5.DRF权限--Permissions

最新推荐文章于 2025-12-03 15:13:38 发布
原创 最新推荐文章于 2025-12-03 15:13:38 发布 · 298 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django #python

权限控制可以限制用户对于视图的访问和对于具有模型对象的访问。

  • 在执行视图的as_view()方法的dispatch()方法前,会先进行视图访问权限的判断
  • 在通过get_object()获取具体模型对象时,会进行模型对象访问权限的判断

使用

可以在配置文件中全局设置默认的权限管理类,如

REST_FRAMEWORK = {
    ....
    
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

如果未指明,则采用如下默认配置

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)

也可以在具体的视图中通过permission_classes属性来进行局部设置,如

from django.contrib.auth.models import AnonymousUser
from django.shortcuts import render
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.authentication import SessionAuthentication
from drfdemo.authentication import CustomAuthentication
# Create your views here.
from rest_framework.permissions import AllowAny,IsAuthenticated
class HomeAPIView(APIView):
    # authentication_classes = [CustomAuthentication, ]
    # permission_classes = [AllowAny]       # 如果项目中大部分视图接口不许直接访问,少数接口可以直接访问,则可以全局配置权限认证,仅在部分不需要认证的视图类中加上AllowAny即可
    permission_classes = [IsAuthenticated]  # 如果项目中大部分视图接口允许直接访问,少数接口必修认证权限,则可以不要权限认证的全局配置,仅在需要认证权限的视图下,局部配置IsAuthenticated即可
    def get(self,request):
        """单独设置认证方式"""
        print(request.user) # 在中间件AuthenticationMiddleware中完成用户身份识别的,如果没有登录request.user值为AnonymousUser
        if request.user.id is None:
            return Response("未登录用户:游客")
        else:
            return Response(f"已登录用户:{request.user}")

提供的权限

  • AllowAny 允许所有用户,默认权限
  • IsAuthenticated 仅通过登录认证的用户
  • IsAdminUser 仅管理员用户
  • IsAuthenticatedOrReadOnly 已经登陆认证的用户可以对数据进行增删改操作,没有登陆认证的只能查看数据。

举例

视图代码:

from rest_framework.viewsets import ModelViewSet
from school.models import Student
from school.serializers import StudentModelSerializer
from rest_framework.permissions import IsAuthenticatedOrReadOnly
class Hom2APIView(ModelViewSet):
    authentication_classes = [CustomAuthentication, ]
    # 游客仅能查看数据,登录用户可以进行数据的修改/添加/删除
    permission_classes = [IsAuthenticatedOrReadOnly]
    queryset = Student.objects.all()
    serializer_class = StudentModelSerializer

路由代码:

from django.urls import path
from . import views
urlpatterns = [
    path("s1/", views.HomeAPIView.as_view()),
]

from rest_framework.routers import DefaultRouter
router = DefaultRouter()
router.register("s2", views.Hom2APIView, "s2")
urlpatterns += router.urls

自定义权限

如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部

  • .has_permission(self, request, view)

    是否可以访问视图, view表示当前视图对象

  • .has_object_permission(self, request, view, obj)

    是否可以访问模型对象, view表示当前视图, obj为模型数据对象

例如:

在当前子应用下,创建一个权限文件drfdemo.permissions.py中声明自定义权限类:

from rest_framework.permissions import BasePermission
class IsXiaoMingPermission(BasePermission):
    """
    自定义权限,可用于全局配置,也可以用于局部配置
    """

    def has_permission(self, request, view):
        """
        视图权限
        返回结果未True则表示允许访问视图类
        request: 本次客户端提交的请求对象
        view: 本次客户端访问的视图类
        """
        # # 写在自己要实现认证的代码过程。
        # user = request.query_params.get("user")
        # # 返回值为True,则表示通行
        # return user == "xiaoming"
        return True

    def has_object_permission(self, request, view, obj):
        """
        模型权限,写了视图权限(has_permission)方法,一般就不需要写这个了。
        返回结果未True则表示允许操作模型对象
        """
        from school.models import Student
        if isinstance(obj, Student):
            # 限制只有小明才能操作Student模型
            user = request.query_params.get("user")
            return user == "xiaoming"  # 如果不是xiaoming,返回值为False,不能操作
        else:
            # 操作其他模型,直接放行
            return True

视图代码:

from rest_framework.viewsets import ModelViewSet
from school.models import Student
from school.serializers import StudentModelSerializer
from rest_framework.permissions import IsAuthenticatedOrReadOnly
from drfdemo.permissions import IsXiaoMingPermission
class Hom2APIView(ModelViewSet):
    # authentication_classes = [CustomAuthentication, ]
    # 游客仅能查看数据,登录用户可以进行数据的修改/添加/删除
    # permission_classes = [IsAuthenticatedOrReadOnly]

    # 自定义权限
    permission_classes = [IsXiaoMingPermission]
    queryset = Student.objects.all()
    serializer_class = StudentModelSerializer

认证和权限的举例代码:

settings.py,全局配置,代码:

"""drf配置信息必须全部写在REST_FRAMEWORK配置项中"""
REST_FRAMEWORK = {
    # 配置认证方式的选项【drf的认证是内部循环遍历每一个注册的认证类,一旦认证通过识别到用户身份,则不会继续循环】
    'DEFAULT_AUTHENTICATION_CLASSES': (
        # 'drfdemo.authentication.CustomAuthentication',          # 自定义认证
        'rest_framework.authentication.SessionAuthentication',  # session认证
        'rest_framework.authentication.BasicAuthentication',    # 基本认证
    ),
    # 权限设置[全局配置,在视图中可以通过permission_classes进行局部配置,局部配置优先级高于全局配置]
    'DEFAULT_PERMISSION_CLASSES': (
        # 'rest_framework.permissions.IsAuthenticated',
        'drfdemo.permissions.IsXiaoMingPermission',
    ),
}

认证主要的作用就是识别客户端的访问者的身份,但是不能拦截客户端的访问。

权限是基于认证来实现的,但是权限可以针对不同身份的用户,进行拦截。

DRF 3.x Permissions 权限使用示例和配置方法
Mr数据杨
01-26 3万+
大家好,我是Mr数据杨。想象一下,那个以天下著名的赤壁之战,当时的曹操,具备了最高的权限,他拥有巨大的军队,几乎可以称霸全国,这就好比他拥有了所有的权限查看方法。他可以查看所有的信息,了解每一个军队,每一处地形。但是,对于这些权限的使用,就需要一定的策略设置,就像曹操将军队分为水军和陆军,这就是权限策略设置。
Django-guardian实现对象级别权限控制
热门推荐
菲宇运维
04-09 1万+
django-guardian是为Django提供额外的基于对象权限的身份验证后端。 特征 匿名用户的支持 高级API 经过严密测试 Django admin的整合 装饰器 安装 pip install django-guardian 配置setting 1、将guardian加入到INSTALLED_APPS INSTALLED_APPS = ( # ... ...
django guardian 对象级别权限设计
ronon77的专栏
03-14 1433
         django 目前权限两种:              1.表级别,也是model,默认的表级别,add ,delete,change              2.对象级别,也是field           虽加入了guardian,设计思路还是user ,group,role,类似于linux的3 2 1           guradian 的官网示例  ...
6.DRF限流--Throttling
wangqiang996的博客
07-28 289
可以对接口访问的频次进行限制,以减轻服务器压力,或者实现特定的业务。一般用于付费购买次数,投票等场景使用。
Django DRF - 权限Permissions
Mr_WoLong
04-14 955
Django DRF - 权限Permissions
drf框架----权限
weixin_45228198的博客
03-23 719
目录模型类DRF权限 模型类 from django.contrib.auth.models import AbstractUser from django.db import models # 用户模型类 class User(AbstractUser): mobile = models.CharField("手机号", max_length=11) user_type = models.ForeignKey(UserRole, on_delete=models.CASCADE, verbose
20. drf权限管理
细致-专业-实操
04-12 1575
示例一: 登录了能访问视图 from .serializers import UserSerializer from rest_framework import viewsets from django.contrib.auth import get_user_model from django_filters.rest_framework import DjangoFilterBackend from rest_framework.authentication import SessionAuthenti
drf - Django Rest Framework Permissions权限验证详解
weixin_51098806的博客
03-24 3912
来我的GitHub来看更多关于DRF的资料吧 十分钟学会DRF的企业级用法 官方解释: 权限检查总是在视图的最开始运行,然后才允许其他代码继续。权限检查通常使用请求中的身份验证信息。用户和请求。验证属性,以确定传入请求是否应被允许。 权 限用于授予或拒绝不同类型的用户对API不同部分的访问。 最简单的权限样式是允许访问任何经过身份验证的用户,拒绝访问任何未经身份验证的用户。这对应于REST框架中的IsAuthenticated类。 其实意思很简单就是你把权限验证加上,如果写单个的接口(直接def或者继
DRF-----权限组件
qq_31179495的博客
03-23 179
不同的用户,配置不同的权限,比如普通员工、超级管理员。
【水果识别系统】Python+TensorFlow+Django+人工智能+深度学习+卷积神经网络算法
子午的博客
12-01 609
水果识别系统,基于TensorFlow搭建Resnet50卷积神经网络算法,通过对5种常见的水果图片数据集(‘圣女果’, ‘梨’, ‘芒果’, ‘苹果’, ‘香蕉’)进行训练,最后得到一个识别精度较高的模型,然后搭建Web可视化操作平台。技术栈项目前端使用Html、CSS、BootStrap搭建界面。后端基于Django处理逻辑请求基于Ajax实现前后端数据通信选题背景与意义。
【鸟类识别系统】Python+TensorFlow+Django+人工智能+深度学习+卷积神经网络算法
子午的博客
12-02 394
鸟类识别系统,通过TensorFlow搭建卷积神经网络算法,数据集使用经典的加利福尼亚大学CUB-200-2011鸟类数据集,对其进行多轮迭代训练,最后得到了一个精度较高的模型,并搭建Web可视化操作平台。技术栈项目前端使用Html、CSS、BootStrap搭建界面。后端基于Django处理逻辑请求基于Ajax实现前后端数据通信选题背景与意义在生态保护与生物多样性研究日益重要的当下,精准识别鸟类品种对科研及爱好者而言意义重大。传统鸟类识别依赖人工比对图鉴,不仅效率低且对专业知识要求高。
基于Django房屋租赁系统
梅花14的博客
11-29 689
摘要:本文介绍了一个基于Django框架开发的房屋租赁系统,采用Python 3.10+Django 4.2+Bootstrap 5.2技术栈,包含房源管理、论坛、评论、文章发布和用户管理等模块。系统创新性地设计了通用评论组件,支持多模型复用;采用模块化架构,实现房源与论坛的有机结合;具备多图片上传、分页优化等功能。前端使用响应式设计,提供良好的用户体验。系统功能完善,包含房源发布、收藏、租赁申请、资讯展示等核心功能,并配有完善的后台管理系统。该系统结构清晰,扩展性强,可作为毕业设计或课程设计的参考案例。
【动物识别系统】Python+TensorFlow+Django+人工智能+深度学习+卷积神经网络算法
子午的博客
12-01 412
动物识别系统,基于TensorFlow搭建Resnet50卷积神经网络算法,通过对4种常见的动物图片数据集(猫、鸡、马、狗)进行训练,最后得到一个识别精度较高的模型,然后搭建Web可视化操作平台。技术栈项目前端使用Html、CSS、BootStrap搭建界面。后端基于Django处理逻辑请求基于Ajax实现前后端数据通信选题背景与意义在人工智能技术蓬勃发展的当下,动物识别作为计算机视觉领域的重要应用方向,有着广泛的实际需求,如动物保护监测、智能安防等场景均需精准高效的动物识别能力。
【花朵识别系统】Python+TensorFlow+Django+人工智能+深度学习+卷积神经网络算法
子午的博客
12-02 339
花朵识别系统,基于TensorFlow搭建Resnet50卷积神经网络算法,通过对5种常见的花朵图片数据集(‘雏菊’, ‘蒲公英’, ‘玫瑰’, ‘向日葵’, ‘郁金香’)进行训练,最后得到一个识别精度较高的模型,然后搭建Web可视化操作平台。技术栈项目前端使用Html、CSS、BootStrap搭建界面。后端基于Django处理逻辑请求基于Ajax实现前后端数据通信选题背景与意义。
【交通标志识别系统】Python+TensorFlow+Django+人工智能+深度学习+卷积神经网络算法
最新发布
子午的博客
12-03 252
交通标志识别系统,基于TensorFlow搭建Resnet50卷积神经网络算法,通过对58种常见的交通标志图片数据集进行训练,最后得到一个识别精度较高的模型,然后搭建Web可视化操作平台。技术栈项目前端使用Html、CSS、BootStrap搭建界面。后端基于Django处理逻辑请求基于Ajax实现前后端数据通信选题背景与意义在智能交通系统蓬勃发展的当下,交通标志的精准识别对于保障行车安全、提升交通管理效率意义重大。
【食物识别系统】Python+TensorFlow+Vue3+Django+人工智能+深度学习+卷积网络+resnet50算法
子午的博客
11-29 660
食物识别系统,本系统基于TensorFlow框架,构建了一个结合深度学习与Web应用的智能食物识别平台。系统采用卷积神经网络(CNN)对涵盖11类日常食物(‘面包’, ‘乳制品’, ‘甜点’, ‘蛋类’, ‘油炸食品’, ‘肉类’, ‘面食’, ‘米饭’, ‘海鲜’, ‘汤羹’, ‘蔬菜水果’)的图像数据进行多轮训练,最终生成高精度识别模型,并部署为可交互的Web应用。前端后端:Django算法:TensorFlow、卷积神经网络算法具体功能。
Django 视图详解
lsx202406的博客
11-29 418
视图(View)是Django框架中的一个核心概念,它负责处理用户的请求,并返回相应的响应。在Django中,每个视图都是一个Python函数或类,它接收请求对象作为参数,并返回一个响应对象。在开发过程中,我们可能需要根据业务需求自定义视图。自定义视图通常继承自View或其子类,并重写相关方法。# 自定义业务逻辑'})Django视图是Django框架的核心组成部分,它负责处理用户请求并返回响应。
vscode配置django环境并创建django项目(全图文操作)
2509_94083794的博客
11-29 313
于是会多出一个.venv的目录。
Django缓存策略:Redis、Memcached与数据库缓存对比
qq_42568323的博客
11-29 1042
摘要: Django缓存策略对比Redis、Memcached与数据库缓存,通过合理配置显著提升Web应用性能。Redis作为高性能键值存储,支持主从配置和复杂数据结构;Memcached则适合简单键值对的高并发场景;数据库缓存适用于小型项目。Django提供统一API支持多级缓存(全站/视图/模板/低级API),并可通过装饰器实现条件缓存。合理选择缓存策略可降低服务器负载,提高响应速度和用户体验。 (字数:150)
drf-triad-permissions 0.1.0:基于DRF权限管理库
综上所述,“drf-triad-permissions”作为一个面向Django REST Framework的权限管理扩展库,通过引入三元权限模型,填补了原生DRF权限系统在复杂业务场景下的能力空白。它不仅增强了API的安全性与可控性,也为开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值