2. 程式人生 > >Django rest framework原始碼分析(2)----許可權

Django rest framework原始碼分析(2)----許可權

阿新 發佈:2018-12-30

目錄

新增許可權

(1)API/utils資料夾下新建premission.py檔案,程式碼如下:

  • message是當沒有許可權時,提示的資訊
# utils/permission.py


class SVIPPremission(object):
    message = "必須是SVIP才能訪問"
    def has_permission(self,request,view):
        if request.user.user_type != 3:
            return False
        return True



 
class MyPremission(object):
    def has_permission(self,request,view):
        if request.user.user_type == 3:
            return False
        return True

(2)settings.py全域性配置許可權

#全域性
REST_FRAMEWORK = {
    "DEFAULT_AUTHENTICATION_CLASSES":['API.utils.auth.Authentication',],
    "DEFAULT_PERMISSION_CLASSES
 
":['API.utils.permission.SVIPPremission'],
}

(3)views.py新增許可權

  • 預設所有的業務都需要SVIP許可權才能訪問
  • OrderView類裡面沒寫表示使用全域性配置的SVIPPremission
  • UserInfoView類,因為是普通使用者和VIP使用者可以訪問,不使用全域性的,要想區域性使用的話,裡面就寫上自己的許可權類
  • permission_classes = [MyPremission,]   #區域性使用許可權方法
from django.shortcuts import render,HttpResponse

 
from django.http import JsonResponse
from rest_framework.views import APIView
from API import models
from rest_framework.request import Request
from rest_framework import exceptions
from rest_framework.authentication import BaseAuthentication
from API.utils.permission import SVIPPremission,MyPremission

ORDER_DICT = {
    1:{
        'name':'apple',
        'price':15
    },
    2:{
        'name':'dog',
        'price':100
    }
}

def md5(user):
    import hashlib
    import time
    #當前時間,相當於生成一個隨機的字串
    ctime = str(time.time())
    m = hashlib.md5(bytes(user,encoding='utf-8'))
    m.update(bytes(ctime,encoding='utf-8'))
    return m.hexdigest()

class AuthView(APIView):
    '''用於使用者登入驗證'''

    authentication_classes = []      #裡面為空,代表不需要認證
    permission_classes = []          #不裡面為空,代表不需要許可權
    def post(self,request,*args,**kwargs):
        ret = {'code':1000,'msg':None}
        try:
            user = request._request.POST.get('username')
            pwd = request._request.POST.get('password')
            obj = models.UserInfo.objects.filter(username=user,password=pwd).first()
            if not obj:
                ret['code'] = 1001
                ret['msg'] = '使用者名稱或密碼錯誤'
            #為使用者建立token
            token = md5(user)
            #存在就更新,不存在就建立
            models.UserToken.objects.update_or_create(user=obj,defaults={'token':token})
            ret['token'] = token
        except Exception as e:
            ret['code'] = 1002
            ret['msg'] = '請求異常'
        return JsonResponse(ret)


class OrderView(APIView):
    '''
    訂單相關業務(只有SVIP使用者才能看)
    '''

    def get(self,request,*args,**kwargs):
        self.dispatch
        #request.user
        #request.auth
        ret = {'code':1000,'msg':None,'data':None}
        try:
            ret['data'] = ORDER_DICT
        except Exception as e:
            pass
        return JsonResponse(ret)


class UserInfoView(APIView):
    '''
       訂單相關業務(普通使用者和VIP使用者可以看)
       '''
    permission_classes = [MyPremission,]    #不用全域性的許可權配置的話,這裡就要寫自己的區域性許可權
    def get(self,request,*args,**kwargs):

        print(request.user)
        return HttpResponse('使用者資訊')
from django.contrib import admin
from django.urls import path
from API.views import AuthView,OrderView,UserInfoView

urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/v1/auth/',AuthView.as_view()),
    path('api/v1/order/',OrderView.as_view()),
    path('api/v1/info/',UserInfoView.as_view()),
]
urls.py 
# API/utils/auth/py

from rest_framework import exceptions
from API import models
from rest_framework.authentication import BaseAuthentication


class Authentication(BaseAuthentication):
    '''用於使用者登入驗證'''
    def authenticate(self,request):
        token = request._request.GET.get('token')
        token_obj = models.UserToken.objects.filter(token=token).first()
        if not token_obj:
            raise exceptions.AuthenticationFailed('使用者認證失敗')
        #在rest framework內部會將這兩個欄位賦值給request,以供後續操作使用
        return (token_obj.user,token_obj)

    def authenticate_header(self, request):
        pass
auth.py

(4)測試

普通使用者訪問OrderView,提示沒有許可權

 普通使用者訪問UserInfoView,可以返回資訊

 許可權原始碼流程

 (1)dispatch

    def dispatch(self, request, *args, **kwargs):
        """
        `.dispatch()` is pretty much the same as Django's regular dispatch,
        but with extra hooks for startup, finalize, and exception handling.
        """
        self.args = args
        self.kwargs = kwargs
        #對原始request進行加工,豐富了一些功能
        #Request(
        #     request,
        #     parsers=self.get_parsers(),
        #     authenticators=self.get_authenticators(),
        #     negotiator=self.get_content_negotiator(),
        #     parser_context=parser_context
        # )
        #request(原始request,[BasicAuthentications物件,])
        #獲取原生request,request._request
        #獲取認證類的物件,request.authticators
        #1.封裝request
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
            #2.認證
            self.initial(request, *args, **kwargs)

            # Get the appropriate handler method
            if request.method.lower() in self.http_method_names:
                handler = getattr(self, request.method.lower(),
                                  self.http_method_not_allowed)
            else:
                handler = self.http_method_not_allowed

            response = handler(request, *args, **kwargs)

        except Exception as exc:
            response = self.handle_exception(exc)

        self.response = self.finalize_response(request, response, *args, **kwargs)
        return self.response

(2)initial

    def initial(self, request, *args, **kwargs):
        """
        Runs anything that needs to occur prior to calling the method handler.
        """
        self.format_kwarg = self.get_format_suffix(**kwargs)

        # Perform content negotiation and store the accepted info on the request
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg

        # Determine the API version, if versioning is in use.
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme

        # Ensure that the incoming request is permitted
        #4.實現認證
        self.perform_authentication(request)
        #5.許可權判斷
        self.check_permissions(request)
        self.check_throttles(request)

(3)check_permissions

裡面有個has_permission這個就是我們自己寫的許可權判斷

    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        #[許可權類的物件列表]
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

(4)get_permissions

 def get_permissions(self):
        """
        Instantiates and returns the list of permissions that this view requires.
        """
        return [permission() for permission in self.permission_classes]

(5)permission_classes

 所以settings全域性配置就如下

#全域性
REST_FRAMEWORK = {
   "DEFAULT_PERMISSION_CLASSES":['API.utils.permission.SVIPPremission'],
}

內建許可權

 django-rest-framework內建許可權BasePermission

預設是沒有限制許可權

class BasePermission(object):
    """
    A base class from which all permission classes should inherit.
    """

    def has_permission(self, request, view):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

    def has_object_permission(self, request, view, obj):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

我們自己寫的許可權類,應該去繼承BasePermission,修改之前寫的permission.py檔案

# utils/permission.py

from rest_framework.permissions import BasePermission

class SVIPPremission(BasePermission):
    message = "必須是SVIP才能訪問"
    def has_permission(self,request,view):
        if request.user.user_type != 3:
            return False
        return True


class MyPremission(BasePermission):
    def has_permission(self,request,view):
        if request.user.user_type == 3:
            return False
        return True

總結:

(1)使用

  • 自己寫的許可權類:1.必須繼承BasePermission類;  2.必須實現:has_permission方法

(2)返回值

  • True   有權訪問
  • False  無權訪問

(3)區域性

  • permission_classes = [MyPremission,] 

 (4)全域性

REST_FRAMEWORK = {
   #許可權
    "DEFAULT_PERMISSION_CLASSES":['API.utils.permission.SVIPPremission'],
}

相關推薦

Django rest framework原始碼分析2----許可權

目錄 新增許可權 (1)API/utils資料夾下新建premission.py檔案,程式碼如下: message是當沒有許可權時,提示的資訊 # utils/permission.py class SVIPPremission(object): message =

3---Django rest framework原始碼分析3----節流

Django rest framework原始碼分析(3)----節流 目錄 新增節流 自定義節流的方法  限制60s

Django rest framework原始碼分析4----版本

目錄 版本  新建一個工程Myproject和一個app名為api (1)api/models.py from django.db import models class UserInfo(models.Model): USER_TYPE = ( (1,'普通

Django rest framework原始碼分析1----認證

目錄 一、基礎 1.1.安裝 兩種方式: pip install djangorestframework 1.2.需要先了解的一些知識 理解下面兩個知識點非常重要,django-rest-framework原始碼中到處都是基於CBV和麵向物件的封裝 (1)面向物件封裝的兩大特性

Django rest framework原始碼分析3----節流

目錄 新增節流 自定義節流的方法  限制60s內只能訪問3次 (1)API資料夾下面新建throttle.py,程式碼如下: # utils/throttle.py from rest_framework.throttling import BaseThrottle impo

Mybatis 原始碼分析2—— 引數處理

Mybatis對引數的處理是值得推敲的,不然在使用的過程中對發生的一系列錯誤直接懵逼了。 以前遇到引數繫結相關的錯誤我就是直接給加@param註解,也稀裡糊塗地解決了,但是後來遇到了一些問題推翻了我的假設:單個引數不需要使用 @param 。由此產生了一個疑問,Mybatis到底是怎

PackageManagerService 原始碼分析2

  一.scanPackageLI PKMS 中呼叫scanDirLI來分析APK 檔案,如果目錄下的是apk檔案或者是目錄,會繼續呼叫scanPackageLI函式: private PackageParser.Package scanPackageLI(File s

Android進階3:Activity原始碼分析2 —— Activity啟動和銷燬流程8.0

上篇文章講述了app從啟動建立Activity呼叫onCreate,onStart, onResume方法,這篇文章講述一下Activity啟動的另一個切入點:startActivity方法,啟動Activity。 通過上一篇文章,我們總結一下: 1:A

tensorflowV1.11-原始碼分析2

通過前面的run_shell函式,執行python指令碼,並返回python庫的路徑。 def get_python_path(environ_cp, python_bin_path): """Get the python site package paths.""" python_paths = [

【原創】docker原始碼分析2---docker server

上一節,分析了Engine和job。那這一節就開始講下docker server。 1、docker server 1.1 主體流程 我們從main函式開始,看看docker server

Android init原始碼分析2init.rc解析

action_for_each_trigger("early-init", action_add_queue_tail); queue_builtin_action(wait_for_coldboot_done_action, "wait_for_coldboot_done"); q

HDFS原始碼分析2----HDFS原始碼結構

BlockPlacementPolicy.java----抽象類:這個介面用於選擇放置塊副本的目標磁碟的所需的數目; BlockPlacementPolicyDefault.java----繼承實現類:這個類實現了選擇放置塊副本的目標磁碟的所需的數目; BlockPlacementPolicyWithNode

Hadoop原始碼分析2————MapReduce之MapTask

MapTask(Hadoop2.7.3) MapTask.java繼承於Task,是hadoop中Map節點主要所做的主要流程。 一般被jvmtask初始化或者在MapTaskAttemptImpl被初始化。其主要流程寫在run()方法中。 run()方法

U-Boot啟動過程原始碼分析2-第二階段

先總述:第一階段cpu/arm920t/start.S和board/smdk2410/lowlevel_init.S進行初始化,再跳到第二階段的入口點lib_arm/board.c中的start_armboot函式。 第二階段start_armboot函式需

libevent原始碼分析2--2.1.8--結構體 struct event和struct event_callback

一、event_callback結構體 struct event_callback { //下一個回撥事件 TAILQ_ENTRY(event_callback) evcb_active_next; //回撥事件的狀態標識,具體為:

opendaylightLi l2switch 原始碼分析2--parent

本文主要介紹l2switch中的parent工程,該工程定義了執行L2switch所使用的依賴模組以及版本等。 該工程下只有一個pom.xml檔案,下面對該檔案中的主要內容進行說明: 1. <parent>     <groupId>org.open

MySQL原始碼分析2:Mysql中的記憶體分配相關

Mysql中的記憶體分配相關 涉及到記憶體的配置引數這些引數可以分成兩部分,分別對應MySQL中的兩個層次:伺服器層和儲存引擎層。 MySQL伺服器相關: 每個連線到MySQL伺服器的執行緒都需要有自己的緩衝,預設為其分配256K。事務開始之後,則需要增加更多的空間。執行較

webpack原始碼分析2---- webpack\bin\webpack.js

前言 上文講到呼叫webpack指令實際執行的是node webpack\bin\webpack.js這段程式碼,我們今天的目的就

Django rest framework2----許可權

一 新增許可權 (1)API/utils資料夾下新建premission.py檔案,程式碼如下: message是當沒有許可權時,提示的資訊 #!/usr/bin/env python # coding:utf-8 from rest_framework.permission

zigbee 之ZStack-2.5.1a原始碼分析無線資料傳送和接收

前面說過SampleApp_Init和SampleApp_ProcessEvent是我們重點關注的函式,接下來分析無線傳送和接收相關的程式碼: 在SampleApp_ProcessEvent函式中: if ( events & SYS_EVENT_MSG ) {  &nbs