本文介绍了在Django Rest Framework(DRF)中为接口添加权限控制的步骤,并通过源码分析解释了权限控制的工作原理。从创建自定义权限类,到配置全局或特定视图的权限,再到详细讲解请求处理流程,特别是`dispatch`和`initial`方法如何调用`check_permissions`,最终执行`has_permission`进行权限检查。当任一权限类返回False时,系统将触发`permission_denied`。同时,文章强调了配置顺序对权限控制的影响,即单个视图和全局设置的生效规则。
一般我们给接口添加权限控制步骤如下:
- 写一个继承于rest_framework.permissions下的IsAuthenticated类或者同文件下其他类的类, 并重写其has_permission()方法
- 将步骤1写的类配置到settings中的REST_FRAMEWORK的DEFAULT_PERMISSION_CLASSES中(全局生效)或者配置到view的permission_classes中(单个view生效)
下面将用读源码的方式,解释其为什么要这么做
- 请求一个接口, 首先是通过路由找到我们接口对应的view
- 在路由文件中(url.py)会调用view的as_view()方法
- 我们view类继承于drf的APIView, 可以看到这个函数主要是调用了super().as_view()
- drf的APIView继承Django的View, 其主要是调用了self的dispatch()方法
- 这里的self要注意, 每次取self的方法都是从最外层的子类中找, 子类中没有的话, 再找其父类
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
