因为它们只能修改特定数据库表格行。     而综合权限可以修改表格中的任何记录。样例应用程序中的情况可能是您只希望用
django drf 权限控制
05-30
Django REST framework (DRF) 提供了一些内置的权限类,可以用于控制 API 的访问权限。以下是一些常用的权限类: 1. `AllowAny`:允许所有用户访问 API。 2. `IsAuthenticated`:只有认证用户才能访问 API。 3. `IsAdminUser`:只有管理员用户才能访问 API。 4. `IsAuthenticatedOrReadOnly`:认证用户可以执行任何操作,未认证用户只能执行只读操作。 5. `DjangoModelPermissions`:基于 Django 模型的权限控制,只有拥有模型相关权限的用户才能执行相关操作。 6. `DjangoObjectPermissions`:基于 Django 模型对象权限控制,只有拥有模型对象相关权限的用户才能执行相关操作。 下面是一个使用权限类的示例: ```python from rest_framework.permissions import IsAuthenticated from rest_framework.views import APIView from rest_framework.response import Response class MyAPIView(APIView): permission_classes = [IsAuthenticated] def get(self, request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 在上面的示例中,我们定义了一个 `MyAPIView` 类,并将其 `permission_classes` 属性设置为 `[IsAuthenticated]`。这意味着只有认证用户才能访问此 API。如果未认证用户尝试访问此 API,则会返回 401 Unauthorized 错误响应。 此外,您还可以在视图函数上使用 `@permission_classes` 装饰器来指定权限类。例如: ```python from rest_framework.decorators import permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @permission_classes([IsAuthenticated]) @api_view(['GET']) def my_view(request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 上面的示例中,我们使用 `@permission_classes` 装饰器将 `IsAuthenticated` 权限类应用于 `my_view` 函数。这样,只有认证用户才能访问此 API。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值