前戏

大家都知道http协议是无状态的,每次发送请求他们怎么知道我们是不是登录过呢?我们可以在用户登录之后给用户一个“暗号”,下次请求的时候带着这个“暗号”来。我们拿自己存的和携带过来的进行对比,如果一样,就可以认为是登录过的。

认证

先来创建一张用户表

class User(models.Model):

    name = models.CharField(max_length=32)

    pwd = models.CharField(max_length=32)

    token = models.UUIDField(null=True, blank=True)  # 随机字符串

在进行数据库的迁移,在数据库里添加几条数据。

接下来就可以写我们的认证了,新建个py文件,写入如下内容,假设前端妹子给我们传来的token是在url里

from .models import User

from rest_framework.exceptions import AuthenticationFailed

from rest_framework.authentication import BaseAuthentication

class MyAuth(BaseAuthentication):

    def authenticate(self, request):  # 必须是这个函数名

        # 拿到前端传来的token,判断token是否存在

        token = request.query_params.get('token', '')

        if not token:

            raise AuthenticationFailed("缺少token")

        user_obj = User.objects.filter(token=token).first()

        if not user_obj:

            raise AuthenticationFailed("token不合法")

        return (user_obj, token)
from rest_framework.authentication import BaseAuthentication

from rest_framework.exceptions import AuthenticationFailed

from course.models import Account

from django.utils.timezone import now  # 要用django提供的时间

class MyAuth(BaseAuthentication):

    def authenticate(self, request):

        if request.method == 'OPTIONS':  #过滤掉options请求

            return None

        # 拿到前端传来的token,请求头的数据都在request.META里

        # 比如前端把token放在请求头里:authenticate:85ada55664sfqq6

        # django会在前面加上 HTTP_ 并转为大写,也就是 HTTP_AUTHENTICATE

        # print(request.META)

        token = request.META.get('HTTP_AUTHENTICATE', '')

        # 判断是否有这个token

        if not token:

            raise AuthenticationFailed({"code": 1020, "error": "没有token"})

        user_obj = Account.objects.filter(token=token).first()

        if not user_obj:

            raise AuthenticationFailed({"code": 1021, "error": "token不合法"})

        # 判断token是否过期

        old_time = user_obj.create_token_time  # 数据库里存的token的时间

        now_time = now()  # 用django提供获取时间的方法

        if (now_time - old_time).days > 7:

            raise AuthenticationFailed({"code": 1022, "error": "token已过期,请重新登录"})

        return (user_obj, token)

token在请求头里

写个视图测试

class TestView(APIView):

    # 添加认证

    authentication_classes = [MyAuth,]  # 必须为可迭代对象

    def get(self, request):

        return Response('认证')

这样只是个一个方法添加了认证,也可以添加全局的认证,在settings.py文件里

REST_FRAMEWORK = {

    # 默认使用的版本控制类

    'DEFAULT_VERSIONING_CLASS': 'rest_framework.versioning.URLPathVersioning',

    # 允许的版本

    'ALLOWED_VERSIONS': ['v1', 'v2'],

    # 版本使用的参数名称

    'VERSION_PARAM': 'version',

    # 默认使用的版本

    'DEFAULT_VERSION': 'v1',

    # 配置全局认证

    'DEFAULT_AUTHENTICATION_CLASSES': ["BRQP.utils.MyAuth", ]

}

权限

我们都看过app上的电影,vip可以看一些视频,不是vip就看不了。因为vip的权限比非vip的权限大。那程序中的权限是什么样的呢?假设我们有一个系统,里面有添加学员,查看学员的功能。有些用户两个功能都有,而有些用户只有添加学员的功能。这里就要用到权限控制了。

在DRF的源码里,权限是在认证之后的。我们在执行权限的时候,认证已经执行结束了。

我们的权限类一定要有个has_permission方法,否则会抛出异常。

我们来写一个权限的demo。在上面的model类里给表在加一个type类,表示我们的权限。

from django.db import models

class User(models.Model):

    name = models.CharField(max_length=32)

    pwd = models.CharField(max_length=32)

    token = models.UUIDField(null=True, blank=True)  # 随机字符串

    type = models.IntegerField(choices=((1, '普通用户'), (2, 'vip用户')), default=1)  # 权限字段

在设置一个路由

from django.conf.urls import url ,include

from .views import LoginView, TestView, TestPermission

urlpatterns = [

    url(r'^login/', LoginView.as_view()),

    url(r'^test/', TestView.as_view()),

    url(r'^permission/', TestPermission.as_view()),  # 权限路由

]

然后我们去写我们的权限类,新建一个permission.py文件

class MyPermission(object):

    message = '权限不足'  # 提示信息

    def has_permission(self, request, view):  # 必须这个名

        # 权限逻辑,认证已经执行完了

        user_obj = request.user  # 因为认证已经执行完了,所以有request.user

        print(user_obj)

        if user_obj.type == 1:  # 返回的是个布尔值

            return False

        else:

            return True

在去写我们的测试视图

class TestPermission(APIView):

    authentication_classes = [MyAuth, ]  # 认证

    permission_classes = [MyPermission, ]  # 权限

    def get(self, request):

        return Response("恭喜你,你有访问权限")

当有权限时(type=2)

无权限时(type=1)

DRF也给我们提供了一些权限类,都在permission类里

from rest_framework import permissions

DRF--认证和权限的更多相关文章

  1. DRF 认证、权限、限制

    DRF 认证.权限.限制   认证: 定义一个用户表和一个保存用户的Token表 # ======================day96======================= class ...

  2. drf 认证、权限、限流、过滤、排序、分页器

    认证Authentication 准备工作:(需要结合权限用) 1. 需要使用到登陆功能,所以我们使用django内置admin站点并创建一个管理员. python manage.py creates ...

  3. drf认证、权限、限流

    认证Authentication(5星) 认证逻辑及编写步骤 逻辑 认证类:用来校验用户是否登录,如果登录了,继续往下走,如果没有登录,直接返回 编写步骤 -第一步:写一个类,继承BaseAuthen ...

  4. 2. DRF 认证、权限、限流、分页、过滤、序列 化

    2.1 user/urls.py   ModelViewSet注册路由三部曲 from django.urls import include, path from user import views ...

  5. DRF之版本控制、认证和权限组件

    一.版本控制组件 1.为什么要使用版本控制 首先我们开发项目是有多个版本的当我们项目越来越更新,版本就越来越多,我们不可能新的版本出了,以前旧的版本就不进行维护了像bootstrap有2.3.4版本的 ...

  6. 三 drf 认证,权限,限流,过滤,排序,分页,异常处理,接口文档,集xadmin的使用

    因为接下来的功能中需要使用到登陆功能,所以我们使用django内置admin站点并创建一个管理员. python manage.py createsuperuser 创建管理员以后,访问admin站点 ...

  7. python 全栈开发,Day97(Token 认证的来龙去脉,DRF认证,DRF权限,DRF节流)

    昨日内容回顾 1. 五个葫芦娃和三行代码 APIView(views.View) 1. 封装了Django的request - request.query_params --> 取URL中的参数 ...

  8. (四) DRF认证, 权限, 节流

    一.Token 认证的来龙去脉 摘要 Token 是在服务端产生的.如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端.前端可以在每次请求的时候带上 To ...

  9. DRF的版本、认证、权限

    DRF的版本 版本控制是做什么用的, 我们为什么要用 首先我们要知道我们的版本是干嘛用的呢~~大家都知道我们开发项目是有多个版本的~~ 当我们项目越来越更新~版本就越来越多~~我们不可能新的版本出了~ ...

  10. DRF(4) - 认证、权限组件

    一.引入 通过前面三节课的学习,我们已经详细了解了DRF提供的几个重要的工具,DRF充分利用了面向对象编程的思想,对Django的View类进行了继承,并封装了其as_view方法和dispatch方 ...

随机推荐

  1. 新学期教育教学小学家长会PPT模板推荐

    模版来源:http://ppt.dede58.com/jiaoxuekejian/26569.html

  2. Prism_Event Aggregator(4)

    Event Aggregator Prism库提供了一种事件机制,可以在应用程序中松散耦合的组件之间进行通信.该机制基于事件聚合器服务,允许发布者和订阅者通过事件进行通信,但仍然没有彼此直接引用. 在 ...

  3. MySQL索引查询原理

    什么是索引? “索引”是为了能够更快地查询数据.比如一本书的目录,就是这本书的内容的索引,读者可以通过在目录中快速查找自己想要的内容,然后根据页码去找到具体的章节. 数据库也是一样,如果查询语句使用到 ...

  4. My97DatePicker-WdatePicker日历日期插件详细示例

    <!DOCTYPE html> <html> <head> <title>排行</title> <meta charset=" ...

  5. English: Class logogram

    IT # this is a IT type ISP ANOTHER # following is another logogram LCD PDA

  6. 白话 MVC、MVP、MVVP

    白话 MVC.MVP.MVVP 注意这里单纯的通过例子来讲解 MVC MVP MVVP 这三种架构模式的起源和作用,不牵扯某种特定的语言.具体到各种语言各种软件系统上体现有所不同,但是原理都是这样的. ...

  7. RMAN RECOVER TABLE 功能是 Oracle Database 12c 的新增功能 (Doc ID 1521524.1)

    RMAN RECOVER TABLE Feature New to Oracle Database 12c (Doc ID 1521524.1) APPLIES TO: Oracle Database ...

  8. 常用注解解析(因为不太明白@component和@configuration写了)

    1.@controller 控制器(注入服务) 用于标注控制层,相当于struts中的action层 2.@service 服务(注入dao) 用于标注服务层,主要用来进行业务的逻辑处理 3.@rep ...

  9. C语言 复习函数

    什么是函数呢? 首先函数是在完成特定任务的程序代码中,拥有自己独立的单元. 举个例子 “你可以拿本书吗?” ”你可以拿本语文书吗?“ “你可以拿苹果吗?”..... 如果要是放到程序里面估计要重复很多 ...

  10. 2019-2020-1 20199305《Linux内核原理与分析》第九周作业

    进程的切换和一般执行过程 (一)进程调度的时机 (1)关键问题 何为进程切换?就是进程调度时机到来时从就绪进程队列中能够挑选一个进程执行,占用CPU时间,那么就有两个关键问题:一是什么时间去挑选一个就 ...