drf权限(1)

已于 2022-02-09 19:02:11 修改
阅读量390 收藏
点赞数
分类专栏: drf
于 2022-02-09 18:58:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a35155/article/details/122847788
版权

自定义权限 Django Rest Framework has_permission BasePermission 权限验证
关键词由优快云通过智能技术生成

流程

执行initial()方法

def initial(self, request, *args, **kwargs):
    """
    Runs anything that needs to occur prior to calling the method handler.
    """
    self.format_kwarg = self.get_format_suffix(**kwargs)

    # Perform content negotiation and store the accepted info on the request
    neg = self.perform_content_negotiation(request)
    request.accepted_renderer, request.accepted_media_type = neg

    # Determine the API version, if versioning is in use.
    version, scheme = self.determine_version(request, *args, **kwargs)
    request.version, request.versioning_scheme = version, scheme

    # Ensure that the incoming request is permitted
    # 身份认证
    self.perform_authentication(request)
    # 检查权限
    self.check_permissions(request)
    # 流量限速
    self.check_throttles(request)

执行check_permissions()方法

def check_permissions(self, request):
    """
    Check if the request should be permitted.
    Raises an appropriate exception if the request is not permitted.
    """

    # 1.循环对象get_permissions方法的结果,如果自己没有,则去父类寻找
    for permission in self.get_permissions():

        # 2.判断每个对象中的has_permission方法返回值(其实就是权限判断),这就是为什么我们需要对权限类定义has_permission方法
        if not permission.has_permission(request, self):
            # 3. 返回无权限信息,也就是我们定义的message共有属性
            self.permission_denied(
                request, message=getattr(permission, 'message', None)
            )

去循环遍历self.get_permissions方法的结果。

get_permissions()方法

def get_permissions(self):
    """
    Instantiates and returns the list of permissions that this view requires.
    """
    return [permission() for permission in self.permission_classes]

这里将类权限类实例化和认证一样,循环遍历获得每个认证类的实例,
返回实例列表生成式,如果在视图类中没有的写的话,就会去默认的setting配置中找

permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES

在check_permissions看到

if not permission.has_permission(request, self):
    self.permission_denied(
        request, message=getattr(permission, 'message', None)
    )

如果实例permission的has_permission方法为空,就执行permission_denied方法

self.permission_denied()

def permission_denied(self, request, message=None):
    """
    If request is not permitted, determine what kind of exception to raise.
    """
    # 如果不允许请求,请确定引发哪种异常。
    if request.authenticators and not request.successful_authenticator:
        raise exceptions.NotAuthenticated()
    # 如果定义了message属性,则抛出属性值
    raise exceptions.PermissionDenied(detail=message)

这里意思是请求不允许就抛异常,到这里其实就结束了
如果有这个权限认证就过,没有就抛出异常

内置权限验证类

rest_framework.permissions

##基本权限验证
class BasePermission(object)

##允许所有
class AllowAny(BasePermission)

##基于django的认证权限,官方示例
class IsAuthenticated(BasePermission):

##基于django admin权限控制
class IsAdminUser(BasePermission)

##也是基于django admin
class IsAuthenticatedOrReadOnly(BasePermission)


- 自定义权限流程
    - 继承BasePermission类(推荐)
    - 重写has_permission方法
    - has_permission方法返回True表示有权访问,False无权访问

.....等等

基本的权限类供我们一些基础需求,但是我们更多的是需要自己单独写权限。

下面我们看下使用方法,基本的单独写权限

使用方法

内部类使用

##单一视图使用,为空代表不做权限验证
class MenuViewSet(ModelViewSet, TreeAPIView):
    permission_classes = [MyPremission,]

全局使用

REST_FRAMEWORK = {
   #权限
    "DEFAULT_PERMISSION_CLASSES":['API.utils.permission.MyPremission'],
}

优先级

单一视图(内部类) > 全局配置(全局)

DRF | 针对指定的接口设置权限
weixin_34114823的博客
03-31 1539
描述 针对同一个 view,对不同的接口设置不同的权限 看了 DRF views 源码: def initial(self, request, *args, **kwargs): """ Runs anything that needs to occur prior to calling the method handl...
python def initialize()_Python中对象的初始化方法和内置方法,python
weixin_39626181的博客
12-05 2294
初始化方法当使用 类名() 创建对象的时,会自动执行以下操作:1.为对象在内存中分配空间---------创建对象2.为这个对象的属性设置初始值----初始化方法(init)这个初始化方法就是__init__方法,__init__是对象的内置方法__init__方法是专门用来定义一个类具有哪些属性的方法class Cat:def __init__(self):print("这是一个初始化方法")#...
django get_permissions 使用方法
Morgan Wang 的博客
08-10 1232
# permissions = (permissions.IsAuthenticated,) # 用户登录后才能获取详情,但用户注册也要求该权限,不可行 def get_permissions(self): """ 动态设置不同action不同的权限类列表 """ if self.action == 'retrieve'...
pythondef _init_是什么意思_python内置列表的__init__方法下面的初始化过程是什么...
weixin_39686230的博客
11-24 221
My question is will the init method of list class calling other method such as append or insert to achieve its functionality.like:class test(list):def __init__(self,values):super().__init__()def appen...
pythonpython函数
小菜一枚
05-28 888
1、之前使用过的内建函数: len(字符串变量) range(a,b,c) int(可转化成整数的字符串) 2、def 函数用关键字def定义,之后跟函数的名称,再跟圆括号,括号内可以有参数列表,再跟冒号结束。另起一行是函数体。 ------------ #C:/Python33/HwhCode #Filename: controlStream.py def sayHello()
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与DRF 3.x构建的。该项目采用Python语言编写,包含49个文件,其中Python源文件占45个,另外还包括.gitignore、SQL脚本、Markdown文档及文本文件各一个。本项目名...
drf:认证及权限
qq_39787513的博客
01-24 1343
drf:认证及权限一、认证Authentication1、全局认证2、局部认证二、权限1、全局权限2、局部权限三、测试 一、认证Authentication 在drf中我们还可以进行权限和认证操作,我们先来看看认证 1、全局认证 全局认证我们只需在django配置文件中加入一个字典即可: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthenti
drf-------权限组件
淘淘桃的博客
05-25 1314
大家都登录了,但有的功能(接口),只有超级管理员能做,有的功能所有登录用户都能做----》这就涉及到权限的设计了。# 咱们现在只是为了先讲明白,drf权限组件如何用,咱们先以最简单的为例。-查询所有图书:所有登录用户都能访问(普通用户和超级管理员)# 权限设计:比较复杂---》有acl,rbac,abac。-错误信息是self.message='字符串'-如果没有权限,就返回False。-如果有权限,就返回True。-删除图书,只有超级管理员能访问。-给其它用户设置的权限。# 权限类的使用步骤。
Django(63)drf权限源码分析与自定义权限
weixin_43880991的博客
06-14 483
前言 上一篇我们分析了认证的源码,一个请求认证通过以后,第二步就是查看权限了,drf默认是允许所有用户访问 权限源码分析 源码入口:APIView.py文件下的initial方法下的check_permissions def check_permissions(self, request): """ 检查是否应允许该请求。如果请求不被允许,则引发适当的异常。 """ ...
DRF框架讲解(深入DRF机制和原理)
11-22
DRF 是 Django 生态系统中的重要组成部分,它简化了 API 的开发过程,提供了模型序列化、权限控制、格式化器、验证器和分页等功能。它的灵活性和可扩展性使得开发者能够快速地构建复杂的数据接口。 **二、序列化...
AttentionMechanism类
jiaqi71的博客
03-04 298
源代码 TensorFlow函数:tf.layers.Layer Luong-style 注意力机制有两种类型: ①standard Luong attention Effective Approaches to Attention-based Neural Machine Translation 2015 ②scaled form inspired partly by the normalize...
权限验证代码详解及自定义权限验证类
study_in的博客
12-08 1474
一、权限认证源码详解 1、进入dispatch 2、initial中self.check_permissions(request)进行权限验证 3、进入check_permissions for permission in self.get_permissions(): 4、进入get_permissions返回一个权限类的对象列表 [permission() for permission in...
java servlet 有参数的init方法和无参数的initial方法
JLG678的博客
10-10 2095
在servlet神马周期中,首先是构造firstservelt类,2调用有参数的init方法 但是在学习的时候,我们发现存在inti有参数和init无参数的两种方法 有参数是给服务器初始化servlet时调用的 public void init(ServletConfig config) throws ServletException {         this.config = con
假设已经存在函数 get_permissions可以获取当前用户的权限列表, 设计一个权限管理类,既可以作为装饰器,对一个函数授权,也可以作为上下文管理,对一段代码授权
lz270978971的博客
03-04 349
例如 permissions = get_permissions() if 'admin' in permissions: ## do somthings else: raise Exception('Permissions denied') 分析: 权限检查的一般都是用装饰器的方法实现 demo: def get_permissions(): return "ro...
Django基础(23): 权限管理(permissions)与用户组(group)详解
热门推荐
大江狗
11-27 4万+
如果你只是利用Django开发个博客,大部分用户只是阅读你的文章而已,你可能根本用不到本节内容。但是如果你想开发一个内容管理系统,或用户管理系统,你必需对用户的权限进行管理和控制。Django自带的权限机制(permissions)与用户组(group)可以让我们很方便地对用户权限进行管理。小编我今天就尝试以浅显的语言来讲解下如何使用Django自带的权限管理机制。 什么是权限? ...
安卓Permission权限请求
scimence的专栏
01-07 1万+
AndroidPermission,权限自动请求示例(所需权限被关闭时,会自动请求) 权限请求源码:(将应用的Activity设为PermissionActivity的子类,即可自动请求所需权限) package com.sc.demo; import android.os.Bundle; import com.sc.permission.PermissionActiv...
Android 读取一个已经安装的包的权限
Zy的技术心得
08-31 7361
最近,正好需要做一个获取已经安装的apk包的权限众所周知,Android的权限声明都是放在AndroidManifest.xml里面的uses-permission字段里 形如如果要获取这个标签中的内容我们需要用到如下的代码PackageManager pm= this.getPackageManager(); PackageInfo info; try { info = pm.getPackageInfo(getPackageName(), PackageManage
Python学习笔记(三)(程序流程控制)
最新发布
wsys_yysn的博客
04-24 776
条件语句:通过实现分支逻辑。循环语句for遍历序列,while满足条件时循环。流程控制break终止循环,continue跳过当前迭代,pass占位。异常处理保证程序健壮性。掌握这些流程控制工具,可以编写更灵活、高效的 Python 程序!
2025-04-22 李沐深度学习5 —— 线性回归
zheliku的博客
04-22 1347
​ 在美国买房时,买家需根据房屋信息(如卧室数量、卫生间数量、面积等)预测合理的成交价。输入数据:房屋特征(如X1=卧室数X2=卫生间数X3=面积输出目标:预测成交价Y。实际挑战:卖家的标价和网站估价(如Redfin)仅为参考,最终需通过竞价决定成交价,因此准确预测至关重要。​ 计算输入特征X\mathbf{X}X和模型权重w\mathbf{w}w的矩阵-向量乘法后加上偏置bbb。​ 注意,上面的XwXw是一个向量,而bbb是一个标量。
django drf 权限控制
05-30
Django REST framework (DRF) 提供了一些内置的权限类,可以用于控制 API 的访问权限。以下是一些常用的权限类: 1. `AllowAny`:允许所有用户访问 API。 2. `IsAuthenticated`:只有认证用户才能访问 API。 3. `IsAdminUser`:只有管理员用户才能访问 API。 4. `IsAuthenticatedOrReadOnly`:认证用户可以执行任何操作,未认证用户只能执行只读操作。 5. `DjangoModelPermissions`:基于 Django 模型的权限控制,只有拥有模型相关权限的用户才能执行相关操作。 6. `DjangoObjectPermissions`:基于 Django 模型对象的权限控制,只有拥有模型对象相关权限的用户才能执行相关操作。 下面是一个使用权限类的示例: ```python from rest_framework.permissions import IsAuthenticated from rest_framework.views import APIView from rest_framework.response import Response class MyAPIView(APIView): permission_classes = [IsAuthenticated] def get(self, request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 在上面的示例中,我们定义了一个 `MyAPIView` 类,并将其 `permission_classes` 属性设置为 `[IsAuthenticated]`。这意味着只有认证用户才能访问此 API。如果未认证用户尝试访问此 API,则会返回 401 Unauthorized 错误响应。 此外,您还可以在视图函数上使用 `@permission_classes` 装饰器来指定权限类。例如: ```python from rest_framework.decorators import permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @permission_classes([IsAuthenticated]) @api_view(['GET']) def my_view(request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 上面的示例中,我们使用 `@permission_classes` 装饰器将 `IsAuthenticated` 权限类应用于 `my_view` 函数。这样,只有认证用户才能访问此 API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值