DRF之权限组件

最新推荐文章于 2025-08-16 17:02:07 发布
最新推荐文章于 2025-08-16 17:02:07 发布
阅读量553 收藏 4
点赞数 9
CC 4.0 BY-SA版权
文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2404_89710001/article/details/144549352

  • 认证组件 = [认证类,认证类,认证类,] -> 执行每一个认证类的authenticate方法

    • 认证成功或失败,不会再执行后续的认证类

    • 返回None,执行后续认证类

  • 权限组件 = [权限类,权限类,权限类,] -> 执行所有权限类的has_permission方法,返回True通过,返回False不通过

    • 执行所有的权限类

默认情况下,要保证所有的权限类中的has_permission方法都返回True,即的关系

掌握源码流程后,可以扩展+自定义,实现其他逻辑

1. 快速使用

  • 编写类
class BasePermission(metaclass=BasePermissionMetaclass):
    """
    A base class from which all permission classes should inherit.
    """

    def has_permission(self, request, view):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

阅读源码可知,自定义的权限类的has_permission应返回True或False来表示是否有权限

# ext/
from rest_framework.permissions import BasePermission
import random


class MyPermission(BasePermission):
    def has_permission(self, request, view):
        # 获取请求中的数据,然后进行校验...
        v1 = random.randint(1, 3)
        if v1 == 2:
            return True
        return False
  • 应用类

全局应用 在settings.py中配置

局部应用 在视图函数中定义permission_classes = []参数

根据业务需求灵活配置

2. 错误信息和多个权限类

  • 在权限类中自定义错误信息message
class MyPermission(BasePermission):
    message = {"status": False, "msg": "无权访问"}

    def has_permission(self, request, view):
        # 获取请求中的数据,然后进行校验...
        v1 = random.randint(1, 3)
        if v1 == 2:
            return True
        return False

左图为默认错误信息,右图为自定义错误信息

  • 多个权限类

api/per.py

from rest_framework.permissions import BasePermission


class MyPermission1(BasePermission):
    message = {"status": False, "msg": "无权访问"}

    def has_permission(self, request, view):
        print("MyPermission1")
        return False


class MyPermission2(BasePermission):
    message = {"status": False, "msg": "无权访问"}

    def has_permission(self, request, view):
        print("MyPermission2")
        return False


class MyPermission3(BasePermission):
    message = {"status": False, "msg": "无权访问"}

    def has_permission(self, request, view):
        print("MyPermission3")
        return False

api/views.py

from rest_framework.views import APIView
from rest_framework.response import Response
from ext.per import MyPermission1, MyPermission2, MyPermission3


class OrderView(APIView):
    authentication_classes = []
    permission_classes = [MyPermission1, MyPermission2, MyPermission3]

    def get(self, request):
        print(request.user, request.auth)
        return Response({"status": True, "data": [11, 22, 33, 44]})

终端只打印了MyPermission1

说明程序会按顺序校验每个权限类,一旦有一个返回False即校验不通过,则不再校验后续权限类,只有通过每一个权限类的校验才算有权限访问

3. 源码流程

as_view()等方法的调用在认证组件中已详细阐明,此处直接从dispatch()方法开始

class APIView(View):
    permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES  # 权限组件的全局配置

    def permission_denied(self, request, message=None, code=None):
        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated()
        raise exceptions.PermissionDenied(detail=message, code=code)

    def get_permissions(self):
        # 获取权限类对象的列表
        return [permission() for permission in self.permission_classes]

    def check_permissions(self, request):
        # 循环每一个权限类对象,判断权限校验是否通过
        for permission in self.get_permissions():
            # 如果未通过,则抛出异常在dispatch中捕获
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request,
                    message=getattr(permission, 'message', None),
                    code=getattr(permission, 'code', None)
                )

    def initial(self, request, *args, **kwargs):
        self.perform_authentication(request)  # 认证组件的过程,循环执行每个authenticate方法;失败则抛出异常不向下执行
        self.check_permissions(request)  # 权限的校验
        self.check_throttles(request)

    def dispatch(self, request, *args, **kwargs):
        # 封装drf的request
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
            self.initial(request, *args, **kwargs)
            # 反射获取get/post等方法
            handler = getattr(self, request.method.lower(), self.http_method_not_allowed)
            # 执行相应方法
            response = handler(request, *args, **kwargs)
        # 异常处理
        except Exception as exc:
            response = self.handle_exception(exc)
        self.response = self.finalize_response(request, response, *args, **kwargs)
        return self.response


class OrderView(APIView):
    permission_classes = [MyPermission1, MyPermission2, MyPermission3]  # 权限组件的局部配置

    def get(self, request):
        print(request.user, request.auth)
        return Response({"status": True, "data": [11, 22, 33, 44]})

4. 组件的拓展

通过源码可以知道,在check_permissions中,只要有一个权限类校验不通过就是无权访问,那么如何才能实现拓展,使其满足只要有一个权限类通过就是有权限呢?显而易见需要重写check_permissions方法

class OrderView(APIView):
    authentication_classes = []
    permission_classes = [MyPermission1, MyPermission2, MyPermission3]

    def get(self, request):
        print(request.user, request.auth)
        return Response({"status": True, "data": [11, 22, 33, 44]})

    def check_permissions(self, request):
        no_permission_objects_list = []
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                return
            else:
                no_permission_objects_list.append(permission)
        else:
            self.permission_denied(
                request,
                message=getattr(no_permission_objects_list[0], 'message', None),
                code=getattr(no_permission_objects_list[0], 'code', None)
            )

OrderView视图中重写check_permissions方法,则在权限校验的生命周期中,自定义的check_permissions便覆盖了APIView中的默认check_permissions实现逻辑,达到自定义拓展的效果

自定义的check_permissions实现了一旦某一权限类校验通过,就不再进行后续校验。若所有类均未通过,则返回第一个未通过的类的错误信息

由此可见学习源码的重要性,不仅可以学习源码中优秀的代码编写方式,还可以在原有逻辑的基础上进行拓展

上述是修改一个视图函数的权限校验逻辑,如何应用到其他视图呢?

可以自定义一个NbApiView的类,继承APIView并且重写check_permissions,之后要实现或逻辑的权限认证的视图只需继承NbApiView即可

  • ext/view.py
from rest_framework.views import APIView


class NbApiView(APIView):
    def check_permissions(self, request):
        no_permission_objects_list = []
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                return
            else:
                no_permission_objects_list.append(permission)
        else:
            self.permission_denied(
                request,
                message=getattr(no_permission_objects_list[0], 'message', None),
                code=getattr(no_permission_objects_list[0], 'code', None)
            )
  • api/views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from ext.per import MyPermission1, MyPermission2, MyPermission3
from ext.view import NbApiView


class OrderView(NbApiView):
    authentication_classes = []
    permission_classes = [MyPermission1, MyPermission2, MyPermission3]

    def get(self, request):
        print(request.user, request.auth)
        return Response({"status": True, "data": [11, 22, 33, 44]})
yn0t1me
关注
五、Drf权限组件
weixin_43631940的博客
10-02 997
drf权限组件的应用
drf-------权限组件
淘淘桃的博客
05-25 1337
大家都登录了,但有的功能(接口),只有超级管理员能做,有的功能所有登录用户都能做----》这就涉及到权限的设计了。# 咱们现在只是为了先讲明白,drf权限组件如何用,咱们先以最简单的为例。-查询所有图书:所有登录用户都能访问(普通用户和超级管理员)# 权限设计:比较复杂---》有acl,rbac,abac。-错误信息是self.message='字符串'-如果没有权限,就返回False。-如果有权限,就返回True。-删除图书,只有超级管理员能访问。-给其它用户设置的权限。# 权限类的使用步骤。
drf权限组件
weixin_55638841的博客
11-29 451
drf开发中,如果有些接口必须同时满足:A条件、B条件、C条件。有些接口只需要满足:B条件、C条件,此时就可以利用权限组件来编写这些条件。message = {"status": False, 'msg': "无权访问1"} # message使用详见源码分析部分message = {"status": False, 'msg': "无权访问2"}message = {"status": False, 'msg': "无权访问2"}
drf 权限组件
go|Python的个人博客
03-12 505
文章目录drf 权限组件权限Permissions权限源码分析自定义权限的使用内置权限 drf 权限组件 权限Permissions 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行模型对象访问权限的判断 权限源码分析 源码路径: APIView---->dispatch---->initial—>self.check_permissions(r
DRF权限组件源码分析
Chimengmeng的博客
09-18 133
【一】权限组件介绍 Django REST framework(DRF)中的权限组件用于控制API的访问权限DRF内置了多个常用的权限类,同时也允许你创建自定义的权限类以满足特定需求。 【二】内置权限类 IsAuthenticated:要求用户在访问API时进行身份验证,即用户必须登录。 IsAdminUser:要求用户是管理员。 IsAuthenticatedOrReadOnly:要...
Django DRF权限组件
知远同学的博客
11-20 546
Djangodrf框架内的权限组件,如果遇到多个权限认证类,是需要所有的权限类都要通过验证,才能访问视图。3、settings.py ,如果需要全局设置,可以如下设置。1、per.py 自定义权限类。
DRF之认证权限组件
kuokay的博客
11-08 337
一. 认证Authentication 1.在settings中配置 from rest_framework import settings中可以看到它默认使用的 在settings配置文件中,我们可以进行下面的配置来覆盖默认配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( #哪个写在前面,优先使用哪个认证 'rest_framework.authentication.SessionAuthenticat
DRF权限组件案例
2404_89710001的博客
12-19 365
本篇文章是对DRF权限组件的应用,关于权限组件的知识点,请查看上一篇博文。
Django框架之DRF之认证组件权限组件,频率组件,token
python基础
07-07 923
一 认证组件: 使用方法: 1.写一个认证类,新建文件:my_auth.py class MyAuth(BaseAuthentication): def authenticate(self, request): from app01.views import produce_token #在url中发送token # token = requ...
drf之视图组件
NQ31
11-01 253
两个视图基类APIView、GenericAPIView 1、APIView类: APIView是REST framework提供的所有视图的基类,继承自Django的View父类。 APIView与View的不同之处在于: 传入到视图方法中的是REST framework的Request对象,而不是Django的HttpRequeset对象; 视图方法可以返回REST framewo...
drf-conditions:使用小型可重用组件构建 Django REST 框架权限
06-13
使用小型可重用组件构建 Django REST 框架权限。 要求 Python(2.7、3.3、3.4) Django (1.6, 1.7, 1.8) Django REST 框架(2.4、3.0、3.1) 安装 使用pip安装... $ pip install drf-conditions 例子 TODO:写...
一文学会DRF常用功能组件及API文档生成
Simple子夜
07-05 694
本章节将会熟悉DRF更多功能的使用,在我们编写API时能够省却大量不必要的重复代码,以及在整体上提升代码的可读性,降低维护成本。在编写代码时,避免过度重复造轮子,感兴趣可以多研究现有比较好用功能的源码,这将会是后续能够编写出高质量代码的铺垫。......
DRF 接口权限控制(源码剖析)
python_bobo的博客
06-20 560
一般我们给接口添加权限控制步骤如下: 写一个继承于rest_framework.permissions下的IsAuthenticated类或者同文件下其他类的类, 并重写其has_permission()方法 将步骤1写的类配置到settings中的REST_FRAMEWORK的DEFAULT_PERMISSION_CLASSES中(全局生效)或者配置到view的permission_classes中(单个view生效) 下面将用读源码的方式,解释其为什么要这么做 请求一个接口, 首先是通过路由找到我
Django - DRF - BasePermission 权限组件
LIN的博客
12-13 2613
目录 一、BasePermission - 用于拦截请求,在视图函数钱执行相应权限认证方法 1-1 drAuth.py - 权限类实现 1-2 视图函数 - 需要权限验证的类 - permission_classes 1-3 序列类 - 作为数据返回的序列化 - ModelSerializer 1-4 models内  choices优化  二、权限认证配置 - permission_...
PAT乙级_1080 MOOC期终成绩_Python_AC解法_含疑难点
最新发布
CongQianS1的博客
08-16 510
本文介绍了PAT乙级1080题"MOOC期终成绩"的Python解法。解题思路是:1) 读取三类成绩数据并存储到字典;2) 筛选编程成绩≥200分的学生;3) 按规则计算总评成绩并进行四舍五入;4) 对总评≥60分的学生按成绩降序、学号升序排序输出。文章特别指出测试点3的易错点在于四舍五入处理,当总评在[59.5,60)区间时应视为合格。解法采用字典存储成绩,集合管理学号,通过lambda表达式实现多条件排序,最终按要求格式化输出结果。
关于Win系统使用venv创建和管理虚拟环境
qq_43449643的博客
08-15 201
venv配置虚拟环境
Scrapy 基础框架搭建教程:从环境配置到爬虫实现(附实例)
weixin_43883508的博客
08-14 1185
本文详细介绍了Scrapy爬虫框架的搭建流程,从环境配置到完整爬虫实现。主要内容包括:1)Python环境准备与Scrapy安装;2)项目结构创建与核心文件功能解析;3)通过图书爬虫实例演示数据提取与页面跳转;4)数据模型定义与JSON存储管道实现;5)关键配置参数与调试技巧。文章提供完整代码示例,帮助开发者30分钟内搭建可扩展的爬虫框架,并给出反爬处理、性能优化等实用建议,适合Python开发者快速上手网页数据采集。
yolo安装
a1111111111ss的博客
08-15 262
我在cmd一直更新不了pip 一直说错误。我扭头去anaconda成功。
博客系统测试报告
mmy123yl的博客
08-13 938
1.该项目前端由4个页面构成:登录页,列表页,详情页以及编辑页,模拟简单的个人博客。在后端实现:登录,编辑博客,注销,删除博客等功能2.该项目没有设计用户注册功能,只能提前在数据库中存储用户信息,并检验是否能登录,并且前端将头像设置成静态,无法在页面上进行修改。3.个人博客系统可以实现简单的个人博客记录,如时间,标题,内容以及发布作者等可以进行查看。
django template 可以使用drf哪些组件
04-05
Django REST framework(DRF)的组件可以在Django模板中使用,包括: 1. Serializer:序列化器用于将复杂的数据结构转换为简单的JSON,以便在模板中显示。 2. Viewsets:视图集是DRF的一种视图类,可以快速创建RESTful API视图。可以在Django模板中使用视图集。 3. Response:DRF的Response类提供了一种更方便的方式来构建HTTP响应,可以在Django模板中使用。 4. Authentication:DRF的身份验证类可以在Django模板中使用,以便在需要身份验证的API中使用。 5. Permissions:DRF权限类可以在Django模板中使用,以便在需要权限控制的API中使用。 6. Pagination:DRF的分页类可以在Django模板中使用,以便在需要分页的API中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值