Django-Rest-Framework 許可權管理原始碼淺析

阿新 • • 發佈：2018-11-12

許可權管理簡單介紹

在django的views中不論是用類方式還是用裝飾器方式來使用rest框架，django_rest_frame實現許可權管理都需要兩個東西的配合:authentication_classes 和 permission_classes

# 方式1: 裝飾器
from rest_framework.decorators import api_view, authentication_classes, permission_classes
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from 
 rest_framework.permissions import AllowAny
from rest_framework.response import Response


@api_view(["GET", ])
@permission_classes([AllowAny,])
@authentication_classes([SessionAuthentication, BasicAuthentication])
def test_example(request):
    content = {
            'user': unicode(request.user),  # `django.contrib.auth.User` instance. 

            'auth': unicode(request.auth),  # None
        }
        return Response(content)

# ------------------------------------------------------------
# 方式2: 類
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import AllowAny
from 
 rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
    authentication_classes = (SessionAuthentication, BasicAuthentication)
    permission_classes = (AllowAny,)

    def get(self, request, format=None):
        content = {
            'user': unicode(request.user),  # `django.contrib.auth.User` instance.
            'auth': unicode(request.auth),  # None
        }
        return Response(content)
複製程式碼

上面給出的是許可權配置的預設方案，寫和不寫沒有區別。rest框架有自己的settings檔案，最原始的預設值都可以在裡面找到:

說道rest的settings檔案，要覆蓋其中的預設行為，特別是許可權認證行為，我們只需要在 專案settings檔案中指定你自己的類即可:

REST_FRAMEWORK = {
    ...
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'your_authentication_class_path',
    ),
    ...
}
複製程式碼

在rest的settings檔案中，獲取屬性時，會優先載入專案的settings檔案中的設定，如果專案中沒有的，才載入自己的預設設定:

初始化api_settings物件

api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)
複製程式碼

APISettings類中獲取屬性時優先獲取專案的settings檔案中REST_FRAMEWORK物件的值，沒有的再找自己的預設值

@property
def user_settings(self):
    if not hasattr(self, '_user_settings'):
        # _user_settings預設為載入專案settings檔案中的REST_FRAMEWORK物件
        self._user_settings = getattr(settings, 'REST_FRAMEWORK', {})
    return self._user_settings

def __getattr__(self, attr):
    if attr not in self.defaults:
        raise AttributeError("Invalid API setting: '%s'" % attr)

    try:
        # Check if present in user settings
        # 優先載入user_settings，即專案的settings檔案，沒有就用預設
        val = self.user_settings[attr]
    except KeyError:
        # Fall back to defaults
        val = self.defaults[attr]

    # Coerce import strings into classes
    if attr in self.import_strings:
        val = perform_import(val, attr)

    # Cache the result
    self._cached_attrs.add(attr)
    setattr(self, attr, val)
    return val
複製程式碼

在rest中settings中，能自動檢測專案settings的改變，並重新載入自己的配置檔案:

許可權管理原理淺析

rest框架是如何使用authentication_classes和permission_classes，並將二者配合起來進行許可權管理的呢？

使用類方式實現的時候，我們都會直接或間接的使用到rest框架中的APIVIEW，在urls.py中使用該類的as_view方法來構建router

# views.py
from rest_framework.views import APIView
from rest_framework.permissions import IsAuthenticated


class ExampleAPIView(APIView):
    permission_classes = (IsAuthenticated,)
    ...
    
# -----------------------------
from django.conf.urls import url, include

from .views import ExampleAPIView

urlpatterns = [
    url(r'^example/(?P<example_id>[-\w]+)/examples/?$',
        ExampleAPIView.as_view()),
]

複製程式碼

在我們呼叫APIVIEW.as_view()的時候，該類會呼叫父類的同名方法：
父類的同名方法中，呼叫了dispatch方法：
rest ***重寫***了該方法，在該方法中對requset做了一次服務端初始化(加入驗證資訊等)處理

呼叫許可權管理

在許可權管理中會使用預設的或是你指定的許可權認證進行驗證: 這裡只是做驗證並存儲驗證結果，這裡操作完後authentication_classes的作用就完成了。驗證結果會在後面指定的permission_classes中使用！

    def get_authenticators(self):
        """
        Instantiates and returns the list of authenticators that this view can use.
        """
        return [auth() for auth in self.authentication_classes]
複製程式碼

通過指定的permission_classes確定是否有當前介面的訪問許可權:

class IsAuthenticatedOrReadOnly(BasePermission):
    """
    The request is authenticated as a user, or is a read-only request.
    """

    def has_permission(self, request, view):
        return (
            request.method in SAFE_METHODS or
            request.user and
            request.user.is_authenticated
        )
複製程式碼

最後，不管有沒有使用permission_classes來決定是否能訪問，預設的或是你自己指定的authentication_classes都會執行並將許可權結果放在request中！

Django-Rest-Framework 許可權管理原始碼淺析

許可權管理簡單介紹在django的views中不論是用類方式還是用裝飾器方式來使用rest框架，django_rest_frame實現許可權管理都需要兩個東西的配合:authentication_classes 和 permission_classes # 方式1: 裝飾器 from rest_fram

Django rest framework 許可權操作(原始碼分析二)

知識回顧這一篇是基於上一篇寫的，上一篇謝了認證的具體流程，看懂了上一篇這一篇才能看懂，當用戶訪問是首先執行dispatch函式，當執行當第二部時： #2.處理版本資訊處理認證資訊處理許可權資訊對使用者的訪問頻率進行限制 self

django rest framework許可權管理實戰

前言本文標題為實戰，那麼希望你已經搭建好了環境。如果沒有，請參考官方文件進行環境搭建：官方教程通過學習這個例子，你可以學到：如何使用django rest framework去實現RESTful api 學會如何進行許可權控制希望對rest fra

Django rest framework 版本控制(原始碼分析四)

基於上述分析 #2.處理版本資訊處理認證資訊處理許可權資訊對使用者的訪問頻率進行限制 self.initial(request, *args, **kwargs) #2.1處理版本資訊 #version代表版本

Django REST framework 許可權

許可權Permissions 許可權控制可以限制使用者對於檢視的訪問和對於具體資料物件的訪問。在執行檢視的dispatch()方法前，會先進行檢視訪問許可權的判斷在通過get_object()獲取具體物件時，會進行物件訪問許可權的判斷使用可以在配置檔案中設定預設的許可權管理類

Django rest framework原始碼分析（2）----許可權

目錄新增許可權（1）API/utils資料夾下新建premission.py檔案，程式碼如下： message是當沒有許可權時，提示的資訊 # utils/permission.py class SVIPPremission(object): message =

django-rest-framework-原始碼解析004-三大驗證(認證/許可權/限流)

三大驗證模組概述在DRF的APIView重寫的dispatch方法中, self.initial(request, *args, **kwargs) 這句話就是執行三大驗證的邏輯, 點進去可以看到依次執行的就是認證(authentication)/許可權(permission

Django rest framework（2）----許可權

一新增許可權（1）API/utils資料夾下新建premission.py檔案，程式碼如下： message是當沒有許可權時，提示的資訊 #!/usr/bin/env python # coding:utf-8 from rest_framework.permission

Django rest framework 的認證流程(原始碼分析一)

一、基本流程舉例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view()), ] urls

Django rest framework 限制訪問頻率(原始碼分析三)

基於當用發出請求時首先執行dispatch函式，當執行當第二部時： #2.處理版本資訊處理認證資訊處理許可權資訊對使用者的訪問頻率進行限制 self.initial(request, *args, **kwargs)

django rest framework之節流的原始碼流程剖析

檢視類： 1 class UserViewset(BaseView): 2 ''' 3 create: 4 建立使用者 5 retrieve： 6 7 ''' 8 queryset = User.objects.

django rest framework之解析器的原始碼流程剖析

在初始化Request的時候： 1 def initialize_request(self, request, *args, **kwargs): 2 """ 3 Returns the initial request object. 4

django rest framework之版本的原始碼流程剖析

和之前的認證一樣在initial函式中： 1 def initial(self, request, *args, **kwargs): 2 """ 3 Runs anything that needs to occur prior to calling t

django rest framework之序列化的原始碼流程剖析

當要對資料物件進行序化列例項化的時候 1 def __new__(cls, *args, **kwargs): 2 # We override this method in order to automagically create 3 # `ListSeria

3---Django rest framework原始碼分析（3）----節流

Django rest framework原始碼分析（3）----節流目錄新增節流自定義節流的方法限制60s

Django rest framework原始碼分析（4）----版本

目錄版本新建一個工程Myproject和一個app名為api （1）api/models.py from django.db import models class UserInfo(models.Model): USER_TYPE = ( (1,'普通

Django rest framework原始碼分析（1）----認證

目錄一、基礎 1.1.安裝兩種方式： pip install djangorestframework 1.2.需要先了解的一些知識理解下面兩個知識點非常重要，django-rest-framework原始碼中到處都是基於CBV和麵向物件的封裝（1）面向物件封裝的兩大特性

Django rest framework原始碼分析（3）----節流

目錄新增節流自定義節流的方法限制60s內只能訪問3次（1）API資料夾下面新建throttle.py，程式碼如下： # utils/throttle.py from rest_framework.throttling import BaseThrottle impo

Django REST FrameWork中文教程4：驗證和許可權

目前，我們的API對誰可以編輯或刪除程式碼段沒有任何限制。我們想要一些更高階的行為，以確保：程式碼段始終與建立者相關聯。只有身份驗證的使用者可以建立片段。只有片段的建立者可以更新或刪除它。未經身份驗證的請求應具有完全只讀訪問許可權。將資訊新增到

Django REST Framework之許可權元件

許可權控制是如何實現的？一般來說，先有認證才有許可權，也就是使用者登入後才能判斷其許可權，未登入使用者給他一個預設許可權。 Django接收到一個請求，首先經過許可權的檢查，如果通過檢查，擁有訪問的許可權，則予以放行，進入到檢視處理。如果沒有通過檢查，不會進入檢視層，直接返回前端相應資訊。使用許可權

Django-Rest-Framework 許可權管理原始碼淺析

許可權管理簡單介紹

許可權管理原理淺析

相關推薦