2. 程式人生 > >Django rest framework 權限操作(源碼分析二)

Django rest framework 權限操作(源碼分析二)

阿新 發佈:2018-11-10
prop 源碼 display rtc body app ffi 代碼 tin

知識回顧

這一篇是基於上一篇寫的,上一篇謝了認證的具體流程,看懂了上一篇這一篇才能看懂,

當用戶訪問是 首先執行dispatch函數,當執行當第二部時:

   #2.處理版本信息 處理認證信息 處理權限信息 對用戶的訪問頻率進行限制
            self.initial(request, *args, **kwargs)

進入到initial方法:

技術分享圖片 
 def initial(self, request, *args, **kwargs):
        """
        Runs anything that needs to occur prior to calling the method handler.
        
 
"""
        self.format_kwarg = self.get_format_suffix(**kwargs)

        # Perform content negotiation and store the accepted info on the request
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg

        # Determine the API version, if versioning is in use.
 

        #2.1處理版本信息
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme

        # Ensure that the incoming request is permitted
        #2.2處理認證信息
        self.perform_authentication(request)
        
 
#2.3處理權限信息
        self.check_permissions(request)
        #2.4對用戶的訪問頻率進行限制
        self.check_throttles(request)
技術分享圖片 
 #2.3處理權限信息
        self.check_permissions(request)

下面 開始 權限的具體分析:

進入到check_permissions函數中

技術分享圖片 
 #檢查權限
    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        #elf.get_permissions()得到的是一個權限對象列表
        for permission in self.get_permissions():
            #在自定義的Permission中has_permission方法是必須要有的
            #判斷當前has_permission返回的是True,False,還是拋出異常
            #如果是True則表示權限通過,False執行下面代碼
            if not permission.has_permission(request, self):
                #為False的話則拋出異常,當然這個異常返回的提示信息是英文的,如果我們想讓他顯示我們自定義的提示信息
                #我們重寫permission_denied方法即可
                self.permission_denied(
                    #從自定義的Permission類中獲取message(權限錯誤提示信息),一般自定義的話都建議寫上,如果沒有則為默認的(英文提示)
                    request, message=getattr(permission, message, None)
                )
技術分享圖片

查看permission_denied方法(如果has_permission返回True則不執行該方法)

技術分享圖片 
 def permission_denied(self, request, message=None):
        """
        If request is not permitted, determine what kind of exception to raise.
        """
        if request.authenticators and not request.successful_authenticator:
            #沒有登錄提示的錯誤信息
            raise exceptions.NotAuthenticated()
        #一般是登陸了但是沒有權限提示
        raise exceptions.PermissionDenied(detail=message)
技術分享圖片

舉例:

技術分享圖片 
from django.db import models

# Create your models here.
class Userinfo(models.Model):
    name=models.CharField(max_length=32,verbose_name=用戶名)
    pwd=models.CharField(max_length=32,verbose_name=密碼)
    token=models.CharField(max_length=64,null=True)

    def __str__(self):
        return self.name
models 技術分享圖片 
urlpatterns = [
    url(r^p/, app02_views.Pview.as_view()),
    url(r^mp/, app02_views.Aview.as_view()),
    url(r^jp/, app02_views.Jview.as_view()),
]
urls 技術分享圖片 
from django.shortcuts import render
from rest_framework.views import APIView
from rest_framework.authentication import BaseAuthentication
from rest_framework.permissions import BasePermission
from rest_framework.response import Response
from rest_framework import exceptions


from app01 import models
# Create your views here.

class MyAuthentication(BaseAuthentication):

    def authenticate(self, request):
        token=request.query_params.get(token)
        user=models.Userinfo.objects.filter(token=token).first()
        if user:
            return (user.name,user)
        return None

class MyPermission(object):
    message = 登錄才可以訪問
    def has_permission(self,request, view):
        if request.user:
            return True
        return False

class AdminPermission(object):
    message = 會員才可以訪問
    def has_permission(self,request,view):
        if request.user==ctz:
            return True
        return False

class Pview(APIView):
    ‘‘‘
    所有人都可以看
    ‘‘‘
    authentication_classes = [MyAuthentication,]
    permission_classes = []
    def get(self,request):
        return Response(圖片列表)
    def post(self,request):
        pass




class Aview(APIView):
    ‘‘‘
    登錄的人可以看
    ‘‘‘
    authentication_classes = [MyAuthentication,]
    permission_classes = [MyPermission,]
    def get(self,request):
        return Response(美國電影列表)
    def post(self,request):
        pass

    def permission_denied(self, request, message=None):
        """
        If request is not permitted, determine what kind of exception to raise.
        """

        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated(無權訪問)
        raise exceptions.PermissionDenied(detail=message)

class Jview(APIView):
    ‘‘‘
    會員才可以看
    ‘‘‘
    authentication_classes = [MyAuthentication,]
    permission_classes = [MyPermission,AdminPermission,]
    def get(self,request):
        return Response(日本電影列表)
    def post(self,request):
        pass

    def permission_denied(self, request, message=None):
        """
        If request is not permitted, determine what kind of exception to raise.
        """

        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated(無權訪問)
        raise exceptions.PermissionDenied(detail=message)
Views

上面的是局部的只能在當前類中可以用,如果想在全局中用:只需要在settings中配置即可:

技術分享圖片 
from django.shortcuts import render
from rest_framework.views import APIView
from rest_framework.authentication import BaseAuthentication
from rest_framework.permissions import BasePermission
from rest_framework.response import Response
from rest_framework import exceptions

from app02.utils import MyPermission
#
#
from app01 import models
# # Create your views here.
#
# class MyAuthentication(BaseAuthentication):
#
#     def authenticate(self, request):
#         token=request.query_params.get(‘token‘)
#         user=models.Userinfo.objects.filter(token=token).first()
#         if user:
#             return (user.name,user)
#         return None
#
# class MyPermission(object):
#     message = ‘登錄才可以訪問‘
#     def has_permission(self,request, view):
#         if request.user:
#             return True
#         return False
#
# class AdminPermission(object):
#     message = ‘會員才可以訪問‘
#     def has_permission(self,request,view):
#         if request.user==‘ctz‘:
#             return True
#         return False

class Pview(APIView):
    ‘‘‘
    所有人都可以看
    ‘‘‘

    permission_classes = []
    def get(self,request):
        return Response(圖片列表)
    def post(self,request):
        pass




class Aview(APIView):
    ‘‘‘
    登錄的人可以看
    ‘‘‘
  #  authentication_classes = [MyAuthentication,]
    permission_classes = [MyPermission,]
    def get(self,request):
        return Response(美國電影列表)
    def post(self,request):
        pass

    def permission_denied(self, request, message=None):
        """
        If request is not permitted, determine what kind of exception to raise.
        """

        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated(無權訪問)
        raise exceptions.PermissionDenied(detail=message)

class Jview(APIView):
    ‘‘‘
    會員才可以看
    ‘‘‘
    # authentication_classes = [MyAuthentication,]
    # permission_classes = [MyPermission,AdminPermission,]
    def get(self,request):
        return Response(日本電影列表)
    def post(self,request):
        pass

    def permission_denied(self, request, message=None):
        """
        If request is not permitted, determine what kind of exception to raise.
        """

        if request.authenticators and not request.successful_authenticator:
            raise exceptions.NotAuthenticated(無權訪問)
        raise exceptions.PermissionDenied(detail=message)
Views 技術分享圖片 
from django.shortcuts import render

from rest_framework.authentication import BaseAuthentication
from rest_framework.permissions import BasePermission
from rest_framework.response import Response
from rest_framework import exceptions
from rest_framework.exceptions import APIException


from app01 import models
# Create your views here.

class MyAuthentication(BaseAuthentication):

    def authenticate(self, request):
        token=request.query_params.get(token)
        user=models.Userinfo.objects.filter(token=token).first()
        if user:
            return (user.name,user)
        return None

class MyPermission(object):
    message = 登錄才可以訪問
    def has_permission(self,request, view):
        if request.user:
            return True
        return False

class AdminPermission(object):
    message = 會員才可以訪問
    def has_permission(self,request,view):
        if request.user==ctz:
            return True
        return False
utils 技術分享圖片 
REST_FRAMEWORK = {
    UNAUTHENTICATED_USER: None,
    UNAUTHENTICATED_TOKEN: None,
    "DEFAULT_AUTHENTICATION_CLASSES": [
      # "app01.utils.MyAuthentication",
        "app02.utils.MyAuthentication",
    ],
    "DEFAULT_PERMISSION_CLASSES":[
       "app02.utils.MyPermission",
       "app02.utils.AdminPermission",
    ],
}
settings

Django rest framework 權限操作(源碼分析二)

相關推薦

Django rest framework 操作(分析)

prop 源碼 display rtc body app ffi 代碼 tin 知識回顧 這一篇是基於上一篇寫的,上一篇謝了認證的具體流程,看懂了上一篇這一篇才能看懂, 當用戶訪問是 首先執行dispatch函數,當執行當第二部時: #2.處理版本信息

Django REST framework —— 組件分析

show lis 列表 登錄用戶 必須 分享圖片 exception map 這一 在上一篇文章中我們已經分析了認證組件源碼,我們再來看看權限組件的源碼,權限組件相對容易,因為只需要返回True 和False即可 代碼 1 class ShoppingCarV

Django Rest framework流實現流程

分鐘 例如 ttl 長度 後繼 控制 ron response 臨時 目錄 一 什麽是throttle 二 Django REST framework是如何實現throttle的 三 Django REST framework中throttle源碼流程 一 什麽是throt

django rest framework_jwt之認證的流程剖析

.data string with mission default nta status objects mar 視圖代碼 1 class UserViewset(BaseView): 2 ‘‘‘ 3 create: 4 創

django用戶操作

ces 新增 超級 比較 請求方法 get else model har 第一步:創建數據庫和超級管理員,為了比較方便使用(裏面有些的是沒用的),額外新增 chioces , per_method , argument_list # 用戶權限# 建立一個權限表,將映射關系

Django之admin的使用及分析

ssa conf .site cacheable 默認 通過 ice each reg 一、admin組件使用   Django本身提供了基於 web 的管理工具。其管理工具是django.contrib的一部分,可在settings.py中的 INSTALLED_APPS

thinkphp5 分析 框架引導

ase 文件 loader esp register behavior llb err filename 框架引導文件源代碼 (/thinkphp/start.php) 1. 引入基礎文件(/thinkphp/base.php) // 加載基礎文件 require __D

Django Rest Framework剖析()-----

www. 基於 framework suffix 生效 ted AI try exce 一、簡介 在上一篇博客中已經介紹了django rest framework 對於認證的源碼流程,以及實現過程,當用戶經過認證之後下一步就是涉及到權限的問題。比如訂單的業務只

python-django rest framework框架之dispatch方法分析

pytho fault quest 變量 miss imp ons esp cati 1.Django的 CBV 中在請求到來之後,都要執行dispatch方法,dispatch方法根據請求方式不同觸發 get/post/put等方法 class APIView(View

Django Rest Framework剖析(三)-----頻率控制

BE elf attr 基本使用 fix ddr integer als min 一、簡介 承接上篇文章Django Rest Framework源碼剖析(二)-----權限,當服務的接口被頻繁調用,導致資源緊張怎麽辦呢?當然或許有很多解決辦法,比如:負載均衡、

Django Rest Framework剖析(八)-----視圖與路由

name userinfo RF self. provided text 官網 tom .cn 一、簡介 django rest framework 給我們帶來了很多組件,除了認證、權限、序列化...其中一個重要組件就是視圖,一般視圖是和路由配合使用,這種方式給

Django rest framework(2)----

authent tar ott usr python rest 哪些 port rem 一 添加權限 (1)API/utils文件夾下新建premission.py文件,代碼如下: message是當沒有權限時,提示的信息 #!/usr/bin/env python

Django分析系統_擒賊先擒王

sessions 第一個 負責 attr model another exc git 功能 乍見 Django內置的權限系統已經很完善了,加上django-guardian提供的功能,基本上能滿足大部分的權限需求。暫且不說django-guardian,我們先來看下Djan

Django Rest Framework

port -a urn elf 原生 面向對象編程 對象權限 display 繼承 基本代碼結構   url.py: from django.conf.urls import url, include from app import views urlp

Django REST framework基礎:認證、、限制

bsp request history inf 機制 length pre div view 認證、權限和限制 身份驗證是將傳入請求與一組標識憑據(例如請求來自的用戶或其簽名的令牌)相關聯的機制。然後 權限 和 限制 組件決定是否拒絕這個請求。 簡單來說就是:

[Abp 分析]十、多租戶體系與驗證

表達式 如何實現 進入 urn tty token asp.net hang 都是 0.簡介 承接上篇文章我們會在這篇文章詳細解說一下 Abp 是如何結合 IPermissionChecker 與 IFeatureChecker 來實現一個完整的多租戶系統的權限校驗的。 1

Django REST framework

限流Throttling 可以對介面訪問的頻次進行限制,以減輕伺服器壓力。 使用 可以在配置檔案中,使用DEFAULT_THROTTLE_CLASSES 和 DEFAULT_THROTTLE_RATES進行全域性配置, REST_FRAMEWORK = { 'DEFAUL

Django rest framework 許可權操作(原始碼分析)

知識回顧  這一篇是基於上一篇寫的,上一篇謝了認證的具體流程,看懂了上一篇這一篇才能看懂, 當用戶訪問是 首先執行dispatch函式,當執行當第二部時: #2.處理版本資訊 處理認證資訊 處理許可權資訊 對使用者的訪問頻率進行限制 self

python學習-- Django REST framework 序列化數據操作

如何 ive 使用 str bsp 返回 時間 改變 新聞 一.為什麽要返回json數據? 一般來說前端要用到從後臺返回的數據來渲染頁面的時候,這時候後臺就需要向前端返回json類型的數據,簡單直觀便於理解 ,就類似於 {"xxx":{["name":xxx,"ag

django-rest-framework-原始碼解析004-三大驗證(認證/許可權/流)

三大驗證模組概述 在DRF的APIView重寫的dispatch方法中,  self.initial(request, *args, **kwargs) 這句話就是執行三大驗證的邏輯, 點進去可以看到依次執行的就是認證(authentication)/許可權(permission