Django REST framework 权限和限制

(你能干什么)

与身份验证和限制一起,权限确定是应该授予还是拒绝访问请求。

在允许任何其他代码继续之前,权限检查始终在视图的最开始运行。权限检查通常使用 request.userrequest.auth 属性中的身份验证信息来确定是否应允许传入请求。

权限用于授予或拒绝不同类别的用户访问API的不同部分。

最简单的权限类型是允许访问任何经过身份验证的用户,并拒绝访问任何未经身份验证的用户。这对应IsAuthenticated于REST框架中的类。

稍微不那么严格的权限样式是允许对经过身份验证的用户进行完全访问,但允许对未经身份验证的用户进行只读访问。这对应IsAuthenticatedOrReadOnly于REST框架中的类。

设置权限的方法

  1. 可以使用该DEFAULT_PERMISSION_CLASSES设置全局设置默认权限策略。例如:

     REST_FRAMEWORK = {
    
     'DEFAULT_PERMISSION_CLASSES': (
    
         	'rest_framework.permissions.IsAuthenticated',
    
     )
    
 }

如果未指定,则此设置默认允许不受限制的访问:

	'DEFAULT_PERMISSION_CLASSES': (

	   'rest_framework.permissions.AllowAny',

	)

  1. 您还可以使用APIView基于类的视图在每个视图或每个视图集的基础上设置身份验证策略。

    from rest_framework.permissions import IsAuthenticated

    from rest_framework.response import Response

    from rest_framework.views import APIView

    class ExampleView(APIView):

    permission_classes = (IsAuthenticated,)

     def get(self, request, format=None):
    
     content = {
    
         'status': 'request was permitted'
    
     }
    
     return Response(content)

  2. 或者,使用@api_view具有基于功能的视图的装饰器。

     from rest_framework.decorators import api_view, permission_classes
    
 from rest_framework.permissions import IsAuthenticated
    
 from rest_framework.response import Response

 @api_view(['GET'])
    
 @permission_classes((IsAuthenticated, ))
    
 def example_view(request, format=None):
    
     content = {
    
         'status': 'request was permitted'
    
     }
    
     return Response(content)

注意 :当您通过类属性或装饰器设置新的权限类时,您告诉视图忽略settings.py文件中的默认列表集。

如果它们继承自rest_framework.permissions.BasePermission,则可以使用标准Python按位运算符组合权限。例如,IsAuthenticatedOrReadOnly可以写成:

from rest_framework.permissions import BasePermission, IsAuthenticated, SAFE_METHODS

from rest_framework.response import Response

from rest_framework.views import APIView

class ReadOnly(BasePermission):

    def has_permission(self, request, view):

        return request.method in SAFE_METHODS

class ExampleView(APIView):

    permission_classes = (IsAuthenticated|ReadOnly,)

    def get(self, request, format=None):

        content = {

            'status': 'request was permitted'

        }

        return Response(content)

案例

此案例基于 Django REST framework 认证

第一步: 定义一个权限类

"""

自己动手写一个权限组件

"""

from rest_framework.permissions import BasePermission

class MyPermission(BasePermission):

message = '只有VIP才能访问'

def has_permission(self, request, view):

    # 认证类中返回了token_obj.user, request_token

    # request.auth 等价于request_token

    if not request.auth:

        return False

    # request.user为当前用户对象

    if request.user and request.user.type == 1:  # 如果是VIP用户

        print("requ", request.user, type(request.user))

        return True

    else:

        return False

第二步: 使用

视图级别

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()

    serializer_class = app01_serializers.CommentSerializer

    authentication_classes = [MyAuth, ]

    permission_classes = [MyPermission, ]

全局级别设置

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

}

限制

(你一分钟能干多少次?)**好像有点污~~

第一步: 自定义限制类

import time

# from rest_framework.throttling import

visit_record = {}

class MyThrottle(object):

def __init__(self):

    self.history = None

def allow_request(self, request, view):

    # 拿到当前的请求的ip作为访问记录的 key

    ip = request.META.get('REMOTE_ADDR')

    # 拿到当前请求的时间戳

    now = time.time()

    if ip not in visit_record:

        visit_record[ip] = []

    # 把当前请求的访问记录拿出来保存到一个变量中

    history = visit_record[ip]

    self.history = history

    # 循环访问历史,把超过10秒钟的请求时间去掉

    while history and now - history[-1] > 10:

        history.pop()

    # 此时 history中只保存了最近10秒钟的访问记录

    if len(history) >= 3:

        return False

    else:

        # 判断之前有没有访问记录(第一次来)

        self.history.insert(0, now)

        return True

def wait(self):

    """告诉客户端还需等待多久"""

    now = time.time()

    return self.history[-1] + 10 - now

# history = ['9:56:12', '9:56:10', '9:56:09', '9:56:08']  # '9:56:18' - '9:56:12'

# history = ['9:56:19', '9:56:18', '9:56:17', '9:56:08']

# 最后一项到期的时间就是下一次允许请求的时间

# 最后一项到期的时间:now - history[-1] > 10

# 最后一项还剩多少时间过期

# history[-1] + 10 - now

第二步: 使用

视图中使用

class CommentViewSet(ModelViewSet):

    queryset = models.Comment.objects.all()

    serializer_class = app01_serializers.CommentSerializer

    throttle_classes = [MyThrottle, ]

全局中使用

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]

}

嫌麻烦的话,还可以使用内置限制类,哈哈~

from rest_framework.throttling import SimpleRateThrottle

class VisitThrottle(SimpleRateThrottle):

    scope = "xxx"

    def get_cache_key(self, request, view):

        return self.get_ident(request)

全局配置

# 在settings.py中设置rest framework相关配置项

REST_FRAMEWORK = {

    "DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],

    # "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]

    "DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],

    "DEFAULT_THROTTLE_RATES": {

        "xxx": "5/m",

    }

}

Django REST framework - 权限和限制的更多相关文章

  1. Django rest framework ---- 权限

    Django rest framework ---- 权限 添加权限 api/utils文件夹下新建premission.py文件,代码如下: message是当没有权限时,提示的信息 # FileN ...

  2. django rest framework权限和认证

    Django rest framework之权限 一.Authentication用户认证配置 1.四种验证及官网描述: BasicAuthentication 此身份验证方案使用HTTP基本身份验证 ...

  3. Django rest framework 权限操作(源码分析)

    知识回顾http://www.cnblogs.com/ctztake/p/8419059.html 这一篇是基于上一篇写的,上一篇谢了认证的具体流程,看懂了上一篇这一篇才能看懂, 当用户访问是 首先执 ...

  4. Django REST framework —— 权限组件源码分析

    在上一篇文章中我们已经分析了认证组件源码,我们再来看看权限组件的源码,权限组件相对容易,因为只需要返回True 和False即可 代码 class ShoppingCarView(ViewSetMix ...

  5. Django rest framework源码分析(2)----权限

    目录 Django rest framework(1)----认证 Django rest framework(2)----权限 Django rest framework(3)----节流 Djan ...

  6. 04 Django REST Framework 认证、权限和限制

    目前,我们的API对谁可以编辑或删除代码段没有任何限制.我们希望有更高级的行为,以确保: 代码片段始终与创建者相关联. 只有通过身份验证的用户可以创建片段. 只有代码片段的创建者可以更新或删除它. 未 ...

  7. Django Rest Framework(认证、权限、限制访问频率)

    阅读原文Django Rest Framework(认证.权限.限制访问频率) django_rest_framework doc django_redis cache doc

  8. Django Rest framework 之 权限

    django rest framework 之 认证(一) django rest framework 之 权限(二) django rest framework 之 节流(三) django res ...

  9. Django Rest Framework源码剖析(二)-----权限

    一.简介 在上一篇博客中已经介绍了django rest framework 对于认证的源码流程,以及实现过程,当用户经过认证之后下一步就是涉及到权限的问题.比如订单的业务只能VIP才能查看,所以这时 ...

随机推荐

  1. CI框架下CSS和JS的路径问题

    注意:CI框架下的CSS和JS的引用必须放在框架外面,比如,可建立resource文件夹与application同级,用来封装CSS和JS. 在view层用resource里面CSS和JS可采用以下几 ...

  2. changing permissions of Read-only file system in linux

      up vote 2 down vote favorite 1 i use this command to make a bootable flash disk of linux mint sudo ...

  3. Generic Interfaces (C# Programming Guide)

    https://msdn.microsoft.com/en-us/library/kwtft8ak(v=vs.140).aspx It is often useful to define interf ...

  4. AD、DNS、DHCP、IIS、WINS的形象定义及关系

    AD-实际是就是一个包括所有信息的数据库,和现实生活中就将其比作派出所,所有的信息都要进入他那的数据库当中(包括人员姓名(计算机名.账号.密码等) DNS就是建立起关联起好记忆的名称,比如你家的位置用 ...

  5. hdu 4587(枚举+割顶)

    TWO NODES Time Limit: 24000/12000 MS (Java/Others)    Memory Limit: 65535/32768 K (Java/Others)Total ...

  6. 简单理解jsonp原理

    对于javascript程序员来说,发送ajax请求获取后台数据然后把数据和模板拼接成字符串渲染回DOM实现无刷新更新页面这样的操作可谓是轻车熟路.但众所周知,ajax有一个不好,就是不能跨域传输数据 ...

  7. CSS元素超出部分滚动,并隐藏滚动条

    方法一, 利用 css 3 的新特性  -webkit-scrollbar, 但是这种方式不兼容 火狐 和 IE <!DOCTYPE html> <html> <head ...

  8. go 简单路由实现

    一.golang 路由实现的简单思路 1.http启动后,请求路径时走统一的入口函数 1.通过统一函数入口,获取request 的url路径 2.通过对url的路径分析,确定具体执行什么函数 二.统一 ...

  9. 《Typecript 入门教程》 1、类

    类 使用class + 类名 即可定义一个类,一个类中通常有3个成员:属性.构造函数.方法: 在类内部引用属性或方法事使用this调用,它表示我们访问的是类的成员. 我们使用new构造了Greeter ...

  10. HDU 5306 吉司机线段树

    思路: 后面nlogn的部分是伪证... 大家可以构造数据证明是这是nlog^2n的啊~ 吉老司机翻车了 //By SiriusRen #include <cstdio> #include ...