rest_framework学习之“权限”

最新推荐文章于 2024-08-05 08:52:52 发布
最新推荐文章于 2024-08-05 08:52:52 发布
阅读量2.3k 收藏
点赞数
文章标签: python restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/New_boy25/article/details/103528137
版权
本文详细探讨了rest_framework中APIView的权限验证流程,从dispatch()到check_permissions(),讲解了如何通过has_permission方法判断权限。同时介绍了如何自定义权限类,包括必须实现的has_permission和has_object_permission方法。此外,还提到了全局权限验证的实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天我们来看看rest_framework的APIView的权限验证过程是怎么走的。
一、 与认证的入口相似,权限验证也是从APIView的dispatch()到initial()方法,再到check_permissions(),通过返回True或者False来判断请求是否通过了权限验证:
def initial(self, request, *args, **kwargs):
	self.format_kwarg = self.get_format_suffix(**kwargs)
	neg = self.perform_content_negotiation(request)
	request.accepted_renderer, request.accepted_media_type = neg
	version, scheme = self.determine_version(request, *args, **kwargs)
	request.version, request.versioning_scheme = version, scheme
	# 认证
	self.perform_authentication(request)
	# 权限
	self.check_permissions(request)
	# 节流
	self.check_throttles(request)
二、 在check_permissions方法中,遍历了视图的get_permissions方法的返回值(返回的是列表形式存储的权限验证类的实例),并运行它们的has_permission方法。
def check_permissions(self, request):
	for permission in self.get_permissions():  # get_permissions方法返回了权限类的列表推导式
		if not permission.has_permission(request, self):  # 遍历权限类并执行has_permission方法
			self.permission_denied(
				request, message=getattr(permission, 'message', None)
	)
  • get_permissions从定义的视图中拿到permission_classes(列表格式,可包含多个权限类),并使用列表推导式将实例化的对象存放在列表并返回给check_permissions使用。
def get_permissions(self):
	return [permission() for permission in self.permission_classes]
三、 如果权限类的has_permission返回True,那么本次循环不做任何操作,继续执行下一个权限类的has_permission方法。如果全部返回True,那么本次权限验证全部通过,否则执行视图的permission_denied方法,
def permission_denied(self, request, message=None):
	if request.authenticators and not request.successful_authenticator:
		raise exceptions.NotAuthenticated()
	raise exceptions.PermissionDenied(detail=message)  # 抛出权限拒绝的错误

可以在视图类中添加message属性来定制权限验证失败后返回的信息。

四、 由APIView源码可以知道,权限类可以在视图类的permission_classes中设定,以列表的格式。
from rest_framework.permissions import AllowAny
from rest_framework.authentication import BaseAuthentication

class MyView(APIView):
	authentication_classes = [BaseAuthentication,]  # 认证类
	permission_classes = [AllowAny,]  # 权限类
	def get(self, request, *args, **kwargs):
		…………

rest_framework中内置了8中认证类:BasePermission、AllowAny、IsAuthenticated、IsAdminUser、IsAuthenticatedOrReadOnly、DjangoModelPermissions、DjangoModelPermissionsOrAnonReadOnly、DjangoObjectPermissions。

五、 与认证类同理,权限类如果设置在项目的配置文件中,就有了全局权限验证的效果:
REST_FRAMEWORK = {
	"DEFAULT_AUTHENTICATION_CLASSES": ["rest_framework.authentication.BaseAuthentication",],  # 认证类
	"DEFAULT_PERMISSION_CLASSES": ["rest_framework.permissions.AllowAny"]  # 权限类
}
六、 如果想要自定义权限类,必须包含两个方法:has_permission(self, request, view)、has_object_permission(self, request, view, obj)。注意:方法中传递的参数也是不可省略的。
class Mypermissions(object):
	def has_permission(self, request, view):
		# VIP用户方可访问
		if request.user.group == 'VIP':
			return True
		return False
		
	def has_object_permission(self, request, view, obj):
		return True
New_boy25
关注
REST_FRAMEWORK权限permission
weixin_40310390的博客
08-03 738
REST_FRAMEWORK重要组件--->permission2.权限(permission) 2.权限(permission) (1).如果说认证是浏览器带token或者其他字段与后台字段建立起来的一座桥梁,那么权限就是穿越桥梁所遇到的     一个门槛。当你的权限很高时,你所能跨越的门槛就很高,即系统向你提供的信息就很多。相反,则只能看...
[Django] Django REST Framework(五): Authentication和Permissions
FightFightFight的博客
08-24 1586
概述 在介绍Django REST Framework(二):Request和Response 时提到,DRF提供了对身份验证和权限的处理机制,特点如下: 1.对API的不同部分使用不同的认证策略; 2.支持多种身份验证策略; 3.对每个请求提供了用户和token信息。 在这篇文章中,将对身份验证和权限进行总结。使用时需要导入对应包: from rest_framework imp...
Django REST Framework(十八)认证
yjjpp2301的专栏
08-05 627
我们可以通过创建自定义认证类来实现项目特定的认证需求。"""自定义认证类"""try:return (user, None) # 返回格式必须是 (user, auth) 或 None自定义权限类可以让你根据特定条件来控制访问权限"""自定义权限"""通过以上详细的示例,可以更好地理解如何在 Django REST framework 中配置和应用权限和认证。这包括全局配置、自定义认证和权限类、在视图中应用这些类以及配置路由。
drf - Django Rest Framework Permissions权限验证详解
weixin_51098806的博客
03-24 3788
来我的GitHub来看更多关于DRF的资料吧 十分钟学会DRF的企业级用法 官方解释: 权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求中的身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权 限用于授予或拒绝不同类型的用户对API不同部分的访问。 最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架中的IsAuthenticated类。 其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继
restframework(二)
小白
05-23 936
restframework 认证 基础使用 class Authentication(BaseAuthentication): """用户验证""" def authenticate(self, request): token = request.GET.get('token', None) token_obj = Token.ob...
PyPI 官网下载 | styler_rest_framework-1.4.2.tar.gz
01-16
《PyPI官网下载:styler_rest_framework-1.4.2.tar.gz——深入解析Python库的构建与发布》 PyPI(Python Package Index)是Python社区的重要资源库,它为全球Python开发者提供了一个集中分享和下载Python软件包的...
Python库 | bluedot_rest_framework-1.0.6-py3-none-any.whl
02-17
**Python库bluedot_rest_framework 1.0.6版详解** `bluedot_rest_framework`是一个基于Python的开源库,专为开发RESTful API设计。REST(Representational State Transfer)是一种架构风格,广泛用于构建Web服务,...
使用django的rest_framework_jwt实现权限认证
qq_45632139的博客
05-22 1376
1、JWT简介 JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(Self-contained) 负载中包含了所有用户所需要的信息,避免了多次查询数据库 2.JWT的组成 一个JWT由三个部分组成:header,
Django-REST_FRAMEWORK
Wednesdayi的博客
06-24 554
目录 DRF REST是Representational State Transfer的简称,中文翻译为“表征状态转移”或“表现层状态转化”。 十条RESTful API设计指南 1、数据的安全保障 url一般采用https协议进行传输,可以提高数据交互过程中安全性 2、接口特征表现 使用api关键字标识接口url,代表该url是完成前后台数据交互的 3、多数据版本共存 当一种数据资源有多个版本,应在url中标识数据版本 4、数据即资源 均使用名词复数表示数据资源 5、请求方式决定资源的操作方式
python使用rest_framework写接口文件
日常博客
04-11 1813
rest_framework官方网站:http://www.django-rest-framework.org1、安装pip install djangorestframework2、在settings.py里添加配置INSTALLED_APPS += ['rest_framework']INSTALLED_APPS += ['rest_framework.auth...
python测试开发django-rest-framework-61.权限认证(permission)
weixin_30443895的博客
09-14 339
前言 用户登录后,才有操作当前用户的权限,不能操作其它人的用户,这就是需要用到权限认证,要不然你登录自己的用户,去操作别人用户的相关数据,就很危险了。 authentication是身份认证,判断当前用户的登录方式是哪种认证方式 permissions 是权限认证,判断哪些用户有操作权限 authentication身份认证 身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)...
Permissions
Nancy 博客
12-19 2145
权限 (Permissions) 认证或识别本身通常不足以获得对信息或代码的访问。为此,请求访问的实体必须具有授权。—— Apple 开发人员文档 与身份验证和限流一起,权限确定是否应该授予或拒绝访问请求。 在允许任何其他代码继续之前,权限检查始终在视图的最开始运行。权限检查通常会使用 request.user 和 request.auth 属性中的认证信息来确定是否允许传入请求。 权限用于授予或...
Django REST 框架详解 09 | 权限组件
Baimoc
05-21 1236
文章目录一、权限组件1. 分析源码2. 全局配置权限3. 局部配置权限4. 接口测试二、自定义权限类1. 代码实现2. 测试接口 一、权限组件 1. 分析源码 通过分析源码了解权限组件的方法调用过程 APIView 的 dispatch 中使用 initial 方法实现初始化并进行三大认证,第二步进行权限组件调用 rest_framework/views.py class APIView(View): # ... # 定义默认权限类 permission_classes = api_
权限 - Permissions - 自定义
weixin_41957017的博客
11-17 2536
分类 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 提供的权限分类(不够用,就自定义) AllowAny 允许所有用户 IsAuthenticated 仅通过认证的用户 IsAdminUser 仅管理员用户 IsAuthentic...
权限Permissions
qq_60976312的博客
12-08 362
权限Permissions
Django restframework permission 权限
水野与小太郎的博客
12-05 1224
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性中的身份验证信息来确定是否允许传入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架中的权限和认证一样:为权限类列表。 在运行视图主体之前,将检查列表中的每个权限。如...
Django REST framework drf permission_classes permission Apiview权限管理
sinat_33384251的博客
12-03 1042
permission_classes 这个一旦设置 默认的权限管理 就失效了,需要添加验证的 都要加入permissions.IsAuthenticated class AutoCallView(APIView): """ 自动循环呼出 """ # authentication_classes = [authentication.TokenAuthentication] authentication_classes = [SessionAuthenticati
restframework权限,认证,限流配置
ACAMPUS
12-08 2943
认证Authentication DRF框架的默认全局认证方案如下: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', # session认证 'rest_framework.aut...
笔记: Django Rest Framework 权限类Permission自定义 使用流程概述
05-13 1659
目的: 为不同的试图 用不同的权限访问 只要写上一个类,权限类,然后在views中引入就可以了,套路和上面的权的是一样的模式 如下所以: 写的权限类: has_permission()返回True表示权限认证成功,返回False表示权限不通过,这个函数同时有三个参数,最后一个是view, 这个是在源码中规定的 注意里面的message #下面是权限的代码, 没有继承restframework类中的任何一个类 class MyPermission(object): message = '这里可以定制返
django_rest_framework jwt
最新发布
01-20
'rest_framework_jwt.authentication.JSONWebTokenAuthentication', 'rest_framework.authentication.SessionAuthentication', 'rest_framework.authentication.BasicAuthentication', ), } ``` 安装必要的包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值