DRF 接口权限控制(源码剖析)

本文介绍了在Django Rest Framework(DRF)中为接口添加权限控制的步骤,并通过源码分析解释了权限控制的工作原理。从创建自定义权限类,到配置全局或特定视图的权限,再到详细讲解请求处理流程,特别是`dispatch`和`initial`方法如何调用`check_permissions`,最终执行`has_permission`进行权限检查。当任一权限类返回False时,系统将触发`permission_denied`。同时,文章强调了配置顺序对权限控制的影响,即单个视图和全局设置的生效规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一般我们给接口添加权限控制步骤如下:

  1. 写一个继承于rest_framework.permissions下的IsAuthenticated类或者同文件下其他类的类, 并重写其has_permission()方法
  2. 将步骤1写的类配置到settings中的REST_FRAMEWORK的DEFAULT_PERMISSION_CLASSES中(全局生效)或者配置到view的permission_classes中(单个view生效)

下面将用读源码的方式,解释其为什么要这么做

  • 请求一个接口, 首先是通过路由找到我们接口对应的view
  • 在路由文件中(url.py)会调用view的as_view()方法
  • 我们view类继承于drf的APIView, 可以看到这个函数主要是调用了super().as_view()
  • drf的APIView继承Django的View, 其主要是调用了self的dispatch()方法
  • 这里的self要注意, 每次取self的方法都是从最外层的子类中找, 子类中没有的话, 再找其父类
Django REST framework (DRF) 提供了一些内置的权限类,可以用于控制 API 的访问权限。以下是一些常用的权限类: 1. `AllowAny`:允许所有用户访问 API。 2. `IsAuthenticated`:只有认证用户才能访问 API。 3. `IsAdminUser`:只有管理员用户才能访问 API。 4. `IsAuthenticatedOrReadOnly`:认证用户可以执行任何操作,未认证用户只能执行只读操作。 5. `DjangoModelPermissions`:基于 Django 模型的权限控制,只有拥有模型相关权限的用户才能执行相关操作。 6. `DjangoObjectPermissions`:基于 Django 模型对象的权限控制,只有拥有模型对象相关权限的用户才能执行相关操作。 下面是一个使用权限类的示例: ```python from rest_framework.permissions import IsAuthenticated from rest_framework.views import APIView from rest_framework.response import Response class MyAPIView(APIView): permission_classes = [IsAuthenticated] def get(self, request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 在上面的示例中,我们定义了一个 `MyAPIView` 类,并将其 `permission_classes` 属性设置为 `[IsAuthenticated]`。这意味着只有认证用户才能访问此 API。如果未认证用户尝试访问此 API,则会返回 401 Unauthorized 错误响应。 此外,您还可以在视图函数上使用 `@permission_classes` 装饰器来指定权限类。例如: ```python from rest_framework.decorators import permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @permission_classes([IsAuthenticated]) @api_view(['GET']) def my_view(request): # 只有认证用户才能访问此 API return Response("Hello, World!") ``` 上面的示例中,我们使用 `@permission_classes` 装饰器将 `IsAuthenticated` 权限类应用于 `my_view` 函数。这样,只有认证用户才能访问此 API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值