drf - Django Rest Framework Permissions权限验证详解

已于 2022-03-27 19:11:41 修改
阅读量3.2k 收藏 5
点赞数 1
分类专栏: 拳打脚踢Python后端 文章标签: python django drf
于 2022-03-24 11:28:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51098806/article/details/123706679
版权

来我的GitHub来看更多关于DRF的资料吧
十分钟学会DRF的企业级用法

官方解释:

权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求中的身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权
限用于授予或拒绝不同类型的用户对API不同部分的访问。
最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架中的IsAuthenticated类。

其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继承单一的generics类)这样就可以验证所有用户访问,如果用户没有权限,那就会401

如果是直接继承ModelViewSet 生成标准的restful接口时,你只想让普通用户使用get接口,其他类型接口也可以对对应的权限验证 🐂🐂🐂

DRF提供的几种权限验证类型
  • AllowAny:允许不受限制的访问,不管请求是否经过了身份验证。
  • IsAuthenticated:拒绝任何未经身份验证的用户的权限,而允许其他用户的权限。如果您希望您的API仅对注册用户可访问,则此权限是合适的。
  • IsAdminUser:拒绝任何用户的权限,除非use.is_staff为True,在这种情况下允许访问。
  • IsAuthenticatedOrReadOnly:允许经过身份验证的用户执行任何请求。对于未获授权用户的请求,会被允许GET、HEAD或OPTIONS。
permission_classes的几种定义
在接口类中的使用
class UserSigninAPIView(GenericAPIView):
    permission_classes = [IsAdminUser]
    ...
    ...
在方法中使用

drf提供了permission_classes装饰器来方便你的使用

@permission_classes([IsAdminUser])
def user_signin(request):
    pass
自定义权限认证类

因为使用drf默认的验证类时,在Postman等类似平台进行接口测试容易引发CSRF认证错误❌,所以自定义验证类。

自定义验证类需要继承自permissions.BasePermission,并且重写has_permission方法来定义您自己的验证类

has_permission方法return True或者False

class IsMyUser(permissions.BasePermission):
    """
    仅允许Token验证成功的用户访问
    """

    default_error_messages = {
        'invalid__token': 'token无效'
    }

    def has_permission(self, request, view):
        token = request.META.get("HTTP_TOKEN")
        user_token = Token.objects.filter(key=token).first()
        if not user_token:
            raise ParamsException(self.default_error_messages['invalid__token'], 401)
        if timezone.now() > (user_token.created + timedelta(days=TOKEN_LIFETIME)):
            raise ParamsException(self.default_error_messages['invalid__token'], 401)
        return True
自定义接口类中权限验证

如果你在一个接口类中定义了多个接口,但是你想让不同的用户访问到不同类型的接口,您就需要重写接口类中的get_permissions方法

以下面接口为例

ModelViewSet中会有list、retrieve、create…等方法,你可以在get_permissions通过self.action来获得他们并指定这些接口可访问的用户

class VideoModelViewSet(ModelViewSet):
    serializer_class = VideoSerializer
    queryset = Video.objects.all()

    def get_permissions(self):
        if self.action == "retrieve":
            return [IsExeUser()]
        return [IsAdmin()]
    ...
    ...

来我的GitHub来看更多关于DRF的资料吧

十分钟学会DRF的企业级用法

https://github.com/Tengxu666/DRF_Professional

wxlo0.
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
8.DRF组件之认证、权限
qq_41891186的博客
04-20 565
认证和权限
重写 Django REST framework drf-api-logger 应用
06-29
默认的`drf-api-logger`没有保存用户并且没有获取日志的接口 本文通过重写`drf-api-logger`增加访问用户及获取日志的接口
Django--权限Permissions
gy的博客
07-17 2782
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过ge...
python测试开发django-rest-framework-63.基于函数的视图(@api_view())
weixin_30443895的博客
09-15 321
前言 上一篇讲了基于类的视图,在REST framework中,你也可以使用常规的基于函数的视图。它提供了一组简单的装饰器,用来包装你的视图函数, 以确保视图函数会收到Request(而不是Django一般的HttpRequest)对象,并且返回Response(而不是Django的HttpResponse)对象,同时允许你设置这个请求的处理方式。 基于函数视图@api_view() 函...
django 在定义类时使用method_decorator添加装饰器
风华浪浪的博客
07-27 1226
def my_decorator(func): def wrapper(request, *args, **kwargs): print('===========') return func(request, *args, **kwargs) return wrapper 装饰某一请求方法 from django.utils.decorato...
django rest framework 实现用户登录认证详解
09-18
主要介绍了django rest framework 实现用户登录认证详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
drf-school:使用Django Rest Framework的UD CRUD注册
04-08
DRF学校 招生管理 要求 3.8.5或+ 启动应用程序 创建一个虚拟环境 pipenv shell 安装项目依赖项 pipenv install 执行Django迁移 python manage.py migrate 启动应用程序服务器 python manage.py runserver
DRF学习——权限组件(一)
Hemameba的博客
06-27 487
本篇文章主要介绍权限组件的快速使用,并从源码角度分析drf权限组件的调用过程。
Django REST 框架详解 09 | 权限组件
Baimoc
05-21 1025
文章目录一、权限组件1. 分析源码2. 全局配置权限3. 局部配置权限4. 接口测试二、自定义权限类1. 代码实现2. 测试接口 一、权限组件 1. 分析源码 通过分析源码了解权限组件的方法调用过程 APIView 的 dispatch 中使用 initial 方法实现初始化并进行三大认证,第二步进行权限组件调用 rest_framework/views.py class APIView(View): # ... # 定义默认权限类 permission_classes = api_
Django REST Framework权限组件
banketan1026的博客
09-29 216
权限控制是如何实现的? 一般来说,先有认证才有权限,也就是用户登录后才能判断其权限,未登录用户给他一个默认权限Django接收到一个请求,首先经过权限的检查,如果通过检查,拥有访问的权限,则予以放行,进入到视图处理。如果没有通过检查,不会进入视图层,直接返回前端相应信息。 使用权限控制 权限控制类: class MyPermission(BasePermission):...
权限Permissions
qq_60976312的博客
12-08 302
权限Permissions
drf-extra-fields:Django Rest Framework的额外字段
02-05
用法安装套件pip install drf-extra-fields 注意: 该软件包重命名为“ drf-extra-fields”,之前它被命名为“ django-extra-fields”。 为Django Rest Framework 2. *安装版本0.1 为Django Rest Framework 3. *安装...
drf-articles:使用DjangoDjango REST Framework的简单REST API
03-02
使用DjangoDjango REST Framework的简单REST API。 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发和测试。 先决条件 Python 3.7或更高版本 正在安装 将存储库克隆到本地计算机: ...
二十二、身份验证权限
Sean_0819的博客
03-15 726
要实现自定义权限,请重写BasePermission并实现以下方法中的一个或两个:如果请求被授予访问权限,则该方法应返回True,否则返回False。注意:对象级的has_object_permission方法只有在视图级的has_permission检查已经通过的情况下才会被调用。如果测试失败,自定义权限将引发一个PermissionDenied异常。若要更改与异常关联的错误消息,请在自定义权限上直接实现message属性。
Django + drf-yasg实现在线接口文档-代码实测
瑶山的博客
05-20 5134
目录 安装 使用示例 settings.py urls.py 新建config.swagger.py apps.urls.py apps.views.py 装饰器使用介绍 swagger_auto_schema使用 Parameter使用 Schema使用 Response使用 安装 pip install drf_yasg 使用示例 settings.py INSTALLED_APPS: INSTALLED_APPS = [ ....
python测试开发django-rest-framework-61.权限认证(permission)
weixin_30443895的博客
09-14 268
前言 用户登录后,才有操作当前用户的权限,不能操作其它人的用户,这就是需要用到权限认证,要不然你登录自己的用户,去操作别人用户的相关数据,就很危险了。 authentication是身份认证,判断当前用户的登录方式是哪种认证方式 permissions权限认证,判断哪些用户有操作权限 authentication身份认证 身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)...
Django使用Pyjwt、rest-frameworkrest-framework-jwt 生成token
lkzhang的博客
08-03 1343
Token 在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的url时,将token放到请求头中就可以直接访问,不用再登录。 token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功性实现。 注意事项 需要有一定的django基础,如果一点基础都没有,不建议查看。 使用PyJWT生成token 首先安装pyjwt包 pip install pyjwt
permissions
jiang_xiaoo24的博客
03-21 401
1、在model表中添加用户user owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE) 2、在序列化表中添加如下关联信息 对应表 owner = serializers.ReadOnlyField(source='owner.username') 用户表 ...
python中用“*”运算符复制列表时子列表实际上引用的是同一个列表,列表和嵌套列表的坑
最新发布
ThreeS_tones的博客
05-21 119
当你修改了一个子列表的元素时,所有的子列表都会随之改变。因为他们实际上都是同一个子列表的引用。输出如下,可以看到每个子列表中的第5个元素相同,并没有实现从0.8-1.2分布。先看一个例子,我想改变load的子列表中第五个元素,从0.8-1.2分布。的时候,Python实际上。
Django REST framework登录验证
06-07
Django REST framework (DRF) 可以使用 Token 认证、Session 认证和 JSON Web Token (JWT) 认证等方式进行登录验证。 其中,Token 认证和 Session 认证是最基本的认证方式,它们都使用了 Django 自带的用户认证系统,适合于简单的应用场景。Token 认证是通过在请求头中添加 Token 来进行认证,而 Session 认证则是在 Cookie 中保存 Session ID 来进行认证。 JWT 认证则是一种更加灵活和安全的认证方式,它使用了基于 JSON 的 Token,可以完全脱离 Django 自带的用户认证系统,支持跨域访问和分布式系统。JWT 认证需要在 DRF 中添加相应的中间件和配置,同时也需要在前端实现 Token 的生成和保存。 在 DRF 中使用 Token 认证或 Session 认证,只需要在 settings.py 文件中添加相应的认证方式,如: ```python REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.TokenAuthentication', 'rest_framework.authentication.SessionAuthentication', ], } ``` 在视图函数中使用 `@authentication_classes` 装饰器来指定认证方式,如: ```python from rest_framework.decorators import authentication_classes from rest_framework.authentication import TokenAuthentication, SessionAuthentication @authentication_classes([TokenAuthentication, SessionAuthentication]) @api_view(['GET']) def my_view(request): # ... ``` JWT 认证需要使用第三方库 `djangorestframework-jwt`,并在 settings.py 文件中添加相应的配置,如: ```python INSTALLED_APPS = [ # ... 'rest_framework', 'rest_framework_jwt', ] REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', ), } JWT_AUTH = { 'JWT_SECRET_KEY': 'your_secret_key', 'JWT_ALGORITHM': 'HS256', 'JWT_ALLOW_REFRESH': True, 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=30), } ``` 在视图函数中使用 `@jwt_authetication_classes` 装饰器来指定 JWT 认证方式,如: ```python from rest_framework_jwt.authentication import JSONWebTokenAuthentication from rest_framework.decorators import jwt_authetication_classes @jwt_authetication_classes([JSONWebTokenAuthentication]) @api_view(['GET']) def my_view(request): # ... ``` 以上是 DRF 中常见的登录验证方式,可以根据具体的应用场景选择合适的认证方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wxlo0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值