Django里rest_framework的权限组件

已于 2022-12-13 17:08:25 修改
阅读量207 收藏
点赞数
分类专栏: # rest_framework 文章标签: 权限组件
于 2019-07-29 11:57:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsx1314lovezyf/article/details/97527269
版权

权限组件

  1. 使用方式介绍

    • 定义一个权限类

      class UserPerm():
  	def has_permission(self, request, view):
      	pass

    • 指定权限验证的类

      class BookView(APIView):
  	# 指定认证类
    authentication_classes = [UserAuth]
  	# 指定权限验证的类
  	permission_classes = [UserPerm]
    
    queryset = BookInfo.objects.all()
    serializer = BookSerializer

案列

  • 导入模块

     from django.http import JsonResponse
 
 from rest_framework.views import APIView
 from rest_framework.viewsets import ModelViewSet
 from rest_framework.exceptions import APIException

  • url.py

    from django.urls import re_path
from .views import UserView, BookView

urlpatterns = [
    re_path(r"^books/$", BookView.as_view({
        "get": "list",
        "post": "create"
    })),

    re_path(r"^books/(?P<pk>\d+)/$", BookView.as_view({
        "get": "retrieve",
        "put": "update",
        "delete": "destroy"
    })),

    re_path(r"^user/$", UserView.as_view())
]


- model.py

  ```python
  from django.db import models
  
  from datetime import datetime
  # from django.contrib.auth.models import AbstractUser
  
  
  class UserInfo(models.Model):
      username = models.CharField(max_length=32, verbose_name="用户名")
      password = models.CharField(max_length=40, verbose_name="用户密码")
      user_type_entry = (
          (1, "Delux"),
          (2, "SVIP"),
          (3, "VVIP")
      )
      user_type = models.IntegerField(choices=user_type_entry)
  
      class Meta:
          db_table = "db_user_info"
          verbose_name = "用户信息"
          verbose_name_plural = verbose_name
  
      def get_user_type_display(self):
          return self.user_type_entry[self.user_type]
  
  
  class UserToken(models.Model):
      # OneToOneField一对一关系
      # on_delete=models.CASCADE 当UserInfo数据表里面的数据被删除后UserToken里面的数据也随着被删除
      user = models.OneToOneField("UserInfo", on_delete=models.CASCADE, verbose_name="一对一关系")
      token = models.CharField(max_length=128, verbose_name="token")
  
      class Meta:
          db_table = "db_user_token"
          verbose_name = "用户token"
          verbose_name_plural = verbose_name
  
  
  class AuthorInfo(models.Model):
      name = models.CharField(max_length=32, verbose_name="作者名称")
      age = models.IntegerField(verbose_name="作者年龄")
  
      class Meta:
          db_table = "db_author_info"
          verbose_name = "作者信息"
          verbose_name_plural = verbose_name
  
      def __str__(self):
          return self.name
  
  
  class PublishInfo(models.Model):
      name = models.CharField(max_length=32, verbose_name="出版社名称")
      city = models.CharField(max_length=32, verbose_name="出版社所在城市")
      email = models.EmailField(verbose_name="出版社邮箱")
  
      class Meta:
          db_table = "db_publish_info"
          verbose_name = "出版社信息"
          verbose_name_plural = verbose_name
  
      def __str__(self):
          return self.name
  
  
  class BookInfo(models.Model):
      title = models.CharField(max_length=32, verbose_name="书名")
      publishDate = models.DateField(default=datetime.now, verbose_name="出版日期")
  
      # max_digits小数位加整数位多少长度 decimal_places小数位长度为2
      price = models.DecimalField(max_digits=5, decimal_places=2, verbose_name="图书价格")
      publish = models.ForeignKey(PublishInfo, related_name="book", related_query_name="book_query", on_delete=models.CASCADE, verbose_name="出版社")
      # ManyToManyField多对多
      authors = models.ManyToManyField(AuthorInfo, verbose_name="图书作者")
  
      class Meta:
          db_table = "db_book_info"
          verbose_name = "图书信息"
          verbose_name_plural = verbose_name
  
      def __str__(self):
          return self.title
  
  ```

- 序列化类

  ```python
  from.models import BookInfo
  
  # 第一步: 导入模块
  from rest_framework import serializers
  
  from datetime import datetime
  
  
  class BookSerializer(serializers.ModelSerializer):
      class Meta:
          # 指定    要操作的模型类
          model = BookInfo
  
          # 指定序列化的字段
          fields = (
              "title",
              "price",
              "publishDate",
              "publish",
              "authors",
              "author_list",
              "publish_name",
              "publish_city"
          )
  
          # 指定那些字段是只写的
          # write_only只写的 (只写的 前端发送数据时要写它, 后端返回数据时没有它)
          extra_kwargs = {
              "publish": {"write_only": True},
              "authors": {"write_only": True}
          }
  
      # 自定义的字段
      # read_only只读的 (只读的 前端发送数据时不用写它, 后端返回数据时有它)
      publish_name = serializers.CharField(max_length=32, read_only=True, source="publish.name")
      publish_city = serializers.CharField(max_length=32, read_only=True, source="publish.city")
  
      author_list = serializers.SerializerMethodField()
  
      def get_author_list(self, book_obj):
          # 拿到queryset开始循环 [ {}, {}, {}]
          authors = []
  
          for author in book_obj.authors.all():
              authors.append(author.name)
          return authors
  ```

- token值

  ```python
  import uuid
  
  def generate_token():
    	# 把uuid残生出来的值转换成字符串, 然后以-切割在以空链接
      random_str = str(uuid.uuid4()).replace("-", "")
      return random_str
  ```

  

- views.py

	 ```python
	from django.http import JsonResponse
	
	from rest_framework.views import APIView
	from rest_framework.viewsets import ModelViewSet
	from rest_framework.exceptions import APIException
	from rest_framework.authentication import BaseAuthentication
	
	from .models import BookInfo, PublishInfo, AuthorInfo, UserInfo, UserToken
	from .app_serializers import BookSerializer
	from .utils import get_token
	
	# 第一步: 定义认证类
	class UserAuth(BaseAuthentication):
	# 所有的逻辑都在authenticate上写
	def authenticate(self, request):
	    # 获取token值
	    user_token = request.GET.get("token", "")
	    if user_token:
	        try:
	            # 查询token值看有没有认证过的token
	            token = UserToken.objects.get(token=user_token)
	            # 后面权限会用到
	            # token.user.username赋值给了request.user, 可以去看源码
	
	            return token.user.username, token.token
	        except UserToken.DoesNotExist:
	            raise APIException("没有认证")
	    else:
	        raise APIException("没有认证")
	
	
	class UserPerm(object):
	 # 必须是message, 因为源码用的是message, 我们这里用message就是覆盖掉源码
	 # 所以返回为假时, 我们可以用message自定义你想返回给用户看到的信息
	 message = "您没有查看该数据的权限!"
	
	 # 这是对所有数据
	 # 这个has_permission也是重写的
	 # 用户有权限必须返回真, 用户没权限必须返回假  不懂看, 源码
	 def has_permission(self, request, view):
	     if request.user.user_type == 1:
	         # request.user 获取到 认证组件返回的用户对象
	         # type是用户表中的一个字段
	         # 这里如果等于3就代表该用户有看这个数据的权限, 返回能代表真的信息就行
	         return True
	     # 这里返回的东西必须需是能代表假, 因为用户没有这个权限, 所以不能等它看到数据
	     return False
	
	 # 这是对单条数据
	 def has_object_permission(self, request, view, obj):
	     if request.user.user_type == 1:
	     	# request.user 获取到 认证组件返回的用户对象
	         # type是用户表中的一个字段
	         # 这里如果等于3就代表该用户有看这个数据的权限, 返回能代表真的信息就行
	         return True
		 # 这里返回的东西必须需是能代表假, 因为用户没有这个权限, 所以不能等它看到数据
	     return False
	
	
	class BookView(ModelViewSet):
	# 第二步: 指定认证类 UserAuth
	authentication_classes = [UserAuth]
	# 指定权限类
	permission_classes = [UserPerm]
	queryset = BookInfo.objects.all()
	serializer_class = BookSerializer
	
	
	class UserView(APIView):
	
	def post(self, request):
	
	    response = dict()
	
	    # 定义需要的用户信息
	    fields = {"username", "password"}
	    # 定义一个用户信息字典
	    user_info = dict()
	
	    # fields.issubset表示 fields是request.data.keys()的子集就显示True, 相反False
	    if fields.issubset(set(request.data.keys())):
	        # username = request.data.get("username", "")
	        # password = request.data.get("password", "")
	        for key in fields:
	            user_info[key] = request.data[key]
	
	    if user_info:
	        # **user_info字典拆包 拆包成键值对, 而不是整个字典了 列 {"a":"bb"} 拆包成 a="bb"
	        user_instance = UserInfo.objects.filter(**user_info).first()
	
	        if user_instance is not None:
	            access_token = get_token.generate_token()
	
	            # 根据user=user_instance找到了直接更新, 把default的值复制给它
	            # 没有找到直接创建
	            # 意思就是有这个token更新token, 没有这个token创建一个token
	            UserToken.objects.update_or_create(user=user_instance, defaults={
	                "token": access_token
	            })
	
	            response["status_code"] = 200
	            response["status_message"] = "登入成功"
	            response["access_token"] = access_token
	            response["user_role"] = user_instance.get_user_type_display()
	        else:
	            response["status_code"] = 201
	            response["status_message"] = "登入失败, 用户名或密码错误"
	
	        return JsonResponse(response)
	    else:
	        return JsonResponse({"error": "参数不完整"})
	```
  1. 权限类源码
    在这里插入图片描述
只因为你而温柔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
手把手带你入门Django REST framework
02-09
Django REST framework是基于Django的一套扩展,可以快速方便写出RESTful API。DRF给我提供了 序列化、请求和响应、@apiview装饰器、类视图、认证和权限、jwt(扩展)认证、版本、分页、控制频率、解析器、视图集、路由器、文档(扩展)等等功能,建议有Django基础的人学习。
Django Rest Framework权限组件
01-14 357
Django Rest Framework权限组件一:源码剖析二:使用方法 一:源码剖析 DRF的版本控制、认证、权限、频率组件都在initial方法初始化 我们点进去看看: 其实我们版本、认证、权限、频率控制走的源码流程大致相同。 我们的权限类中一定要有has_permission方法——框架为我们提供的钩子。 我们再来看看rest_framework.permissions文件中存放的...
Django Rest Framework之频率组件
01-14 217
Django Rest Framework之频率组件一:频率限制原理二:基本使用三:源码剖析四:内置频率控制类五:自定义频率控制 一:频率限制原理 django rest framework 中频率控制基本原理基于访问次数和时间,通过计算实现,当然我们也可以自己定义频率控制方法。基本原理如下: 启用频率,DRF内部会有一个字典记录来访者的IP,以及访问时间最近几(通过配置)次的访问时间,这样确保每...
django restframework 访问频率控制
江玉郎
04-14 572
前两天写了用户认证与权限控制,今天写一个如何控制访问频率。 有时候我们会限制用户在一定时间对某个网页的访问,以前在写爬虫的时候也遇见过这个问题,只是,这次我们反过来,我们成了坚守的一方。 限制基本的思路限制IP 的访问次数,即我们设定一个值,让某个IP 在某个时间间隔内,它只能访问一定的次数。假如某个用户更换IP,这个目前是解决不了的,所以做爬虫时,构建IP 代理池是一个很好的办法。 开始今天的代...
rest_framework五大模块
dd345898084的博客
05-22 217
面向对象封装 面向对象封装导入 # 1.将子类共有的方法抽离形成父类方法 # 2.子类使用共有方法,使用的是父类方法 # 3.共有方法中的资源,在子类使用方法时,获取的是子类资源 class MyClass: name = None @classmethod def test(cls): print(c...
自定义Django_rest_framework_jwt登陆错误返回的解决
12-16
在使用Django做前端后端项目时,登陆认证方法往往使用的是jwt_token,但是想自定义登陆成功和失败的返回体。 1.当用户名和密码正确就会生成token,返回response是调用的是JWT_RESPONSE_PAYLOAD_HANDLER,如果想自定义...
测开Django+rest_framework+vue+axios+element-ui.docx
08-25
测开Django+rest_framework+vue+axios+element-ui
Django使用rest_framework写出API
09-16
主要介绍了Django使用rest_framework写出API,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解Django rest_framework实现RESTful API
09-20
主要介绍了详解Django rest_framework实现RESTful API,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django之频率组件
weixin_30680385的博客
12-14 79
一、频率简介 为了控制用户对某个url的请求的频率,比如 ,一分钟以内,只能访问三次 二、自定义频率类,自定义频率规则 自定义的逻辑 (1)取出访问者的ip (2)判断当前ip不在访问字典,添加进去,并且直接返回True,表示第一次访问,在字典,继续往下走 (3)循坏判断当前ip的列表,有值,并且当前时间减去列表的最后一时间大于60秒,把这种数据pop掉 ,这样列表中...
登录、认证、token处理、前台cookie存储token
dd345898084的博客
05-27 751
免费课程相关表设计 models的设计 from django.contrib.contenttypes.fields import GenericRelation class Course(models.Model): name = models.CharField(verbose_name="课程名", max_length=32) title = mo...
Django REST Framework之频率限制
banketan1026的博客
09-28 529
开放平台的API接口调用需要限制其频率,以节约服务器资源和避免恶意的频繁调用 使用 自定义频率限制组件:utils/thottle.py class MyThrottle(BaseThrottle): def __init__(self): self.history = None def allow_request(self, re...
django rest framework权限管理实战
热门推荐
程序员的点滴
07-05 1万+
前言 本文标题为实战,那么希望你已经搭建好了环境。如果没有,请参考官方文档进行环境搭建: 官方教程 通过学习这个例子,你可以学到: 如何使用django rest framework去实现RESTful api 学会如何进行权限控制 希望对rest framework已经有了一定的了解,至少要知道serializers的作用,还有Response等等,基础知识还是要有的。 实战...
Django Rest Framework --用户访问频率限制
weixin_30485799的博客
03-21 268
自定义访问频率控制类结构 views.py from rest_framework.throttling import BaseThrottle import time # 节流 visit_dict={} class Visitthrottle(BaseThrottle): #通过IP做唯一标识符 #问题:非登陆用户一分钟内只允许访问3次 def...
笔记: Django Rest Framework 访问频率
05-13 195
首先自定义一个访问频率的类,然后在试图中引用就可以了,如下: 1, 先定义访问频率的类,如下代码:没有继承restframework的任何类 # 下面是访问频率的代码,没有继承 # 这个代码根据访问的IP地址 来进行访问限制。。。。同理可作根据访问的用户名来进行访问限制。 #这定义一个字典,用来记录访问频率, 这个字典的key就是ip地址,value就是访问的时间记录值是一个value,这个可以在这用一个字典,也可以翻到缓存,也可以翻到数据库 VISIT_RECORD = {} import tim
Djangorest_framework接受json数据和自定义接受数据类型
xiao
07-24 1996
安装 pip install djangorestframework 导入APIView from rest_framework.views import APIView 接受json数据 request.data 你还可以自定义接受格式 导入你需要格式类型 from rest_framework.parsers import FormParser, JSO...
rest_framework-自带token认证
xiao
09-17 1937
drf-token认证 settings配置全局认证 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ # Basic认证 'rest_framework.authentication.BasicAuthentication', # Session认证 'rest...
rest_framework获取--当前用户--并且权限认证
xiao
09-22 1737
drf在serializer获取当前用户 案列—用户收藏 views from rest_framework import mixins from rest_framework import viewsets from .models import UserFav from .serializers import UserFavSerializer class UserFavVie...
rest_framework---JWT
xiao
09-17 1557
drf使用jwt 安装包 pip install djangorestframework-jwt 在你的settings.py,添加JSONWebTokenAuthentication到Django REST框架DEFAULT_AUTHENTICATION_CLASSES。 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ...
rest_framework
最新发布
06-02
Rest Framework是一个基于Django框架的Web API开发工具包,它可以快速地帮助开发者构建出高度灵活且易于维护的API。Rest Framework提供了许多有用的功能,比如序列化、认证、权限控制、视图集、过滤器、分页等等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

只因为你而温柔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值