教程4--认证和权限

最新推荐文章于 2024-06-03 23:34:59 发布
最新推荐文章于 2024-06-03 23:34:59 发布
阅读量815 收藏
点赞数
分类专栏: 瞎翻译 python 文章标签: django python

教程4–认证和权限

目前我们的API对于谁可以编辑或者删除代码段没有任何的限制。我们希望能有一些更加高级的行为来确保:

  • 代码段总是能够关联到一个创建者。
  • 只有认证通过的用户才能够创建代码段。
  • 只有代码段的创建者才能够更新或者删除代码段。
  • 没有通过认证的用户拥有只读权限。

为我们的模型添加信息

让我们给之前的Snippet模型添加一些信息。首先,先添加一些字段。因为要关联到谁创建了代码段,所以要添加creator字段。其他字段用来存储高亮的HTML。

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted=models.TextField()

我们也需要确保当模型被保存时,使用pygments代码高亮库来填充highlighted字段。
我们需要一些额外的引入:

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

此时,我们可以为我们的模型添加.save()方法:

def save(self, *args, **kwargs):
    """
    Use the `pygments` library to create a highlighted HTML
    representation of the code snippet.
    """
    lexer = get_lexer_by_name(self.language)
    linenos = self.linenos and 'table' or False
    options = self.title and {'title': self.title} or {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos,
                              full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super(Snippet, self).save(*args, **kwargs)

然后,重新创建数据库:

rm -f tmp.db db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate

你可能想要多创建几个不同的用户用以测试,最方便的方法莫过于使用createsuperuser命令了。

python manage.py createsuperuser

为User模型添加端点

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

我们使用了ModelSerializer,它会包含User这个Model的所有字段。但是由于’snippets’对于User来说是一个反向的关系,所以UserSerializer默认是不会包含snippets的,我们需要自行添加。

我们也需要添加些View,但对于User来说,只读就可以了,因此我们使用ListAPIViewRetrieveAPIView来生成基于类的视图。

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

最后添加上新的urls映射:

    url(r'^users/$', views.UserList.as_view()),
    url(r'^user/(?P<pk>[0-9]+)/$', views.UserDetail.as_view())

将Users合并到Snippets中

到目前为止,如果我们创建一个代码段,还没有办法把User的信息添加到Snippet对象中去。
我们的解决方案是重写snippet视图的.perform_create()方法,允许我们修改实例的保存方式,并且处理所有隐含在请求或者请求URL中的信息。

在SnippetList中,添加如下方法:

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

现在snippet的create()方法在调用时将会传入一个owner字段,和validated_data一起传入。

更新序列化器

现在,代码片段已经和创建他们的用户相关联。让我们来更新SnippetSerializer。在serializers.py中添加如下代码:

owner = serializers.ReadOnlyField(source='owner.username')

注意:请确保你在Meta中也添加了owner,
这个字段做了一些很有意思的事情。source字段控制哪个属性用于填充字段,并且可以指向序列化实例的任何一个属性。而且还可以像上面一样,用点号获取,这样它会遍历给定的属性,就类似于Django的模板语言。
这里我们添加的Field是一个无类型Field——ReadOnlyField。不同于有类型的Field,该类型的Filed只读,只用于做展示,不能用于更新。这里我们也可以使用CharField(read_only=True)

为视图添加权限

现在我们已经将code snippets和它们的创建者关联起来了,我们想要确保只有认证了的用户才能创建、更新和删除代码段。
REST框架提供了一套权限类,可以让我们来限制可以访问View的用户。我们当前的案例中,我们是希望没认证的用户只能读取,认证的可以修改,所以应该使用IsAuthenticatedOrReadOnly
如何使用呢?
首先要引入permissions模块

from rest_framework import permissions

然后再SnippetList和SnippetDetail视图都加入以下语句:

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登录API

此时,如果你打开浏览器,访问Snippet的API,你会发现你现在已经创建不了新的代码段了。为了能够创建代码,我们必须登录。
我们可以添加一个登录视图,通过编辑URLconfig来添加。编辑项目最顶层的urls.py文件。

from django.conf.urls import include

在文件的结尾处添加一个pattern,用于登录和注销。

urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

现在如果你现在再次打开浏览器,可以看到登录按钮,登陆后就可以创建或修改代码段了。

对象级权限控制

事实上,我们只是控制了认证的人拥有写权限,但是我们预期的是只有当前项的创建者才能修改或删除该值。
为了能够实现这种控制,我们需要创建一个自定义的权限。
在snippets app中,创建一个新的文件permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        return obj.owner == request.user

现在我们可以把自定义的权限添加到snippet视图中了,通过编辑SnippetDetail视图的permission_class属性:

from snippets.permissions import IsOwnerOrReadOnly

....

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

现在,如果你重新打开浏览器,你会发现只有你创建的Snippet才会出现DELETE或者PUT的动作。

使用API进行验证

目前,我们没有设置任何的Authentication类,所以默认情况下是使用SessionAuthenticationBasicAuthentication
当我们通过浏览器访问API,我们可以通过登录页面登录,并且浏览器的session会保存认证所必须的数据。
如果我们使用命令行交互,则必须为每一个请求都显式指定验证数据。
如果我们项要创建一个Snippet,但是又没有登录,我们会得到以下错误:

http POST http://127.0.0.1:8000/snippets/ code="print 123"

{
    "detail": "Authentication credentials were not provided."
}

如果带上了验证信息,那么请求就能够执行成功了。

http -a tom:password123 POST http://127.0.0.1:8000/snippets/ code="print 789"

{
    "id": 5,
    "owner": "tom",
    "title": "foo",
    "code": "print 789",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

总结

现在我们已经为我们的Web API提供了相当细粒度的权限控制了。
在下一章中,我们讲学习如何将一切联系在一起,创造出高亮代码段的HTML endpoint,并利用超链接关系提高我们API之间的关联。

大海梦想
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5.权限和LDAP认证
tongzhuo1220的博客
05-21 661
基本权限的类别 • 访问方式(权限) – 读取:允许查看内容-read r – 写入:允许修改内容-write w – 可执行:允许运行和切换-execute x 对于文本文件: r 读取权限:cat less head tail w 写入权限:vim > >> x 可执行权限: Shell脚本编写时可以赋予 ...
4、认证的相关内容——应用程序的权限认证
从不趋炎附势的小众
03-31 834
大家好,上次我们说了Graph API获取认证的两个方式之一的委托(用户名密码登录)的认证方式,本次让我们来说说应用程序权限认证方法。 应用程序授权并不需要用户身份进行登录验证,但它需要管理员对其进行授权。在大多数情况下,你仅需点击Azure AD注册应用中的按钮进行授权: 但有时候,UI上的授权会不生效。想确保管理员一定对此应用进行了授权,可以访问一下以下网址(以中国版Azure AD...
DRF五 ---- 认证权限
zxcvbbnn的博客
08-05 690
认证权限认证还是先创建一个模型类序列化视图路由权限drf里面的源码解决不认证就能修改的问题解决谁认证都可以修改的问题路由里面显示登录的代码DRF提供的四种认证BasicAuthentication在pycharm中创建数据对BasicAuthentication身份认证的总结TokenAuthenticationTokenAuthentication的配置TokenAuthentication验证TokenAuthentication的缺点SessionAuthenticationsession验证是怎么生
【gateway 入门】9、基础安全设置:认证和授权
weixin_52938153的博客
06-03 1315
"Gateway" 是一个多义词,在不同的领域有不同的意义。它在计算机网络中是连接不同网络的设备或节点,能在不同协议、数据格式和体系结构之间进行转换,使得不同网络之间能够互相通信;在电子商务中是处理和授权在线支付的服务,确保交易安全顺利进行;在旅游和交通中指的是主要的出入口或枢纽,如国际机场。无论在哪个领域,Gateway 的核心概念都是作为“连接”和“通道”,它是实现两个不同系统或区域之间互动的重要桥梁。
Django权限认证
weixin_44539415的博客
04-07 326
超级用户的创建 在命令行输入: python manage.py createsuperuser 后台注册管理 在admin.py文件中设置: admin.size.register(["模块名称",]) # register后面跟的是一个可迭代对象,列表元祖都可以 中文显示格式 在 settings.py 文件中设置:LANGUAGE_CODE设置为 zh_Hans models文件 fr...
用户登录认证权限授权(SpringSecurity、JWT、session)
qq_51076441的博客
05-13 3329
登录认证权限授权是所有项目中必不可少的功能,本篇文章首先将通过最简单的方式(Session和JWT)实现登录认证权限授权,然后再整合Springsecurity框架实现。
一头扎进Shiro视频教程 1-4讲
09-28
在这个"一头扎进Shiro视频教程 1-4讲"中,你将深入学习到Shiro的基础知识以及其在实际项目中的应用。 首先,第一讲通常会介绍Shiro的基本概念和架构,包括它的三大核心组件:认证(Authentication)、授权...
Yii2 rbac权限控制操作步骤实例教程
10-22
- Yii2 rbac权限控制之菜单menu实例教程:这个教程将深入讲解如何使用RBAC系统创建和管理后台菜单,以实现更直观的权限控制。 总结来说,Yii2的RBAC系统提供了灵活的权限管理,通过角色、权限和任务的组合,可以...
互联网架构权限认证ApacheShiro零基础到高级实战 视频教程 下载因为太大存百度云盘4.zip
最新发布
06-23
│ 6-4Shiro权限控制注解和编程方式讲解.mp4 │ 6-5Shiro缓存模块讲解.mp4 │ 6-6ShiroSession模块讲解.mp4 │ ├─第7章-ApacheShiro整合SpringBoot2.x综合案例实战 │ 7-10使用ShiroLogout和加密处理.mp4 ...
cisp-pte注册渗透测试工程师详细资料及视频教程
07-16
"视频教程"是教学辅助资料,由行业专家讲解,通过直观的方式展示渗透测试流程,深入解析各种攻防技术,比如端口扫描、漏洞利用、权限提升、数据加密与解密等。这些视频可以帮助学习者更好地理解复杂的概念,并看到...
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
CKS,全称为Certified Kubernetes Security Specialist,是CNCF(Cloud Native Computing Foundation)认证的安全专家课程,主要针对Kubernetes(K8s)平台的安全管理、配置和最佳实践。本教程致力于帮助学员掌握...
权限认证系统相关名词概念
miaoao611的博客
06-23 580
认证 Authentication 通俗地讲认证就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)授权 Authorization 所谓授权,就是某个用户授予其他应用访问该用户某些资源的权限。 例如,在你安装手机应用的时候,APP肯定会跳出来问是否允许授予权限(访问相册、位置等权限);你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息) 实现授权的方式有:cookie、se
drf框架中认证权限工作原理及设置
aiyulove201314的博客
09-09 325
0909自我总结 drf框架中认证权限工作原理及设置 一.概述 1.认证 工作原理 返回None => 游客 返回user,auth => 登录用户 抛出异常 => 非法用户 前台对于用户信息进行的判断 1)如果前台没有携带认证信息,直接定义为游客 2)如果前台携带了认证信息并认证通过,定位为登录用户,将登录的用户user对象保存在 requset.user 中 ...
django-rest-framework教程3-序列化(serializers)
weixin_42289273的博客
11-07 370
1. 如何将django中的QuerySet查询集进行序列化 from course.models import Course from django.core import serializers json_info = serializers.serialize("json", Course.objects.all()) print(json_info) 输出: [{"model": "course.course", "pk": 3, "fields": {"name": "英语", "intro
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2798
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
权限 - Permissions - 自定义
weixin_41957017的博客
11-17 2438
分类 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 提供的权限分类(不够用,就自定义) AllowAny 允许所有用户 IsAuthenticated 仅通过认证的用户 IsAdminUser 仅管理员用户 IsAuthentic...
DjangoRestFramework基本使用——04
hsw的博客
04-03 675
文章目录 1,DjangoRestFramework基本使用 2,drf认证&权限 模块 3,djangorestframework 序列化 4,djangorestframework 分页 5,JWT:使用djangorestframework-jwt模块进行用户身份验证 1,DjangoRestFramework基本使用 1、回顾CBV基本使用 urls.py from d...
RetrieveAPIView执行顺序
shaowei的博客
11-22 1786
# users/views.py class UserDetailView(RetrieveAPIView): """ 获取用户信息 """ serializer_class = UserDetailSerialzier permission_classes = [IsAuthenticated] # 登录后可以查看 # 重写generics/...
Microsoft SharePoint 2010配置官方教程:70-667认证
- 账户和用户角色管理:在第1章的第2、3课,第2章的第1、2课,第4章的第1、2课,以及第9章的第2课中,考生将学习如何管理用户权限和角色分配。 - 认证提供者管理:第3章的第2课讲述了SharePoint中的身份验证机制和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值