DRF 接口权限控制(源码剖析)

最新推荐文章于 2025-03-26 23:02:04 发布
最新推荐文章于 2025-03-26 23:02:04 发布
阅读量548 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: python 文章标签: django python 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/python_bobo/article/details/118071690
本文介绍了在Django Rest Framework(DRF)中为接口添加权限控制的步骤,并通过源码分析解释了权限控制的工作原理。从创建自定义权限类,到配置全局或特定视图的权限,再到详细讲解请求处理流程,特别是`dispatch`和`initial`方法如何调用`check_permissions`,最终执行`has_permission`进行权限检查。当任一权限类返回False时,系统将触发`permission_denied`。同时,文章强调了配置顺序对权限控制的影响,即单个视图和全局设置的生效规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一般我们给接口添加权限控制步骤如下:

  1. 写一个继承于rest_framework.permissions下的IsAuthenticated类或者同文件下其他类的类, 并重写其has_permission()方法
  2. 将步骤1写的类配置到settings中的REST_FRAMEWORK的DEFAULT_PERMISSION_CLASSES中(全局生效)或者配置到view的permission_classes中(单个view生效)

下面将用读源码的方式,解释其为什么要这么做

  • 请求一个接口, 首先是通过路由找到我们接口对应的view
  • 在路由文件中(url.py)会调用view的as_view()方法
  • 我们view类继承于drf的APIView, 可以看到这个函数主要是调用了super().as_view()
  • drf的APIView继承Django的View, 其主要是调用了self的dispatch()方法
  • 这里的self要注意, 每次取self的方法都是从最外层的子类中找, 子类中没有的话, 再找其父类
最低0.47元/天 解锁文章
drf:认证及权限
qq_39787513的博客
01-24 1362
drf:认证及权限一、认证Authentication1、全局认证2、局部认证二、权限1、全局权限2、局部权限三、测试 一、认证Authentication 在drf中我们还可以进行权限和认证操作,我们先来看看认证 1、全局认证 全局认证我们只需在django配置文件中加入一个字典即可: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthenti
Django REST Framework 认证机制流程源码深度解析 ​​——从请求到鉴权的完整执行链路拆解​
最新发布
YAnt的博客
05-28 632
本文深入剖析Django REST Framework的认证系统实现机制。认证流程从APIView的dispatch方法发起,经过request对象初始化后,通过perform_authentication()触发认证链。
DRF权限】
weixin_30521649的博客
12-25 243
目录 权限的详细用法 我们都听过权限,那么权限到底是做什么的呢. 我们都有博客,或者去一些论坛,一定知道管理员这个角色, 比如我们申请博客的时候,一定要向管理员申请,也就是说管理员会有一些特殊的权利,是我们没有的. ==这些对某件事情决策的范围和程度,我们叫做权限==,权限是我们在项目开发中经常用到的. 本文将详细...
【后端】【Django DRF】从零实现RBAC 权限管理系统
qq_59344127的博客
03-26 762
RBAC是一个核心功能,尤其是在多用户系统中,需要精细化控制不同用户的访问权限。使用 Django Rest Framework。处理 API 逻辑,提供。继承 Django 的。用户登录后,前端可根据。,实现精细化权限管理。
DRF 权限
zhushixia1989的博客
07-12 458
DRF权限控制
weixin_33726943的博客
12-13 347
DRF权限控制 前提:你的用户表中需要有权限的字段,下面的权限的字段是user_type 1.写一个权限控制类 from rest_framework import exceptions from app01 import models from rest_framework.permissions import BasePermission class Userpermission(Basepe...
20. drf权限管理
细致-专业-实操
04-12 1530
示例一: 登录了能访问视图 from .serializers import UserSerializer from rest_framework import viewsets from django.contrib.auth import get_user_model from django_filters.rest_framework import DjangoFilterBackend from rest_framework.authentication import SessionAuthenti
深入了解profiles-rest-api源码剖析与应用
- 理解如何在REST API中实现权限控制,包括但不限于访问令牌(JWT)、OAuth等机制。 - 学习如何对API进行安全测试,以及如何防御常见的网络攻击。 7. 测试和调试: - 学习编写单元测试和集成测试,确保代码质量和...
深度解析DRF框架核心机制与原理教程
- **深入源码剖析**: 本教程将通过逐行分析DRF的关键源码,帮助理解框架的实现细节。 #### 描述解析 - **深入教程**: 这份教程被描述为“最真的教程”,意味着其内容贴近实践,注重细节和深入分析,而非浮于表面的...
深入理解个人档案REST API课程源码
本课程将介绍如何使用Django内置的认证系统以及DRF提供的权限系统。 7. 测试和调试:了解如何对REST API进行单元测试和集成测试,以确保API的健壮性和可靠性。 8. API文档:编写清晰、易懂的API文档对于使用API的...
DRF 权限管理和授权管理
hylon5的博客
12-11 1231
DRF 权限管理 AllowAny : 默认的权限,允许任何用户进行操作 IsAuthenticated :只允许 授权的 用户 进行操作 IsAdminUser : 只允许 后台管理员进行操作 IsAuthenticatedOrReadOnly 只允许授权的用户所有进行操作,没有授权人的都可以进行读取 局部设置权限 全局设置权限 DRF 授权管理 DRF 默认采用的是 session 登...
drf框架----权限
weixin_45228198的博客
03-23 685
目录模型类DRF的权限 模型类 from django.contrib.auth.models import AbstractUser from django.db import models # 用户模型类 class User(AbstractUser): mobile = models.CharField("手机号", max_length=11) user_type = models.ForeignKey(UserRole, on_delete=models.CASCADE, verbose
DRF的认证、权限、限流等八大组件
m0_61810345的博客
02-27 1315
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部是否可以访问视图, view表示当前视图对象,request可以通过user属性获取当前用户是否可以访问模型对象, view表示当前视图, obj为模型数据对象,request可以通过user属性获取当前用户"""VVIP权限自定义权限,可用于全局配置,也可以用于局部配置""""""视图权限返回结果未True则表示允许访问视图类。
DRF框架关于接口权限管理问题
方寸之间的博客
07-08 642
DRF框架接口权限管理
DRF从入门到精通九(权限控制
Mchen的博客
01-04 1417
ABAC(Attribute-Based Access Control,基于属性的访问控制),又称为PBAC(Policy-Based Access Control,基于策略的访问控制),CBAC(Claims-Based Access Control,基于声明的访问控制)。)在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。将用户与角色对接,然后角色与对象的权限对接。
【15.0】DRF权限控制
Chimengmeng的博客
08-01 257
【一】ACL的权限控制 ACL(访问控制列表)是一种用于权限控制的技术,可以限制用户对系统资源的访问和操作。 在针对互联网用户的产品中,ACL被广泛应用于管理用户对特定功能或数据的权限。 ACL(访问控制列表)权限控制(针对互联网用户的产品) 用户表 id name password 1 zhangsan 123 权限表 id user_id ...
Django REST Framework(DRF)框架之认证Authentication与权限Permission
积跬步,至千里。
04-18 3458
Django REST Framework (DRF)提供了一系列的认证与权限功能来保护Web API不被未授权用户访问或滥用。
drf之权限
m0_71115526的博客
12-27 696
权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 2.1.2 全局使用 2.1.3 局部使用 2.1.4 说明 2.2 内置权限 2.2.1 内置权限类 2.2.2 全局使用 可以在配置文件中全局设置默认的权限管理类,如 如果未指明,则采用如下默认配置 2.2.3 局部使用 也可以在具体的视图中通过permission_classes属性来设置,如
DRF权限和频率
weixin_30271335的博客
11-18 112
DRF权限 : 权限是什么 :   对某件事情决策的范围和程度, 就叫权限, 权限在项目开发中是非常重要的.   看下DRF框架给我们提供的权限组件都有哪些方法. 权限组件源码 :   通过DRF的版本和认证, 也知道全下和频率都是在niitial方法里初始化的.   其实版本, 认证, 权限, 频率控制走的源码流程大致相同, 也是可以在源码中看到   权限类中一定...
django drf 权限控制
05-30
Django REST framework (DRF) 提供了一些内置的权限类,可以用于控制 API 的访问权限。以下是一些常用的权限类: 1. `AllowAny`:允许所有用户访问 API。 2. `IsAuthenticated`:只有认证用户才能访问 API。 3. `IsAdminUser`:只有管理员用户才能访问 API。 4. `IsAuthenticatedOrReadOnly`:认证用户可以执行任何操作,未认证用户只能执行只读操作。 5. `DjangoModelPermissions`:基于 Django 模型的权限控制,只有拥有模型相关权限的用户才能执行相关操作。 6. `DjangoObjectPermissions`:基于 Django 模型对象的权限控制,只有拥有模型对象相关权限的用户才能执行相关操作。 下面是一个使用权限类的示例: ```python from rest_framework.permissions import IsAuthenticated from rest_framework.views import APIView from rest_framework.response import Response class MyAPIView(APIView): permission_classes = [IsAuthenticated] def get(self, request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 在上面的示例中,我们定义了一个 `MyAPIView` 类,并将其 `permission_classes` 属性设置为 `[IsAuthenticated]`。这意味着只有认证用户才能访问此 API。如果未认证用户尝试访问此 API,则会返回 401 Unauthorized 错误响应。 此外,您还可以在视图函数上使用 `@permission_classes` 装饰器来指定权限类。例如: ```python from rest_framework.decorators import permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @permission_classes([IsAuthenticated]) @api_view(['GET']) def my_view(request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 上面的示例中,我们使用 `@permission_classes` 装饰器将 `IsAuthenticated` 权限类应用于 `my_view` 函数。这样,只有认证用户才能访问此 API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值