permissions.py源码分析

SAFE_METHODS = ('GET', 'HEAD', 'OPTIONS')

#GET请求,HEAD获取头部信息,OPTIONS获取可用请求类型设置为安全方法

#POST,PUT,PATCH,DELETE都会修改数据,没有加到这个元组

  

@six.add_metaclass(BasePermissionMetaclass)

class BasePermission(object):

    """

    A base class from which all permission classes should inherit.

    """

    def has_permission(self, request, view):

        """

        Return `True` if permission is granted, `False` otherwise.

        """

        return True

    def has_object_permission(self, request, view, obj):

        """

        Return `True` if permission is granted, `False` otherwise.

        """

        return True

#所有权限类都该继承它

#两个方法,has_perm,has_obj_perm

  

class AllowAny(BasePermission):

    """

    Allow any access.

    This isn't strictly required, since you could use an empty

    permission_classes list, but it's useful because it makes the intention

    more explicit.

    """

    def has_permission(self, request, view):

        return True

#允许任何访问

#不是严格需要,因为可以使用空的权限类,但它会使代码更清晰

  

class IsAuthenticated(BasePermission):

    """

    Allows access only to authenticated users.

    """

    def has_permission(self, request, view):

        return bool(request.user and request.user.is_authenticated)

#只要认证用户允许访问

#重写了has_permission方法,返回(用户为真)和(用户被认证为真)的与值

  

class IsAdminUser(BasePermission):

    """

    Allows access only to admin users.

    """

    def has_permission(self, request, view):

        return bool(request.user and request.user.is_staff)

#只允许管理员用户访问

#is_staff是users表里的一个字段

  

class IsAuthenticatedOrReadOnly(BasePermission):

    """

    The request is authenticated as a user, or is a read-only request.

    """

    def has_permission(self, request, view):

        return bool(

            request.method in SAFE_METHODS or

            request.user and

            request.user.is_authenticated

        )

#认证用户的请求,或者只读请求

#请求方法在SAFE_METHODS 这个元组里则返回True

#请求用户为认证用户也返回True

  

class DjangoModelPermissions(BasePermission):

    """

    The request is authenticated using `django.contrib.auth` permissions.

    See: https://docs.djangoproject.com/en/dev/topics/auth/#permissions

    It ensures that the user is authenticated, and has the appropriate

    `add`/`change`/`delete` permissions on the model.

    This permission can only be applied against view classes that

    provide a `.queryset` attribute.

    """

    # Map methods into required permission codes.

    # Override this if you need to also provide 'view' permissions,

    # or if you want to provide custom permission codes.

    perms_map = {

        'GET': [],

        'OPTIONS': [],

        'HEAD': [],

        'POST': ['%(app_label)s.add_%(model_name)s'],

        'PUT': ['%(app_label)s.change_%(model_name)s'],

        'PATCH': ['%(app_label)s.change_%(model_name)s'],

        'DELETE': ['%(app_label)s.delete_%(model_name)s'],

    }

    authenticated_users_only = True

    def get_required_permissions(self, method, model_cls):

        """

        Given a model and an HTTP method, return the list of permission

        codes that the user is required to have.

        """

        kwargs = {

            'app_label': model_cls._meta.app_label,

            'model_name': model_cls._meta.model_name

        }

        if method not in self.perms_map:

            raise exceptions.MethodNotAllowed(method)

        return [perm % kwargs for perm in self.perms_map[method]]

    def _queryset(self, view):

        assert hasattr(view, 'get_queryset') \

            or getattr(view, 'queryset', None) is not None, (

            'Cannot apply {} on a view that does not set '

            '`.queryset` or have a `.get_queryset()` method.'

        ).format(self.__class__.__name__)

        if hasattr(view, 'get_queryset'):

            queryset = view.get_queryset()

            assert queryset is not None, (

                '{}.get_queryset() returned None'.format(view.__class__.__name__)

            )

            return queryset

        return view.queryset

    def has_permission(self, request, view):

        # Workaround to ensure DjangoModelPermissions are not applied

        # to the root view when using DefaultRouter.

        if getattr(view, '_ignore_model_permissions', False):

            return True

        if not request.user or (

           not request.user.is_authenticated and self.authenticated_users_only):

            return False

        queryset = self._queryset(view)

        perms = self.get_required_permissions(request.method, queryset.model)

        return request.user.has_perms(perms)

#使用django.contrib.auth权限认证请求

#确保用户被认证,并且在model上拥有合适的add,change,delete的权限

#只有在有queryset属性的类视图上使用

#

#perms_map

#映射方法到权限码

#如果要提供view权限,或者自定义权限码,重写它

#每个method对应一个列表,格式是app_label.codename,比如cmdb.add_gameid

#

#get_required_permissions

#输入一个model和http方法

#如果method没有在perms_map映射表,则抛出错误

#返回权限列表

#

#_queryset

#检查视图中有没有queryset属性或者get_queryset方法,没有则报错。

#

#has_permission

#检查有没有权限

#如果view中定义_ignore_model_permissions则直接返回True

#如果账户没有认证,则返回False

#将用户拥有的权限返回

  

class DjangoModelPermissionsOrAnonReadOnly(DjangoModelPermissions):

    """

    Similar to DjangoModelPermissions, except that anonymous users are

    allowed read-only access.

    """

    authenticated_users_only = False

#继承自DjangoModelPermissions

#改变一个参数,允许匿名用户的只读访问

  

全局设置

    'DEFAULT_PERMISSION_CLASSES': (

        'rest_framework.permissions.AllowAny',

    ),

#在rest_framework/settings.py中,默认的权限配置AllowAny

REST_FRAMEWORK = {

    ...

    'DEFAULT_PERMISSION_CLASSES': (

        'rest_framework.permissions.DjangoModelPermissions',

    ),

}

#可以在项目的settings中,修改为DjangoModelPermissions,这是最常用的

  

局部设置

  只允许认证用户访问,只对这个viewset生效

from rest_framework.permissions import IsAuthenticated

class SvrconfigViewSet(viewsets.ReadOnlyModelViewSet):

    """

    retrieve:

        返回指定信息

    list:

        返回列表

    """

    queryset = Svrconfig.objects.all()

    serializer_class = SvrconfigSerializer

    permission_classes = (IsAuthenticated,)

#给一个视图集设置权限,只有认证用户可以访问

#没有用户信息,会出现401错误

  

get权限

在DjangoModelPermissions中,默认get是不需要权限的,但业务中的查看一般是需要权限的所以需要重写。

project/permissions.py

#重建权限映射

from rest_framework.permissions import DjangoModelPermissions

class Permissions(DjangoModelPermissions):

    perms_map = {

        'GET': ['%(app_label)s.view_%(model_name)s'],

        'OPTIONS': [],

        'HEAD': [],

        'POST': ['%(app_label)s.add_%(model_name)s'],

        'PUT': ['%(app_label)s.change_%(model_name)s'],

        'PATCH': ['%(app_label)s.change_%(model_name)s'],

        'DELETE': ['%(app_label)s.delete_%(model_name)s'],

    }

  

settings.py

REST_FRAMEWORK = {

    ...

    'DEFAULT_PERMISSION_CLASSES': (

        'project.permissions.Permissions',

    ),

}

  

  

DRF教程9-权限的更多相关文章

  1. revel框架教程之权限控制

    Go语言实战 - revel框架教程之权限控制 一个站点上面最基本都会有三种用户角色,未登录用户.已登录用户和管理员.这一次我们就来看看在revel框架下如何进行权限控制. 因为revel是MVC结构 ...

  2. DRF 认证、权限、限制

    DRF 认证.权限.限制   认证: 定义一个用户表和一个保存用户的Token表 # ======================day96======================= class ...

  3. DRF内置权限组件之自定义权限管理类

    DRF内置权限组件permissions 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问. 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object( ...

  4. drf 教程

    1, 序列化 Serialization 创建一个新环境 在做其他事之前,我们会用virtualenv创建一个新的虚拟环境.这将确保我们的包配置与我们正在工作的其他项目完全隔离. virtualenv ...

  5. drf 认证、权限、限流、过滤、排序、分页器

    认证Authentication 准备工作:(需要结合权限用) 1. 需要使用到登陆功能,所以我们使用django内置admin站点并创建一个管理员. python manage.py creates ...

  6. django框架-DRF工程之权限功能

    1.相对于flask,原生而言django,DRF做的则更加的合理化,想要给予用户相应的权限,首先需要在settings中进行配置 REST_FRAMEWORK = { 'DEAFAULT_PERMI ...

  7. 06.drf(django)的权限

    默认配置已经启用权限控制 settings 'django.contrib.auth', 默认 migrate 会给每个模型赋予4个权限,如果 ORM 类不托管给django管理,而是直接在数据库中建 ...

  8. drf认证、权限、限流

    认证Authentication(5星) 认证逻辑及编写步骤 逻辑 认证类:用来校验用户是否登录,如果登录了,继续往下走,如果没有登录,直接返回 编写步骤 -第一步:写一个类,继承BaseAuthen ...

  9. Go语言实战 - revel框架教程之权限控制

    一个站点上面最基本都会有三种用户角色,未登录用户.已登录用户和管理员.这一次我们就来看看在revel框架下如何进行权限控制. 因为revel是MVC结构的,每一个url其实都会映射到一个具体的Cont ...

  10. [django]drf知识点梳理-权限

    用户 - 权限 - 资源 (拥有) (绑定) django权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵活:用好权限机制,能让系统更加强大和健壮 django权限控制 Djan ...

随机推荐

  1. POJ1185 炮兵阵地 —— 状压DP

    题目链接:http://poj.org/problem?id=1185 炮兵阵地 Time Limit: 2000MS   Memory Limit: 65536K Total Submissions ...

  2. nginx日志输出参数记录

    摘自: http://www.cnblogs.com/LoveJulin/p/5082363.html nginx服务器日志相关指令主要有两条,一条是log_format,用来设置日志格式,另外一条是 ...

  3. HDU 2643 Rank:第二类Stirling数

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=2643 题意: 有n个个选手参赛,问排名有多少种情况(可以并列). 题解: 简化问题: 将n个不同的元素 ...

  4. 单元测试:TESTNG和powermock的使用

    pom文件: <properties>        <testng.version>6.8</testng.version>        <powermo ...

  5. 时间序列数据库——索引用ES、聚合分析时加载数据用什么?docvalues的列存储貌似更优优势一些

    加载 如何利用索引和主存储,是一种两难的选择. 选择不使用索引,只使用主存储:除非查询的字段就是主存储的排序字段,否则就需要顺序扫描整个主存储. 选择使用索引,然后用找到的row id去主存储加载数据 ...

  6. P3515 [POI2011]Lightning Conductor[决策单调性优化]

    给定一序列,求对于每一个$a_i$的最小非负整数$p_i$,使得$\forall j \neq i $有$ p_i>=a_j-a_i+ \sqrt{|i-j|}$. 绝对值很烦 ,先分左右情况单 ...

  7. C++的函数重载与C参数个数不一致时的编译

    C++的函数重载意味着函数名和返回值类型相同,但是参数个数和/或类型不同.在编译过程中编译器一般会把各个参数的类型连接到函数名内组成新的函数名,以区分各个重载函数. C语言不支持函数重载.但是有时候虽 ...

  8. C++与UnrealScript脚本交互

    转自:http://m.blog.csdn.net/blog/qweewqpkn/39932499 一.c++调用uc脚本中的函数 举例: 1. 在脚本MenuManager.uc文件中实现函数: e ...

  9. android自动连接指定wifi

    public class WifiAutoConnectManager { private static final String TAG = WifiAutoConnectManager.class ...

  10. HDU-5979

    Convex Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Others)Total Subm ...