REST framework 权限管理源码分析

于 2019-11-08 19:15:26 发布
阅读量258 收藏 1
点赞数
分类专栏: Django 文章标签: REST framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjbyough/article/details/102978912
版权

REST framework 权限管理源码分析

同认证一样,dispatch()作为入口,从self.initial(request, *args, **kwargs)进入initial()

    def initial(self, request, *args, **kwargs):
        # .......
        # 用户认证
        self.perform_authentication(request)
        # 权限控制
        self.check_permissions(request)
        # ...

check_permissions()便是权限管理源码的入口

    # 权限管理
    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

和用户认证一样,同样遍历一个权限类对象列表,并且调用该列表中元素的has_permission()方法,该方法返回布尔值,True代表有权限,False代表没有权限.

    def get_permissions(self):
        return [permission() for permission in self.permission_classes]

如果没有权限,就调用permission_denied()

    def permission_denied(self, request, message=None):
        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated()
        raise exceptions.PermissionDenied(detail=message)

如果使用了REST的认证框架(authentication_classes数组不为空)并且身份认证失败,就抛出NotAuthenticated异常,否则会抛出PermissionDenied异常

class NotAuthenticated(APIException):
    status_code = status.HTTP_401_UNAUTHORIZED
    default_detail = _('Authentication credentials were not provided.')
    default_code = 'not_authenticated'

NotAuthenticated会导致一个401错误(缺少用户凭证)

class PermissionDenied(APIException):
    status_code = status.HTTP_403_FORBIDDEN
    default_detail = _('You do not have permission to perform this action.')
    default_code = 'permission_denied'

而PermissionDenied会返回错误403(拒绝授权访问)

在向permission_denied()类传递参数时,使用了反射

self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

会在这个权限类对象中寻找message属性,没找到就使用None,而这个参数在后来只会被用在PermissionDenied异常上,这些异常都继承自APIException,而在APIException的构造器中,可以发现detail参数就是异常描述,而在自己的权限类中定义message属性可以改变认证失败后的描述

class APIException(Exception):
    status_code = status.HTTP_500_INTERNAL_SERVER_ERROR
    default_detail = _('A server error occurred.')
    default_code = 'error'

    def __init__(self, detail=None, code=None):
        if detail is None:
            detail = self.default_detail
        if code is None:
            code = self.default_code
    # ...

示例

# api/utils/Permission.py
from rest_framework.permissions import BasePermission


class CommonPermission(BasePermission):
    """
    普通用户权限,作用于全局
    """
    def has_permission(self, request, view):
        print(request.user)
        if request.user.user_type == 1:
            return True

    def has_object_permission(self, request, view, obj):
        """
        一旦获得View权限,将获得所有object权限
        :return: True
        """
        return True


class VipPermission(BasePermission):
    """
    VIP 用户权限
    """
    message = '您首先要称为VIP才能访问'
    
    def has_permission(self, request, view):
        print(request.user)
        if request.user.user_type == 2:
            return True

    def has_object_permission(self, request, view, obj):
        return True


# api/view.py
from django.shortcuts import HttpResponse
from django.http import JsonResponse
from rest_framework.views import APIView
from api.utils.Permission import VipPermission


class LoginView(APIView):
    authentication_classes = []
    # 登录无需权限认证
    permission_classes = []

    def post(self, request, *args, **kwargs):
        pass


@method_decorator(csrf_exempt, name='dispatch')
class ShopView(APIView):
    def get(self, request, *args, **kwargs):
        return HttpResponse(request.user.username)

    def post(self, request, *args, **kwargs):
        return HttpResponse('POST')



class VipIndexView(APIView):
    """
    只授权给VIP用户查看
    """
    permission_classes = [VipPermission]

    def get(self, *args, **kwargs):
        return JsonResponse("welcome VIP ", safe=False)


# RESTdemo.setting.py
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': ['api.utils.MyAuthentication.MyAuthentication'],
    'UNAUTHENTICATED_USER': None,
    'UNAUTHENTICATED_TOKEN': None,
    'DEFAULT_PERMISSION_CLASSES': ['api.utils.Permission.CommonPermission']
}
Junebao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
详解Django-restframework 之频率源码分析
12-26
虽然 restframework 原生灭有配置频率,但是提供了几个进行频率判断的类,如下: 其中 SimpleRateThrottle 类是根据访问者 ip 来进行频率限制的一个类,来看看这个类的执行流程。 1. init方法 2. get_rate 3. ...
前端Vue发送多次同一个请求造成渲染问题
一个小小白的博客
12-08 1944
有时候在更新数据时需要向后台发送请求得到最新的数据,但如果发送请求频繁并且数据返回较慢的时候,可能会使得数据渲染出错。因此我们可以标记每个请求的顺序并计算总的请求数量,然后等待单个请求完成后判断其是否为最后一个请求,如果是,则取其数据。 data() { return { queryNum: 0, //标记最后一个请求 } } methods: { getData(){ this.queryNum++; var currentNum = this.queryNum; getData(
{'detail': 'Authentication credentials were not provided.'} django rest framework
热门推荐
jaket5219999的博客
06-22 1万+
昨天手动测试 djangorestframework时,遇到 403 {'detail': 'Authentication credentials were not provided.'} 的问题,今天自动测试又遇到了,所以记录一下: 一、手动提交时,我是这样解决问题的: http -a wenjie:jaket521 POST http://127.0.0.1:8000/snippets/
DjangoRestFramework系列教程(4):身份验证(Authentication)和权限(Permissions)
qq_40733949的博客
07-19 1546
教程4:身份验证和权限 目前,我们的API对谁可以编辑或删除代码段没有任何限制。为了确保: 代码段总是与创建者相关联。 只有经过身份验证的用户才能创建代码段。 只有片段的创建者可以更新或删除它。 未经身份验证的请求应具有完全只读访问权限。 将信息添加到我们的模型中 我们将对我们的Snippet模特课。首先,让我们添加几个字段。其中一个字段将用于表示创建代码段的用户。另一个字段将用于存储代码的突出显...
Django restframework 源码分析之认证详解
09-19
### Django Rest Framework 认证机制源码分析 #### 前言 在深入探究Django Rest Framework (DRF) 的认证机制之前,我们先来简要回顾一下DRF的架构和工作原理。DRF是一个强大的、灵活的第三方库,用于构建RESTful ...
channels-api:具有Django Rest Framework和Channels的RESTful Websocket API
02-04
- "django-rest-framework" 是Django的一个扩展,用于构建RESTful API,提供了许多实用功能,如序列化、认证、权限管理等。 - "django-channels" 是Django的一个扩展,用于处理非HTTP协议,如Websockets、TCP、UDP等...
基于Django REST framework的广州市房源房价预测系统源码.zip
10-31
本项目是基于Django REST Framework构建的一个广州市房源房价预测系统,旨在通过收集和分析数据,为用户提供房价预测功能。这个系统结合了Web开发与数据分析,是Python Web开发和机器学习应用的一个实例。以下是对...
基于Django Restframework的异常检测系统,分析服务为Spark SQL和Spark Mllib.zip
09-03
**Django Restframework** 是一个用于快速构建RESTful API的强大工具,它简化了与JSON数据交互的复杂性,并提供了强大的序列化、认证和权限管理功能。在本项目中,Django Restframework被用来创建API接口,使得用户...
rest_framework之认证源码剖析
aaronthon的博客
06-23 279
如果我们写API有人能访问,有人不能访问,则需要些认证。 如何知道该用户是否已登入? 如果用户登入成功,则给用户一个随机字符串,去访问另一个页面。   以前写session的时候,都是把session写cookie里面。   那现在我们可以把随机字符串通过返回值的方式给用户。   后端通过查看用户的url判断用户有没有token值且这个字符串是否正确也要判断。有则已登入,可以访问...
解决Django + DRF:403 FORBIDDEN:CSRF令牌丢失或不正确,{"detail":"CSRF Failed: CSRF cookie not set."}
qq_43475097的博客
11-06 3995
解决Django + DRF:403 FORBIDDEN:CSRF令牌丢失或不正确,{“detail”:“CSRF Failed: CSRF cookie not set.”} 我有一个Android客户端应用程序尝试使用Django + DRF后端进行身份验证。但是,当我尝试登录时,我收到以下响应: 403: CSRF Failed: CSRF token missing or incorrec...
Django restful 403解决办法
平头哥(Adger)的博客
03-13 3036
原文:https://www.jianshu.com/p/65b824ec1504 用了Django的restful,但在访问url的时候遇到403错误: image.png 为什么这个错误发生? 这是由于SessionAuthenticationDRF使用的默认方案。DRF SessionAuthentication使用Django的会话框架进行认证,这需要检查CSRF。 由...
REST framework(四) 解析器源码解读
Monicx的博客
08-02 277
首先我们要只要记住一点,当我们当代码执行* request.data * 时候,会去执行解析器。我们所使的的request是REST fromework下dispatch生成的,不是jango的。 ...
Django Rest Framework - 实例PartyDemo 之 Token验证
原小明
01-22 9092
1.配置mysite/setting.py 配置token moduleINSTALLED_APPS = ( ... 'rest_framework.authtoken' )2.生成相关表python manage.py migratemysql> show tables; +----------------------------+ | Tables_in_store
rest-framework框架 -- 认证权限流程源码
weixin_33895604的博客
04-10 73
认证权限 解析BaseAuthentication源码 # 做认证权限 from rest_framework import exceptions from ..models import * class MyAuthentication(object): def authenticate(self,request): token = request...
rest_framework 源码分析
weixin_30371875的博客
12-06 87
转自pizzaLi老师的博客 转载于:https://www.cnblogs.com/journey-mk5/p/10078609.html
REST framework (组件源码流程分析
weixin_30919235的博客
05-26 156
阅读目录 一、APIView & View 二、组件源码流程 一、APIView & View View 路径:django.views.View 使用: urls: path('xxx/', views.xxxx.as_view(), name='xxx') 视图:class xxxx(View): ApiView 路径...
Django REST framework基础:认证、权限、限制
weixin_30260399的博客
08-02 211
认证、权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制。然后 权限 和 限制 组件决定是否拒绝这个请求。 简单来说就是: 认证确定了你是谁 权限确定你能不能访问某个接口 限制确定你访问某个接口的频率 认证 REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。 接下类我们就自己动手实...
neutron rest 源码分析
最新发布
11-08
neutron 是一种用于构建软件定义网络(SDN)的开源网络服务的组件。它是OpenStack项目中的一部分,提供了网络连接、路由和安全策略管理等功能。neutron rest 是neutron的一个子模块,主要负责处理网络服务的REST API请求。 源码分析是对neutron rest模块的源代码进行深入研究和理解。这包括对其结构、功能和工作流程的分析。通过源码分析,可以帮助开发人员更好地理解neutron rest的内部机制,掌握其代码逻辑和设计思想。 源码分析首先从项目的概览开始,了解整个项目的目录结构和主要文件。然后,可以深入研究每个文件和类的源代码,了解其功能和作用。在分析过程中,可以注意到代码中的注释和文档,这些对于理解源码非常有帮助。 在源码分析的过程中,还可以重点关注一些关键的功能模块,比如REST API请求的路由和处理、数据库操作、安全策略管理等。这些功能模块在源代码中通常有明确的标识和命名,可以通过调试和代码逐步运行的方式,逐步了解其执行流程和代码逻辑。 通过源码分析,可以更好地理解neutron rest模块的实现细节和工作原理,从而为日后的开发和维护工作提供基础。同时,还可以通过对源码分析和理解,掌握更深入的网络编程知识和软件设计能力,对于构建和优化网络服务有很大的帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Junebao

如果你碰巧财力雄厚的话...

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值