Django-restframework22 Permissions

最新推荐文章于 2024-08-28 16:19:31 发布
最新推荐文章于 2024-08-28 16:19:31 发布
阅读量669 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: rest-framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/runnoob_1115/article/details/78497716
本文介绍REST框架中的权限管理机制,包括认证、对象级权限、自定义权限等,以及如何设置全局和局部权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

身份验证或标识本身通常不足以获得访问信息或代码的权限。为此,请求访问的实体必须具有授权。

1 简介

permissions和authentication,throttling一起,确定一个请求是否具有访问权限。
权限检查一般在请求执行到的动作之前进行检查。Permission 一般会使用用户的认证信息(request.user和request.auth)来确定接收到的请求是否应该被允许。
Permissions被用来授予不同种类的用给在不同的接口的访问权限。
简单的形式就是授予认证用户全部权限,拒绝未认证的用户访问请求。这与IsAuthenticated权限类一致。
不那么严格的方式就是未认证用户具有只读权限(IsAuthenticatedOrReadOnly)。

1 确定认证权限

权限一般被定义成一系列权力类的列表(permission_classes)。
在运行主体之前,会先检查列表中的每一个权限,如果全都失败,产生一个exceptions.PermissionDenied或者exceptions.NotAuthenticated,主体部分将不会运行。
如果权限检查根据以下2规则返回”403 Forbidden”或”401 Unauthorized” :
- 认证成功,但是权限不够,403 Forbidden response
- 认证失败,优先级最高的认证类没有使用WWW-Authenticate响应头,将会返回HTTP 403 Forbidden response
- 认证失败,优先级最高的认证类使用了WWW-Authenticate响应头,将返回HTTP 401 Unauthorized response

2 对象级权限(Object level permissions)

对象级权限用于为确定用户是否有权对对象执行操作,该对象一般指模型实例
对象级权限一般在.get_object()方法被调用时运行。和视图函数级权限一样。未经授权也会抛出exceptions.PermissionDenied异常
如果你在编写视图函数时,需要使用对象级权限管理,或者你在重写通用视图的get_object方法,你需要调用.check_object_permissions(request, obj)方法。该方法将会抛出PermissionDenied或者 NotAuthenticated,或者返回拥有的合适权限。

def get_object(self):
    obj = get_object_or_404(self.get_queryset())
    self.check_object_permissions(self.request, obj)
    return obj

对象级权限的局限性
出于性能的原因,当返回一个对象列表时,通用视图不会自动将对象级权限应用到queryset中的每个实例。
通常,当您使用对象级权限时,您还需要适当地过滤queryset,以确保用户只对允许查看的实例具有可见性。

3 设置权限

默认的全局设置为:DEFAULT_PERMISSION_CLASSES

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

如果没有指定,设置为任何人均可以为访问

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)

也可以在视图函数或者视图类中设置权限类

from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = (IsAuthenticated,)

    def get(self, request, format=None):
        content = {
            'status': 'request was permitted'
        }
        return Response(content)

# 视图函数
from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response

@api_view(['GET'])
@permission_classes((IsAuthenticated, ))
def example_view(request, format=None):
    content = {
        'status': 'request was permitted'
    }
    return Response(content)

2. 接口指南

  1. AllowAny:允许任何人访问,和权限设置为空一样
  2. IsAuthenticated:允许认证成功
  3. IsAdminUser:只允许(user.is_staff=True)的用户访问
  4. IsAuthenticatedOrReadOnly:认证用户全部权限,未认证用户只读
  5. DjangoModelPermissions

关系到 django.contrib.auth model permissions. 这个权限只能应用在拥有queryset属性的视图中。
只有对用户进行了身份验证,并分配了相关的模型权限,才会授予授权。
- POST要求用户有add权限
- PUT和PATCH要求用户有change权限
- DELETE要求用户有delete权限
支持自定义模型权限,默认行为可以被重写,例如可以为GET请求设置权限。
自定义模型权限(DjangoModelPermissions)时,需要重写然后设置.perms_map属性
在没有设置queryset属性的视图中使用模型权限
如果您使用的是重写了get_queryset()方法的视图,那么视图中可能没有.queryset属性.建议也写上一个queryset对视图进行标记,这样该类就可以确定所需的权限。例如:

queryset = User.objects.none()
  1. DjangoModelPermissionsOrAnonReadOnly :未认证用户具有只读权限
  2. DjangoObjectPermissions:对象级权限
    关系到django的 object permissions framework,其允许模型中的每个对象具有权限。为了使用此类,你还需要一个支持对象级权限的额权限许可后端,比如django-guardian。具体使用和 DjangoModelPermissions 类似。视图必须具有queryset属性或者get_queryset()方法。
    如果想支持GET, HEAD和OPTIONS请求,需要添加DjangoObjectPermissionsFilter类来确保返回结果中包含的对象是用户有权操作的。

3. 自定义权限

首先继承BasePermission,然后重写.has_permission(self, request, view)和.has_object_permission(self, request, view, obj)两种方法中至少一个。如果对象有权限就返回True,否则False.
如果你需要判断一个请求是读操作还是写操作,你应该检查该方法是否在SAFE_METHODS元组中,该元组包含(’GET’, ‘OPTIONS’, ‘HEAD’)

if request.method in permissions.SAFE_METHODS:
    # Check permissions for read-only request
else:
    # Check permissions for write request

注意:对象级的has_object_permission方法只有在视图级的has_permission检查通过之后才会进行调用。为了使对象级权限检查运行,还需要调用.check_object_permissions(request, obj)方法。如果你使用generic views的话就会默认帮你处理。
自定义权限类如果检查失败,会抛出PermissionDenied异常。可以自定义message属性,用来表示详情。否则的话,默认使用default_detail属性。

from rest_framework import permissions

class CustomerAccessPermission(permissions.BasePermission):
    message = 'Adding customers not allowed.'

    def has_permission(self, request, view):
         ...

使用实例,检查用户IP是否在黑名单中

from rest_framework import permissions

class BlacklistPermission(permissions.BasePermission):
    """
    Global permission check for blacklisted IPs.
    """

    def has_permission(self, request, view):
        ip_addr = request.META['REMOTE_ADDR']
        blacklisted = Blacklist.objects.filter(ip_addr=ip_addr).exists()
        return not blacklisted

对象级权限

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Object-level permission to only allow owners of an object to edit it.
    Assumes the model instance has an `owner` attribute.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Instance must have an attribute named `owner`.
        return obj.owner == request.user

4 三方包

  1. Composed Permissions:提供复杂而且具有多层的对象权限管理
  2. REST Condition:使用逻辑判断结合权限认证
  3. DRY Rest Permissions:DRY Rest权限包提供默认和自定义操作定义不同权限的能力。这个包是为具有权限的应用(app)设计的,这些应用程序是根据应用程序的model中定义的关系而生成的。它还支持通过API的序列化器返回到客户端应用程序的权限检查。此外,它还支持向默认值和自定义列表操作添加权限,以限制每个用户检索的数据。
  4. Django Rest Framework Roles:为API接口配置多种类型的user
  5. Django Rest Framework API Key:允许您确保向服务器发出的每个请求都需要一个API密钥头。您可以从django管理界面生成一个。
Django通过rest_framework.permissions模块中IsAuthenticated实现身份验证
阳光女孩---python-Girl
01-04 5106
今天我给大家介绍如何写用户信息页面,当我们在登录完后,可以查看自己的用户信息,这里仅介绍登录的情况下。那是如何实现的呢?首先我们在登录的时候,用ajax请求把用户id和username以及token信息存储到sessionstorage中,这里的 id,username,token是login时候后端实现传到前端的哦,这里不将介绍,我的token是用的django-restframe-jwt实现的...
Django REST Framework(十八)认证
yjjpp2301的专栏
08-05 657
我们可以通过创建自定义认证类来实现项目特定的认证需求。"""自定义认证类"""try:return (user, None) # 返回格式必须是 (user, auth) 或 None自定义权限类可以让你根据特定条件来控制访问权限。"""自定义权限类"""通过以上详细的示例,可以更好地理解如何在 Django REST framework 中配置和应用权限和认证。这括全局配置、自定义认证和权限类、在视图中应用这些类以及配置路由。
django-rest-framework权限配置问题
做最好的自己
11-19 975
django-rest-framework权限配置问题1、视图内设置权限2、后台rootapi页面登录权限问题 1、视图内设置权限 views.py class SnippetViewSet(viewsets.ModelViewSet): """ This viewset automatically provides `list`, `create`, `retrieve`, ...
Django REST framework基础:认证、权限、限制
weixin_30260399的博客
08-02 258
认证、权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制。然后 权限 和 限制 组件决定是否拒绝这个请求。 简单来说就是: 认证确定了你是谁 权限确定你能不能访问某个接口 限制确定你访问某个接口的频率 认证 REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。 接下类我们就自己动手实...
python测试开发django-rest-framework-61.权限认证(permission)
weixin_30443895的博客
09-14 343
前言 用户登录后,才有操作当前用户的权限,不能操作其它人的用户,这就是需要用到权限认证,要不然你登录自己的用户,去操作别人用户的相关数据,就很危险了。 authentication是身份认证,判断当前用户的登录方式是哪种认证方式 permissions 是权限认证,判断哪些用户有操作权限 authentication身份认证 身份验证是将收到的请求和一组标识证书(如用户名密码、令牌)...
Django restframework permission 权限
水野与小太郎的博客
12-05 1236
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性中的身份验证信息来确定是否允许传入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架中的权限和认证一样:为权限类列表。 在运行视图主体之前,将检查列表中的每个权限。如...
Django-Rest-Framework 权限管理源码浅析(小结)
09-19
Django Rest Framework(DRF)是基于Django的一个强大的Web API构建框架,它简化了创建美观、易用且功能丰富的RESTful API的过程。在DRF中,权限管理是至关重要的一个部分,确保只有授权用户能够访问特定的API资源。...
django-rest-framework-roles:通过用户定义的角色对Django REST Framework方法进行参数化
02-05
`django-rest-framework-roles` 是一个用于Django REST Framework(DRF)的扩展,它允许开发者根据用户角色来参数化API视图的方法。这个库的核心目标是提供一种方式,让开发者能够灵活地控制不同角色用户可以访问的...
django-rest-serializer-field-permissions:Django Rest Framework的逐字段序列化程序权限
05-10
django-rest-serializer-field-permissions 将字段逐字段权限类添加到您的序列化器字段中,如下所示: class PersonSerializer ( FieldPermissionSerializerMixin , LookupModelSerializer ): # Only allow ...
提升Django REST Framework过滤体验:django-rest-framework-filters
标题中的“Django-rest-framework-filters”指的是一个专门用于Django REST Framework(DRF)的第三方库,旨在提供更为灵活和强大的数据过滤功能。Django REST Framework 是一个强大而灵活的工具集,用于构建Web API...
django rest framework 入门4——Authentication & Permissions
Hello World!
02-26 1479
转自:http://django-rest-framework.org/tutorial/4-authentication-and-permissions.html Tutorial 4: Authentication & Permissions Currently our API doesn't have any restrictions on who can edit or
django-rest-framework权限控制
axon-缪的博客
10-16 1404
django-rest-framework权限控制
Django REST framework API 指南(14):权限
weixin_33901843的博客
03-16 619
官方原文链接 本系列文章 github 地址 转载请注明出处 权限 与 authentication 和 throttling 一起,permission 决定是应该接受还是拒绝访问请求。 权限检查总是在视图的最开始处运行,在任何其他代码被允许进行之前。权限检查通常会使用 request.user 和 request.auth 属性中的认证信息来确定是否允许传入请求。 权限用于授予或拒绝不同类...
rest_framework学习之认证(Authentication)&权限(Permissions
zhubaoJay的博客
06-15 5081
认证和权限控制是web开发中较为重要的知识点,我们看下django rest_framework的认证和权限是如何实现的 概述 我们知道,在django中,提供内置的认证与权限方式,通过维护几张数据库表(如auth_user、auth_group、auth_permission等),并提供封装好的方法(如:authenticate()、login()、logout())实现认证与权限。 re...
django-rest-framework框架总结之认证、权限、限流、过滤、分页及异常处理
weixin_43865008的博客
01-28 2265
针对 django-rest-framework框架中的认证、权限、限流、过滤、分页及异常处进行总结理。
python权限框架_Django restframework 框架认证、权限、限流用法示例
weixin_42501161的博客
12-24 286
本文实例讲述了Django restframework 框架认证、权限、限流用法。分享给大家供大家参考,具体如下:概述Django Rest Framework 是一个强大且灵活的工具,使用Django REST Framework可以在Django的基础上迅速实现API,用以构建Web API。认证Authentication可以在配置文件中配置全局默认的认证方案REST_FRAMEWORK ...
rest_framework_django学习笔记四(限流、权限)
weixin_51715424的博客
11-30 1280
rest_framework_django限流、权限
django-16-身份验证与权限
最新发布
rain_in_spring的博客
08-28 768
要实现自定义权限,需要继承如果请求被授予访问权限,则该方法应返回True,否则返回False。注意对象级的方法只有在视图级的检查已经通过的情况下才会被调用。如果测试失败,自定义权限应该引发一个异常。若要更改与异常关联的错误消息,请在自定义权限上直接实现message属性。否则,将使用PermissionDenied的default_detail属性。类似地,要更改与异常相关的代码标识符,请直接在自定义权限上实现一个code属性——否则将使用PermissionDenied的default_code属性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豆豆orz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值