权限校验

   权限校验和认证校验必须同时使用,并且权限校验是排在认证校验之后的,这在源码中可以查找到其执行顺序。

   权限校验也很重要,认证校验可以确保一个用户登录之后才能对接口做操作,而权限校验可以依据这个登录用户的类型来限定能对接口做那些操作。

准备工作

模型表

   下面是模型表,对于不同等级的用户,访问同一url,能够获取到的电影内容也不一样。

from django.db import models

# Create your models here.

class User(models.Model):

    user_id = models.AutoField(primary_key=True)

    user_name = models.CharField(max_length=32)

    user_password = models.CharField(max_length=32)

    user_type = models.IntegerField(choices=(

        [0,"普通用户"],

        [1,"黄金VIP"],

        [2,"钻石VIP"],

    ))

    user_token = models.CharField(max_length=64, null=True, unique=True)

class Film(models.Model):

    film_id = models.AutoField(primary_key=True)

    film_name = models.CharField(max_length=32)

    film_grade = models.IntegerField(

        choices=(

            [0,"免费电影"],

            [1,"黄金VIP专享"],

            [2,"钻石VIP专享"]

        )

    )

   用户表数据如下:

  

   电影表数据如下:

  

序列类

   采用模型类序列器,并且只对电影做序列化:

from rest_framework import serializers

from app01 import models

class FilmModelSerializers(serializers.ModelSerializer):

    class Meta:

        model = models.Film

        fields = "__all__"

认证校验

   下面是认证权限,只有登录后的用户才可以看到电影信息。如果没有登录将不允许查看所有电影的页面,或者你也可以不设置认证校验,但是在权限设置中可以设置匿名用户直接返回一个False也行。

from rest_framework.authentication import BaseAuthentication

from rest_framework.exceptions import APIException

from app01 import models

class LoginAuth(BaseAuthentication):

    def authenticate(self,request):

        token = request.META.get("HTTP_TOKEN")

        if not token:

            # 未登录

            raise APIException("未登录,无法查看本电影网站,请先登录")

        user_obj = models.User.objects.filter(user_token=token).first()

        if not user_obj:

            raise APIException("token无效,登录失败")

        else:

            return user_obj,user_obj.user_type  # 将用户对象本身以及用户的类型存储到request.user以及request.auth中

视图

   下面是视图的代码:

from uuid import uuid4

from rest_framework.generics import ListAPIView

from rest_framework.generics import GenericAPIView

from rest_framework.views import APIView

from rest_framework.views import Response

from app01 import models

from app01 import serializationClass

from app01 import app01_auth

class FilmAPI(ListAPIView,GenericAPIView):

    authentication_classes = [app01_auth.LoginAuth]  # 必须登录

    queryset = models.Film.objects.all()  # 默认查看所有,任何用户都是

    serializer_class = serializationClass.FilmModelSerializers

    def get(self,request):

        return self.list(request)

class Login(APIView):

    def post(self,request):

        user_dict = {

            "user_name":request.data.get("user_name"),

            "user_password":request.data.get("user_password"),

        }

        user_obj = models.User.objects.filter(**user_dict).first()

        if not user_obj:

            return Response(data="用户名或密码错误")

        else:

            token = uuid4()  # 创建token

            user_obj.user_token = token

            user_obj.save()

            return Response(data="登录成功",headers={"token":token})  # 返回token到请求头中

url

   下面是路由。

from django.contrib import admin

from django.urls import path

from app01 import views

urlpatterns = [

    path('admin/', admin.site.urls),

    path('login/',views.Login.as_view()),

    path('api/film/',views.FilmAPI.as_view()),

]

简单尝试

   现在我们启动django项目试试。可以发现,当我们在请求头中设置好token并朝api发送GET请求时,它会返回所有的数据。

   我们登录的是jack这个用户,他应该只能看到免费电影,而类似泰坦尼克号这种电影是不应该让他看见的。

  

自定制权限

   写一个类,继承BasePermission,重写has_permission()方法,如果权限通过,就返回True,不通过就返回False

权限校验

   接下来我们来写权限校验,has_permission()方法接受两个参数,分别是requestview,也就是视图类的实例化本身。

from rest_framework.permissions import BasePermission

from app01 import models

from django.db.models import Q

class UserPermission(BasePermission):

    def has_permission(self, request, view):

        if request.auth == 1:  # 如果是普通用户,修改当前获取的资源为免费电影

            view.queryset = models.Film.objects.filter(film_grade=1)

        elif request.auth == 2:  # 如果是黄金VIP,则只能获取黄金VIP电影和免费电影

            view.queryset = models.Film.objects.filter(Q(film_grade=2) | Q(film_grade=1))

        else:

            pass  # 默认就是获取所有,所以不用修改

        return True  # 权限校验完成,设置好了。普通用户只能看免费电影

局部使用

   下面是局部使用,只需要用一个变量名为permission_classes的列表,将权限校验的类放入即可:

class FilmAPI(ListAPIView,GenericAPIView):

    authentication_classes = [app01_auth.LoginAuth]  # 必须登录

    permission_classes = [app01_permissions.UserPermission]  # 做权限设置

    queryset = models.Film.objects.all()  # 默认查看所有,任何用户都是

    serializer_class = serializationClass.FilmModelSerializers

    def get(self,request):

        return self.list(request)

全局使用

   如果是全局使用,则需要到项目全局文件夹下的settings.py中进行设置:

# 全局使用

REST_FRAMEWORK={

    'DEFAULT_PERMISSION_CLASSES': [

        'app01.app01_permissions.UserPermission',

    ],

}

   如果想取消某个接口的权限认证设置,则在其中设置类属性permission_classes是一个空列表。

   如下所示,登录功能不需要验证权限,我们对他取消掉即可。

class Login(APIView):

	permission_classes = []  # 取消权限验证设置

    def post(self,request):

        user_dict = {

            "user_name":request.data.get("user_name"),

            "user_password":request.data.get("user_password"),

        }

        user_obj = models.User.objects.filter(**user_dict).first()

        if not user_obj:

            return Response(data="用户名或密码错误")

        else:

            token = uuid4()  # 创建token

            user_obj.user_token = token

            user_obj.save()

            return Response(data="登录成功",headers={"token":token})  # 返回token到请求头中

结果演示

   再次使用jacktoken进行登录,可以发现他只会看到免费电影了。

  

   而使用kentoken进行登录,他将看不到钻石VIP的电影,如泰坦尼克号:

  

   倘若使用yunyatoken进行登录,则可以查看到所有的电影。

  

内置权限

   如果你是使用auth组件来做的一系列登录等,则可以使用内置权限。

   它会判断该用户的is_staff字段是否为True

   内置权限的类使用有很多,如下所示:

  

基本演示

# 演示一下内置权限的使用:IsAdminUser,控制是否对网站后台有权限的人

# 1 创建超级管理员

# 2 写一个测试视图类

from rest_framework.permissions import IsAdminUser

from rest_framework.authentication import SessionAuthentication

class TestView3(APIView):

    authentication_classes=[SessionAuthentication,]  # 必须有认证

    permission_classes = [IsAdminUser]  # 权限设置

    def get(self,request,*args,**kwargs):

        return Response('这是22222222测试数据,超级管理员可以看')

# 3 超级用户登录到admin,再访问test3就有权限

# 4 正常的话,普通管理员,没有权限看(判断的是is_staff字段)

源码分析

   权限校验排在认证校验之后,这在源码中可以查看到。

   它的源码相比于认证的源码来说简单的多,认证的执行是在request.user中进行的,而它直接是在当前视图类中进行,所以很简单。

# APIView---->dispatch---->initial--->self.check_permissions(request)(APIView的对象方法)

    def check_permissions(self, request):

        # 遍历权限对象列表得到一个个权限对象(权限器),进行权限认证 遍历  for (权限认证的实例化对象)

        for permission in self.get_permissions():

            # 权限类一定有一个has_permission权限方法,用来做权限认证的

            # 参数:权限对象self、请求对象request、视图类对象

            # 返回值:有权限返回True,无权限返回False

            if not permission.has_permission(request, self):

                self.permission_denied(

                    request, message=getattr(permission, 'message', None)

                )

drf 权限校验设置与源码分析的更多相关文章

  1. django身份认证、权限认证、频率校验使用及源码分析

    一. 身份认证源码分析 1.1 APIView源码的分析 APIView源码之前分析过https://www.cnblogs.com/maoruqiang/p/11135335.html,里面主要将r ...

  2. drf复习(一)--原生djangoCBV请求生命周期源码分析、drf自定义配置文件、drf请求生命周期dispatch源码分析

    admin后台注册model  一.原生djangoCBV请求生命周期源码分析 原生view的源码路径(django/views/generic/base.py) 1.从urls.py中as_view ...

  3. ABP源码分析二十二:Navigation

    MenuDefinition:封装了导航栏上的主菜单的属性. MenuItemDefinition:封装了主菜单的子菜单的属性.子菜单可以引用其他子菜单构成一个菜单树 UserMenu/UserMen ...

  4. Log4j2异步情况下怎么防止丢日志的源码分析以及队列等待和拒绝策略分析

    org.apache.logging.log4j.core.async.AsyncLoggerConfigDisruptor以下所有源码均在此类中首先我们看下log4j2异步队列的初始化 从这里面我们 ...

  5. drf 认证校验及源码分析

    认证校验 认证校验是十分重要的,如用户如果不登陆就不能访问某些接口. 再比如用户不登陆就不能够对一个接口做哪些操作. drf中认证的写法流程如下: 1.写一个类,继承BaseAuthenticatio ...

  6. Django(63)drf权限源码分析与自定义权限

    前言 上一篇我们分析了认证的源码,一个请求认证通过以后,第二步就是查看权限了,drf默认是允许所有用户访问 权限源码分析 源码入口:APIView.py文件下的initial方法下的check_per ...

  7. Django之DRF源码分析(二)---数据校验部分

    Django之DRF源码分析(二)---数据校验部分 is_valid() 源码 def is_valid(self, raise_exception=False): assert not hasat ...

  8. drf源码分析系列---权限

    权限的使用 全局使用 from rest_framework.permissions import BasePermission from rest_framework import exceptio ...

  9. DRF cbv源码分析 restful规范10条 drf:APIView的源码 Request的源码 postman的安装和使用

    CBV 执行流程 路由配置:url(r'^test/',views.Test.as_view()),  --> 根据路由匹配,一旦成功,会执行后面函数(request) --> 本质就是执 ...

随机推荐

  1. RectTransform简析

    UGUI简述   UGUI主要提供了两个能力 UI元素的渲染与适配(其中UI元素的Mesh中的position信息就是通过RectTransform生成的,本文重点) 设备事件的响应与处理(Event ...

  2. 初探JVM

    JVM探究 请你谈谈你对JVM的理解?java8虚拟机和之前的变化更新? 什么是OOM,什么是栈溢出StackOverFlowError?怎么分析? JVM的常用调优参数? 内存快照如何抓取,怎么分析 ...

  3. springboot项目根据不同的环境启动不同的配置,如开发环境dev,测试环境sit,生产环境application

    在项目开发中,会有多个环境,如在开发环境开发完,然后在测试环境测试,最后到生产环境,每个环境的配置是不一样的,如数据库配置:还好spring提供了一个管理配置的方式:

  4. Book of Shaders 00 - 使用 VS Code 编写 GLSL

    0x00 写在前面 最近在学习由 Patricio 编写的 The Book of Shaders,这是一本关于 Fragment Shaders(片段着色器)的入门指南.为了在一个相对熟悉的平台运行 ...

  5. 阿里云oss对象存储配置CDN

    阿里云oss对象存储配置CDN 1.打开阿里云CDN 2.填写信息,这个地方要注意,我的备案域名是www.ljwXXX.work,我们可以自定义一个域名,test.ljwXXX.work作为加速域名. ...

  6. Boost 信号与槽,获取槽函数返回值,使用占位参数传递信号携带的参数

    test1: 展示了, 1 信号与槽的基本使用,    2 要获取槽函数的返回值时的注意事项 #if 1 /* 参考blog https://www.cnblogs.com/jiayayao/p/62 ...

  7. 如何用5000行JS撸一个关系型数据库

    首先声明,我不是标题党,我真的是用5000行左右的JS实现了一个轻量级的关系型数据库JSDB,核心是一个SQL编译器,支持增删改查. 源代码放到github上了:https://github.com/ ...

  8. CSP-J 2019复赛分析

    [CSP-J 2019 ]复赛分析 前言(????) 总的来说,这次复赛感觉考的很不满意,至于原因,感慨万分!关键是:期中考试了!偏偏是这个时候! - 由于我是一个初二的蒟蒻,所以考试前先定了一个目标 ...

  9. [POI2009]ARC-Architects

    [POI2009]ARC-Architects 题意: 给定一个序列,从中挑选k个数,满足下标单调递增,并且字典序最小: 思路: 由于字典序最小,所以考虑贪心,即前面的数尽可能大,所以用单调队列维护最 ...

  10. docker-命令帮助

    1. 命令参考     http://www.runoob.com/docker/docker-command-manual.html2. docker-命令,可以使用docker --help查看或 ...