DRF五 ---- 认证和权限

最新推荐文章于 2024-04-13 09:55:56 发布
最新推荐文章于 2024-04-13 09:55:56 发布
阅读量590 收藏 3
点赞数
分类专栏: DRF 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxcvbbnn/article/details/106616293
版权

认证权限

认证

现在我们写的接口,会发现一个问题,就是任何人都可以创建数据,都可以修改数据。这样肯定是不行的,我们希望只有数据的创建者才能有权限修改数据。如果不是,只能有读取权限。

还是先创建一个模型类

我们设计一个模型类,让这个模型类与用户关联。

from django.db import models


# Create your models here.
class Game(models.Model):
    name = models.CharField(verbose_name='游戏名字', max_length=10)
    desc = models.CharField(verbose_name='描述', max_length=20)
    user = models.ForeignKey('auth.User', on_delete=models.CASCADE)

然后开始迁移
python manage.py makemigrations
python manage.py migrate

序列化

from rest_framework import serializers
from .models import Game


class GameSerializer(serializers.ModelSerializer):
    class Meta:
        model = Game
        #fields = '__all__'
        exclude = ('user',)

视图

from django.shortcuts import render

# Create your views here.
from .models import Game
from rest_framework import generics
from .serializers import GameSerializer



class GameList(generics.ListCreateAPIView):
    queryset = Game.objects.all()
    serializer_class = GameSerializer

    # 重写 创建的时候提供当前登录的用户
    def perform_create(self, serializer):
        serializer.save(user=self.request.user)


class GameDetail(generics.RetrieveUpdateDestroyAPIView):

    queryset = Game.objects.all()
    serializer_class = GameSerializer

他自己帮我们写好了验证

在这里插入图片描述
在这里插入图片描述
所以,是用户自己给他们赋的值,赋值完成之后,DRF里面的验证就回去校验数据,合法的话,他把值返回给request,我们再通过request去取值

路由

应用及路由

from django.contrib import admin
from django.urls import path, include
from . import views

urlpatterns = [
    path('games/', views.GameList.as_view(), name='game-list'),  # 获取或创建
    path('games/<int:pk>/', views.GameDetail.as_view(), name='game-detail'),  # 查找、更新、删除
]

根及路由


urlpatterns = [
    path('admin/', admin.site.urls),
    # path('api/',include(route.urls)),
    # #这个加上api之后的路由就是http://127.0.0.1:8000/api/students
    # path('api/',include('app02.urls'))
    #path('api/',include(('app03.urls','app03'),namespace='app03'))
    path('api/',include(('app04.urls','app04'),namespace='app04'))


]

去跑程序
在这里插入图片描述
在这里插入图片描述
解决方法
我们可以在序列化里面添加额外字段

from rest_framework import serializers
from .models import Game


class GameSerializer(serializers.ModelSerializer):
    class Meta:
        model = Game
        #fields = '__all__'
        exclude = ('uesr',)
        extra_kwargs = {
            'user':{'read_only':True}
            #user这个字段创建数据的时候就隐藏,但是获取数据的时候会展示
        }

这个时候获取数据的时候 就会展示用户
序列化里面有很多字段,要善于使用

权限

现在我们创建数据虽然成功了,但是还有一个问题,
在修改数据的时候会发现其他人认证也可以修改数据,甚至不认证也可以修改成功
这个时候,我们就需要完善一下,设置一个权限:谁创建的这条数据谁就去修改
这个权限类,drf也帮助我们写了
先看一下源码

drf里面的源码

class GameList(generics.ListCreateAPIView):
查看ListCreateAPIView的源码
在这里插入图片描述
进去之后再点进去看Genneric…的源码
在这里插入图片描述
然后再看源码
在这里插入图片描述
点进去检查权限的源码之后
在这里插入图片描述
再点进去
在这里插入图片描述
是一个列表推导式,再点进去
在这里插入图片描述
点进去看默认值是什么

在这里插入图片描述

在这里插入图片描述
这个权限表示对任何人开发,所以我们现在要自己写一个权限

解决不认证就能修改的问题

from rest_framework import permissions


class GameDetail(generics.RetrieveUpdateDestroyAPIView):

    queryset = Game.objects.all()
    serializer_class = GameSerializer
    permission_classes = [permissions.IsAuthenticatedOrReadOnly]
    #进去源码会发现,这个是先看验证,然后再看user有没有值,如果没有的话,只有只读权限

解决谁认证都可以修改的问题

那我们需要自己写一个类
创建一个permissions.py,写如下代码:

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):

    def has_object_permission(self, request, view, obj):
        if request.method in permissions.SAFE_METHODS:
            return True

        return obj.user == request.user

这些代码照着源码写,IsAuthenticatedOrReadOnly就看着这个里面的改改
上面代码的意思代表判断当前的数据创建用户是否跟当前登录用户是否一个人。request就表示当前的数据。
并在更新视图上加上该权限

from .permissions import *


class GameDetail(generics.RetrieveUpdateDestroyAPIView):

    queryset = Game.objects.all()
    serializer_class = GameSerializer
    permission_classes = [permissions.IsAuthenticatedOrReadOnly,IsOwnerOrReadOnly]
    #进去源码会发现,这个是先看验证,然后再看user有没有值,如果没有的话,只有只读权限

在视图里面加上这个权限

在源码里面,有两个方法
has_permission这个是对数据的获取的一个方法
has_object_permission这个是对数据有没有更新和删除的权限

路由里面显示登录的代码

    path('api-auth/', include('rest_framework.urls', namespace='rest_framework'))

这个会在界面显示登录,Log in

DRF提供的四种认证

  • BasicAuthentication:此身份验证方案使用HTTP基本身份验证,根据用户的用户名和密码进行签名。基本身份验证通常仅适用于测试。
  • TokenAuthentication: 此身份验证方案使用基于令牌的简单HTTP身份验证方案。令牌认证适用于客户端 - 服务器设置,例如本机桌面和移动客户端。
  • SessionAuthentication: 此身份验证方案使用Django的默认会话后端进行身份验证。会话身份验证适用于与您的网站在同一会话上下文中运行的AJAX客户端。
  • RemoteUserAuthentication:此身份验证方案允许您将身份验证委派给Web服务器,该服务器设置REMOTE_USER 环境变量。

在drf里面默认的是使用BasicAuthentication 和 SessionAuthentication

BasicAuthentication

先写一个接口
直接写一个视图

from django.shortcuts import render
from rest_framework.views import APIView
from django.http import JsonResponse
# Create your views here.

#APIVie可以更好的扩展功能
class CartView(APIView):
    def get(self,request,*args,**kwargs):
        ctx = {
            "code":1,
            "msg":"ok",
            "data":{
                "goods":[
                    {
                    "name": "苹果",
                    "price": 12
                },
               {
                    "name": "苹果111",
                    "price": 1234
                },

            ]
            }
        }
        return JsonResponse(ctx)

配一个路由

from django.contrib import admin
from django.urls import path, include
from . import views

urlpatterns = [
    path('carts/', views.CartView.as_view(), name='cart-list'),
]

跑一下
在这里插入图片描述
接口通了
现在假如这个页面需要一个浏览器的验证,要怎么做

from django.shortcuts import render
from rest_framework.views import APIView
from django.http import JsonResponse

from rest_framework.authentication import BasicAuthentication
from rest_framework.permissions import IsAuthenticated
#判断是否登录


# Create your views here.

#APIVie可以更好的扩展功能
class CartView(APIView):
    #看APIView的源码,我们可以重写一下authentication_classes
    authentication_classes = [BasicAuthentication]
    #让这个接口只支持浏览器验证

    #然后再设置一个权限,判断它有没有登录,如果登录的话,再让他访问
    permission_classes = [IsAuthenticated]
    #可以进去源码看看,他是可以检查权限,你是不是登录过的
    def get(self,request,*args,**kwargs):
        ctx = {
            "code":1,
            "msg":"ok",
            "data":{
                "goods":[
                    {
                    "name": "苹果",
                    "price": 12
                },
               {
                    "name": "苹果111",
                    "price": 1234
                },

            ]
            }
        }
        return JsonResponse(ctx)

然后运行

要有数据啊,没有的创建一个

在pycharm中创建数据

python manage.py createsuperuser

创建一个
然后再去运行
在这里插入图片描述

对BasicAuthentication身份认证的总结

Http Basic 是一种比较简单的身份认证方式。 在 Http header 中添加键值对 Authorization: Basic xxx (xxx 是 username:passowrd base64 值)。而Base64 的解码是非常方便的,如果不使用 Https ,相当于是帐号密码直接暴露在请求中。

GET /auth/basic/ HTTP/1.1
Host: xxxxx
Authorization: Basic em1rOjEyMzQ1Ng==

TokenAuthentication

使用这个方法需要配置

TokenAuthentication的配置
# settings.py
INSTALLED_APPS = (
    ...
    'rest_framework.authtoken'
)

这个配置完成之后要进行迁移
直接迁移就行,因为他要生成数据库表文件
python manage.py makemigrations
python manage.py migrate

迁移完成之后,还得来一个全局配置
这个看自己情况而定,如果是登录的页面很多,那你可能就需要一个全局配置
在setting里面写上就可以


# 全局配置
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.SessionAuthentication',  
        'rest_framework.authentication.TokenAuthentication'),
}

如果只有一个的话,大可不必
如果写上了全局,但是类视图又不需要验证怎么办?

   authentication_classes = []

可以在视图的类里面把这个置为空列表,就不需要验证

TokenAuthentication验证

设置好之后,就在视图里面写代码

from django.shortcuts import render
from rest_framework.views import APIView
from django.http import JsonResponse

from rest_framework.authentication import BasicAuthentication,TokenAuthentication
from rest_framework.permissions import IsAuthenticated
#判断是否登录


# Create your views here.

#APIVie可以更好的扩展功能
class CartView(APIView):
    #看APIView的源码,我们可以重写一下authentication_classes
    authentication_classes = [BasicAuthentication,TokenAuthentication]
    #让这个接口只支持浏览器验证,现在我们把TokenAuthentication也加上

    #然后再设置一个权限,判断它有没有登录,如果登录的话,再让他访问
    permission_classes = [IsAuthenticated]
    #可以进去源码看看,他是可以检查权限,你是不是登录过的
    def get(self,request,*args,**kwargs):
        ctx = {
            "code":1,
            "msg":"ok",
            "data":{
                "goods":[
                    {
                    "name": "苹果",
                    "price": 12
                },
               {
                    "name": "苹果111",
                    "price": 1234
                },

            ]
            }
        }
        return JsonResponse(ctx)

TokenAuthentication这个验证是由路由生成的,所以我们还得在路由里面写点东西

from rest_framework.authtoken.views import obtain_auth_token
    path('api-token-auth/', obtain_auth_token)

我是把这两行代码写到了根及路由下面,当然也可以在应用及下
然后开始运行
这个要在postman里面运行,因为它不支持get方法
在这里插入图片描述
创建一个数据,send之后

在这里插入图片描述
会返回一个token
然后这个token会返回给前端,前端拿到之后,需要访问这个接口(用get方式去访问)

我们在访问的时候,需要把token再传回去 ,看TokenAuthentication源码,有一个格式
Authorization: Token 401f7ac837da42b97f613d789819ff93537bee6a
是这样的格式,(注意:其实Token前面有两个空格的,博客上不明显)
那我们把刚刚拿到的token复制出来 “token”: “b4af60f5612db993f9c5d74cd88d8385a44c7d4a”
把格式里面的值换成我们的再传进去就好了

在这里插入图片描述
send之后
在这里插入图片描述
但是换成别的就访问不了了

TokenAuthentication的缺点

token值在分布式系统中会有问题产生,
并且在数据库里面的数据没有过期时间,一旦被窃取,任何人都可以使用

SessionAuthentication

session验证是怎么生成的?
from django.contrib.auth import login

可以点进去看一下源码,login里面会生成session值
也就是说我们必须调动这个函数去生成session

####### 我们先在view视图当中加上这个验证

from django.shortcuts import render
from rest_framework.views import APIView
from django.http import JsonResponse

from rest_framework.authentication import BasicAuthentication,TokenAuthentication,SessionAuthentication
from rest_framework.permissions import IsAuthenticated
#判断是否登录


# Create your views here.

#APIVie可以更好的扩展功能
class CartView(APIView):
    #看APIView的源码,我们可以重写一下authentication_classes
    authentication_classes = [BasicAuthentication,TokenAuthentication,SessionAuthentication]
    #让这个接口只支持浏览器验证,现在我们把TokenAuthentication也加上

    #然后再设置一个权限,判断它有没有登录,如果登录的话,再让他访问
    permission_classes = [IsAuthenticated]
    #可以进去源码看看,他是可以检查权限,你是不是登录过的
    def get(self,request,*args,**kwargs):
        ctx = {
            "code":1,
            "msg":"ok",
            "data":{
                "goods":[
                    {
                    "name": "苹果",
                    "price": 12
                },
               {
                    "name": "苹果111",
                    "price": 1234
                },

            ]
            }
        }
        return JsonResponse(ctx)

我们可以去访问后台,访问后台一定会调用login,登入进去之后,再去访问文章页就可以访问了。
F12,cookie就会有一个csrftoken值,拿出来之后,在postman上面测试一下。

但是在postman上测试的时候呢,你会发现你把cookie里面csrftooken里面的值换了,换成别的也照样额可以访问,这是因为csrf验证只针对post、delete这些方法,当把视图中的方法改成post再去测试一篇,就会发现
在这里插入图片描述
验证无效,这个时候只有正确的csrftoken才可以访问。但是在postman上不好生成,用Ajax比较好生成。
而且这个方法只有在post方法上面才会验证,get方法不需要
要调用的话,一定要传一个正确的csrftoken

自定义一个验证

模型
class User(models.Model):
    username = models.CharField(max_length=32, unique=True)
    password = models.CharField(max_length=64)


class UserToken(models.Model):
    user = models.OneToOneField('User', models.CASCADE)
    token = models.CharField(max_length=64)

迁移生成ssqlite数据库表格
python manage.py makemigrations
python manage.py migrate

这两个模型类,一般是一对一的,一个user对应一个token。
我们先写一个登录视图,登录成功之后再去验证返回一个token.

逻辑

这块的逻辑是,去登陆成功之后之后,先去获取数据验证,如果根据账号密码查找出来了用户,就把密码加密,并且生成一个token返回给用户。如果没有用户,就返回,账户或者密码错误。

视图(加密密码)
from django.shortcuts import render
from rest_framework.views import APIView
from django.http import JsonResponse

from rest_framework.authentication import BasicAuthentication,TokenAuthentication,SessionAuthentication
from rest_framework.permissions import IsAuthenticated
#判断是否登录

from .models import User,UserToken
import time
import hashlib
# Create your views here.

def get_md5(user):
    ctime = str(time.time())
    m = hashlib.md5(bytes(user, encoding='utf-8'))
    m.update(bytes(ctime, encoding='utf-8'))
    return m.hexdigest()


class LodinView(APIView):
    def post(self,request,*args,**kwargs):
        ret = {'code': 1, 'msg': None, 'data': {}}
        user = request.POST.get('username')
        pwd = request.POST.get('password')
        obj = User.objects.filter(username=user, password=pwd).first()
        if not obj:
            ret['code'] = -1
            ret['msg'] = "用户名或密码错误"
        token = get_md5(user)
        UserToken.objects.update_or_create(user=obj, defaults={'token': token})
        ret['token'] = token
        return JsonResponse(ret)


#APIVie可以更好的扩展功能
class CartView(APIView):
    #看APIView的源码,我们可以重写一下authentication_classes
    authentication_classes = [BasicAuthentication,TokenAuthentication,SessionAuthentication]
    #让这个接口只支持浏览器验证,现在我们把TokenAuthentication也加上

    #然后再设置一个权限,判断它有没有登录,如果登录的话,再让他访问
    permission_classes = [IsAuthenticated]
    #可以进去源码看看,他是可以检查权限,你是不是登录过的
    def get(self,request,*args,**kwargs):
        ctx = {
            "code":1,
            "msg":"ok",
            "data":{
                "goods":[
                    {
                    "name": "苹果",
                    "price": 12
                },
               {
                    "name": "苹果111",
                    "price": 1234
                },

            ]
            }
        }
        return JsonResponse(ctx)
路由
from django.contrib import admin
from django.urls import path, include
from . import views

urlpatterns = [
    path('carts/', views.CartView.as_view(), name='cart-list'),
    path('login/', views.LodinView.as_view(), name='login'),
]

这个之后一定要自己去sqlite里面传值。因为我们使用的是Django里面的用户系统,但是现在我们自己写了一个用户系统。这样的话,我们生成的那个表里面就不会有数据,一定要自己手动的创建一个数据。

然后再去访问登录接口,就会返回一个token。
在这里插入图片描述
之后我们把token传入到请求头里面就可以访问购物车页了,但是我们得先写一个验证。自己写一个验证。
否则谁都可以访问修改,我们写一个token验证,验证通过之后再给权限。

在视图里面添加自己写的验证以及导入自己的权限包
from django.shortcuts import render
from rest_framework.views import APIView
from django.http import JsonResponse
from .permission import  MyPermission
from rest_framework.authentication import BasicAuthentication,TokenAuthentication,SessionAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework import exceptions
#判断是否登录

from .models import User,UserToken
import time
import hashlib

# Create your views here.

def get_md5(user):
    ctime = str(time.time())
    m = hashlib.md5(bytes(user, encoding='utf-8'))
    m.update(bytes(ctime, encoding='utf-8'))
    return m.hexdigest()


class LodinView(APIView):
    def post(self,request,*args,**kwargs):
        ret = {'code': 1, 'msg': None, 'data': {}}
        user = request.POST.get('username')
        pwd = request.POST.get('password')
        obj = User.objects.filter(username=user, password=pwd).first()
        if not obj:
            ret['code'] = -1
            ret['msg'] = "用户名或密码错误"
        token = get_md5(user)
        UserToken.objects.update_or_create(user=obj, defaults={'token': token})
        ret['token'] = token
        return JsonResponse(ret)
class MyAuthentication(BasicAuthentication):
    def authenticate(self, request):
        #一定要重写这个方法,不然报错
        token = request.META.get('HTTP_TOKEN')#取token这个值,注意括号里面的写法,大写
        obj = UserToken.objects.filter(token=token).first()
        if not obj:
            raise exceptions.AuthenticationFailed('验证不通过')
        else:
            return (obj.user,obj)
        #return返回的一定是个元组。!!!!!这个记住了。
        #第一个返回的是user,原因IsAuthenticated里面判断是user,所以你得给他值,让他去判断,
        #第一个值就赋值给了request
        #第二个值就是token



#APIVie可以更好的扩展功能
class CartView(APIView):
    #看APIView的源码,我们可以重写一下authentication_classes
    #authentication_classes = [BasicAuthentication,TokenAuthentication,SessionAuthentication]
    #让这个接口只支持浏览器验证,现在我们把TokenAuthentication也加上

    #把上面的都注释了
    #使用我们自己定义的验证
    authentication_classes = [MyAuthentication]


    #然后再设置一个权限,判断它有没有登录,如果登录的话,再让他访问
    #permission_classes = [IsAuthenticated]
    #可以进去源码看看,他是可以检查权限,你是不是登录过的


    #不使用上面的权限的原因是,它里面request.user.is_authenticated这个属性我们没有没有办法判断
    #所以除了验证,我们还得需要重新写一个权限
    permission_classes = [MyPermission]

    def get(self,request,*args,**kwargs):
        ctx = {
            "code":1,
            "msg":"ok",
            "data":{
                "goods":[
                    {
                    "name": "苹果",
                    "price": 12
                },
               {
                    "name": "苹果111",
                    "price": 1234
                },

            ]
            }
        }
        return JsonResponse(ctx)
自己写的权限包,也就是上面视图里面导入的那个

from rest_framework.permissions import BasePermission


class MyPermission(BasePermission):

    def has_permission(self, request, view):
        if not request.user:
            return False

        return True

为什么要自己写权限上面的视图代码里有提到。

访问购物车页

在这里插入图片描述
我们试试改一下token的值
在这里插入图片描述

6and0
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-vue-admin:基于RBAC模型的权限控制的一整套基础开发平台,前拆分分离,采用django + django-rest-framework,前端采用ruoyi-ui + vue + ElementUI
03-07
权限认证使用Jwt,支持多终端认证系统。支持加载动态权限菜单,多方式轻松权限控制。高效率开发,使用代码生成器可以一键生成前的代码。特别鸣谢: , , , 。QQ群QQ群号:812482043由于项目正在启步阶段,第一版...
Django认证权限控制
我就叫贝塔
07-31 4216
权限控制可以限制用户对于视图的访问和对于具体数据对象的访问 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行模型对象访问权限的判断 认证权限的作用 先认证,再判断权限 与身份验证和限制一起,权限确定是应该授予还是拒绝访问请求。 在允许任何其他代码继续之前,权限检查始终在视图的最开始运行。权限检查通常使用 request.user 和 request.auth 属性中的身份验证信息来确定是否应允许传入请求。 权限用于授予或拒绝不同
Restframework的认证权限,节流
daruan1111的博客
08-03 231
1.认证   流程:请求到达REST framework的时候,会对request进行二次封装,在封装的过程中会对客户端发送过来的request封装进认证,选择,解析等功能。request方法封装完成之后,执行initial方法时,又会再次对客户端的请求执行认证操作,确保请求的合法性   生命周期:   发送请求-->Django的wsgi-->中间件-->路由系...
drf-------权限组件
淘淘桃的博客
05-25 1177
大家都登录了,但有的功能(接口),只有超级管理员能做,有的功能所有登录用户都能做----》这就涉及到权限的设计了。# 咱们现在只是为了先讲明白,drf权限组件如何用,咱们先以最简单的为例。-查询所有图书:所有登录用户都能访问(普通用户和超级管理员)# 权限设计:比较复杂---》有acl,rbac,abac。-错误信息是self.message='字符串'-如果没有权限,就返回False。-如果有权限,就返回True。-删除图书,只有超级管理员能访问。-给其它用户设置的权限。# 权限类的使用步骤。
权限 - Permissions - 自定义
weixin_41957017的博客
11-17 2364
分类 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 提供的权限分类(不够用,就自定义) AllowAny 允许所有用户 IsAuthenticated 仅通过认证的用户 IsAdminUser 仅管理员用户 IsAuthentic...
drf权限(2)
a35155的博客
02-10 384
内置权限类分析 BasePermission 默认实现has_permission, has_object_permission方法 class BasePermission(metaclass=BasePermissionMetaclass): """ A base class from which all permission classes should inherit. """ def has_permission(self, request, view):
Django REST Framework 框架」Permissions权限解析及应用举例
qinzuoyu996的博客
08-23 997
全部 Django Web 开发文章索引目录传送门: 【Django Web 开发】全部文章目录索引 文章目录 内容介绍 Permissions权限 应用举例 内容介绍 代码内容基于「Django REST Framework API框架」源码版本 3.12.x ,更新内容会进行标记说明对应版本。 身份认证权限组合使用,用来确定请求是否返回数据还是拒绝请求数据。 Permissions权限 1.确定权限 # 在运行视图前检查每个请求的权限 # 如果检查失败则会引发 exceptions.Perm
43.Permission源码解析和自定义权限
weixin_43247178的博客
10-13 134
drf权限类位于permission模块 如何确定权限 认证、限流,权限决定是否应该接收请求或拒绝访问 权限检查在视图的最开始处执行,在继续执行其他代码前 权限检查通常会使用request.user和request.auth属性中的身份认证信息来决定是否允许请求 不同级别的用户访问不同的api过程中,使用权限来控制访问的许可 DRF框架的权限被定义为一个权限类的列表,表示拥有列表中...
Django REST Framework——6. 认证权限、限流、过滤、排序及异常处理
花城的博客
12-21 1426
文章目录一、认证(Authentication)1.1 身份认证的流程1.2 自定义认证类1.3 设置认证方案二、权限Permissions)2.1 权限检查流程2.2 对象级别的权限2.3 自定义权限补充说明2.4 设置权限三、限流(Throttling)3.1 限流检查流程3.2 内置限流3.2.1 AnonRateThrottle3.2.2 UserRateThrottle3.3 设置限流四、过滤(Filtering)4.1 根据当前用户进行过滤4.2 根据URL进行过滤4.3 使用第三方djang
二十二、身份验证与权限
Sean_0819的博客
03-15 722
要实现自定义权限,请重写BasePermission并实现以下方法中的一个或两个:如果请求被授予访问权限,则该方法应返回True,否则返回False。注意:对象级的has_object_permission方法只有在视图级的has_permission检查已经通过的情况下才会被调用。如果测试失败,自定义权限将引发一个PermissionDenied异常。若要更改与异常关联的错误消息,请在自定义权限上直接实现message属性。
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 2220
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
django-spms:django-spms是一个基于Django + AdminLTE的框架,集成了RBAC权限管理,账户管理, JWT认证, 多站点统一登录CAS,基于DRF的API等模块,并集成第三方Celery,pycharts, ckeditor,mdeditor模块,拥有清晰良好的代码结构,有助于快速的开启一个新的项目
05-14
JWT认证, 多站点统一登录CAS,基于DRF的API等模块,并集成第三方Celery,pycharts, ckeditor,mdeditor模块,拥有清晰良好的代码结构,有助于快速的开启一个新的项目。 一、安装 只支持Django 2.2.x, Python 3.6 ...
translate_drf:对DRF框架源码分析,总结笔记
03-23
以后复习的时候也可以很快进行复习第01章-学习资料第02章python基础第03章drf-认证分析第04章drf-权限分析第05章drf-频率分析第06章drf-API版本分析第07章drf-解析器分析第07章drf-序列化分析第07章drf-分页分析第08...
DRFDjango rest framework)框架详细解析
03-17
框架中描述了resultful风格、DRF的序列化器序列化和反序列化原理、各种视图使用方法、视图集使用方法、权限认证、过滤、排序
2019年python自动化运维进阶篇20期视频教程-百度网盘下载视频
09-02
│ 08 drf自定义get权限.51reboot.mp4 │ 09 不使用queryset的viewset.51reboot.mp4 │ ├─07.第七天 │ 01vue 介绍.51reboot.mp4 │ 02vue渲染声明和属性绑定.51reboot.mp4 │ 03 vue 条件双向绑定和列表渲染.51...
Django模型基础
最新发布
brucexia的专栏
04-13 740
Django模型在业务逻辑层和实体数据库之间充当着桥梁的作用,通过使用描述对象和实体数据库之间的映射的元数据,将程序中的对象自动持久化到实体数据库中。MySQL是Web应用开发中比较常用的关系数据库,这里我们就以MySQL数据库为例,详细介绍在Django模型中使用数据库的方法。此时,ORM就相当于一个中间层的逻辑数据,连接着上层的编程语言与底层的实体数据库。本节先介绍一下Django框架模型的基础知识,主要包括Django模型介绍、Django模型与ORM,以及Django模型与MySQL等方面的内容。
4. Django 探究FBV视图
清风
04-12 969
【代码】4. Django 探究FBV视图。
Django——CBV源码解析
AZURE060606的博客
04-12 683
其实是因为在注册url时app.views调用的as_view()方法帮我们做好了大部分规划。首先引入问题:为什么浏览器向后端发送get请求时会被该get方法精准接受?该功能实现的是当有get请求发送到app这个接口时会返回一个。以下是views模块调用as_view()方法的代码示例。Ctrl+左键进入as_view()源码。
Django实现的登录注册功能
平时不搬砖的博客
04-09 1977
该项目是使用django+bootstrp开发的项目,包含以下功能注册: 手机获取验证码、ModelForm数据验证、验证码redis超时处理,登录:手机验证码登录、账号密码登录、生成随机图片验证码、用户信息seesion处理项目示例1 账号密码登录2 短信验证码登录3 用户的注册4 用户退出。
Django前后端分离实践之DRF--09
09-18
在实践过程中,我们还可以使用DRF认证权限系统来保护API的安全性。DRF支持各种认证方式,如基于Token的认证和基于Session的认证。同时,我们可以基于DRF权限系统来限制用户对API的访问权限,确保只有经过授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值