2. 程式人生 > >Django REST Framework之許可權元件

Django REST Framework之許可權元件

阿新 發佈:2019-09-30

許可權控制是如何實現的?

一般來說,先有認證才有許可權,也就是使用者登入後才能判斷其許可權,未登入使用者給他一個預設許可權。

Django接收到一個請求,首先經過許可權的檢查,如果通過檢查,擁有訪問的許可權,則予以放行,進入到檢視處理。如果沒有通過檢查,不會進入檢視層,直接返回前端相應資訊。

使用許可權控制

許可權控制類:

class MyPermission(BasePermission):
    message = "您沒有許可權"

    def has_permission(self, request, view):
        # 判斷使用者是否有許可權,邏輯自己定義。返回值為True或False,代表擁有許可權或沒有許可權
        user_obj = request.user
        if user_obj.type == 3:
            return False
        else:
            return True

views.py:

from rest_framework.views import APIView
from utils.permission import MyPermission

class TestView(APIView):
    permission_classes = [MyPermission, ] # 使用該許可權控制,可以同時使用多個許可權控制類
  
    def get(self, request, *args, **kwargs):
        pass
  
      
     def post(self, request, *args, **kwargs):
        pass
  
        '''
        等等一系列的檢視功能方法
        '''

全域性許可權控制:

settings.py

REST_FRAMEWORK = {
    "DEFAULT_PERMISSION_CLASSES" :['utils.permission.Mypermission',]   
}

注意:如果有部分類不需要許可權判斷的話,可以在Mypermission類中新增“permission_classes = []”,即可

原始碼分析

其實許可權的原始碼流程跟認證的流程基本相同。還是要抓住通過原始碼要想知道什麼,不然就會陷入浩如煙海的原始碼之中。

1.為什麼會使用permission_classes屬性變數?

python 的面向物件程式設計中,我們首先要執行的方法肯定是dispatch方法,所以我們的分析入口就是dispatch方法,在dispatch方法中,可以看到,通過initialize_request方法將django原生的request進行了一次封裝。由initialize_request方法的實現過程可以看出,將其封裝例項化成了一個Request物件。但許可權判斷並沒有像認證一樣初始化到了Request物件中,但對django原生的request封裝還是需要強調的,因為編寫程式碼的過程中對django原生的request的使用是必不可免的。

同樣的,許可權判斷的具體過程跟認證一樣,也是在dispatch方法中所呼叫的initial方法中實現。再跳轉到initial方法中去。

在initial方法中,可以看到許可權判斷的方法,沒錯,就是通過check_permissions方法實現的。再跳轉到這個方法中去。

在check_permissions方法中,就可以看到許可權的判斷就是通過這個for迴圈實現的。正因為在業務程式碼中可能存在若干種類型的許可權判斷,所以才會通過迴圈去執行我們定義好的許可權判斷類來完成多個許可權體系的判斷功能。這樣,我們可以感覺到這裡的“self.get_permissions()”的返回值應該就是我們在檢視類中賦值過的permissions_classes屬性變數的值。那就跳轉到這個方法中去看看吧。

在get_permissions方法中看到,跟認證一樣,返回值同樣是一個列表生成式,而這個列表生成式使用的屬性變數正是我們賦值過的permission_classes,跟我們之前的猜測完全一致。綜上所述,我們為了讓drf介面原始碼使用上我們自己定義的許可權判斷類,那我們就必須按照原始碼中寫的藉口,將permission_classes屬性變數賦值

2.在許可權判斷類中為什麼會定義一個名稱為has_permission的方法?

回到check_permissions方法中,我們看if判斷句,前面剛剛說過,在for中的permission其實就是我們自己定義的許可權判斷類,那麼在if句中的“.has_permission(request,self)”不就應該就是Mypermission類中的方法嗎?所以,我們自己定義的Mypermission類中一定要實現has_permission這個方法。(要注意這個方法的引數)

3.has_permission方法中,為什麼返回值為布林值?

還是跟上一個問題一樣的,在上圖中的if句中,我們可以看到“permission.has_permission(request, self)”的返回值不就是布林值嗎,這個返回值不就是has_permission方法返回值嗎?當返回值為False時,就會執行if句中的程式碼,來丟擲異常。

&n

相關推薦

Django REST Framework許可權元件

許可權控制是如何實現的? 一般來說,先有認證才有許可權,也就是使用者登入後才能判斷其許可權,未登入使用者給他一個預設許可權。 Django接收到一個請求,首先經過許可權的檢查,如果通過檢查,擁有訪問的許可權,則予以放行,進入到檢視處理。如果沒有通過檢查,不會進入檢視層,直接返回前端相應資訊。 使用許可權

DRF Django REST framework 檢視元件(四)

引言 在我們有幾十上百的檢視類,都有get,post等方法,在功能類似時,會導致大量的重複程式碼出現,顯然還有很多可以優化的地方。這也就有了檢視元件,它的功能非常強大,能很好的優化介面邏輯。 檢視元件 使用檢視元件的mixin優化介面邏輯 匯入 mixins  定義序列化類 定義檢視類

DRF Django REST framework 認證元件(五)

引言 很久很久以前,Web站點只是作為瀏覽伺服器資源(資料)和其他資源的工具,甚少有什麼使用者互動之類的煩人的事情需要處理,所以,Web站點的開發這根本不關心什麼人在什麼時候訪問了什麼資源,不需要記錄任何資料,有客戶端請求,我即返回資料,簡單方便,每一個http請求都是新的,響應之後立即斷開連線。 而如今,網

DRF Django REST framework 頻率,響應器與分頁器元件(六)

頻率元件 頻率元件類似於許可權元件,它判斷是否給予請求通過。頻率指示臨時狀態,並用於控制客戶端可以向API發出的請求的速率。 與許可權一樣,可以使用多個調節器。API可能會對未經身份驗證的請求進行限制,而對於經過身份驗證的請求則進行限制較少。 例如,可以將使用者限制為每分鐘最多60個請求,每天最多1000個請

django rest framework 版本

一、前言 1、版本的重要性 在RESTful 規範中,有關版本的問題,用restful規範做開放介面的時候,使用者請求API,系統返回資料。但是難免在系統發展的過程中,不可避免的需要新增新的資源,或者修改現有資源。因此,改動升級必不可少,但是,作為平臺開發者,應該知道:一旦你的API開放出去,有人開始用了

django rest framework 解析器

quest code amp cati bmi name parse 內部 表單提交 一、前言 在前端向後臺發送form表單或者ajax數據的時候,django的content_type會拿到請求頭中的Content-Type屬性然後根據值進行解析。 將request.da

django rest framework 檢視

在之前的django rest framework其他元件中,在檢視函式中繼承類都是rest_framework.view.APIView,這個APIView是繼承的django中的View並且做了封裝和方法重寫的。 那麼在django rest framework中,還有有沒有提供其他的類能夠繼承? 一、

django rest framework節流的原始碼流程剖析

檢視類: 1 class UserViewset(BaseView): 2 ''' 3 create: 4 建立使用者 5 retrieve: 6 7 ''' 8 queryset = User.objects.

django rest framework解析器的原始碼流程剖析

在初始化Request的時候: 1 def initialize_request(self, request, *args, **kwargs): 2 """ 3 Returns the initial request object. 4

django rest framework版本的原始碼流程剖析

和之前的認證一樣在initial函式中: 1 def initial(self, request, *args, **kwargs): 2 """ 3 Runs anything that needs to occur prior to calling t

django rest framework序列化的原始碼流程剖析

當要對資料物件進行序化列例項化的時候 1 def __new__(cls, *args, **kwargs): 2 # We override this method in order to automagically create 3 # `ListSeria

rest-framework認證元件

認證元件 認證簡介 作用:校驗是否登入 首先定義一個類,整合BaseAuthentication,寫一個方法:authenticate,在方法內部,實證過程,認證通過,返回None或者兩個物件(user,auth),這兩個物件,在檢視類的request中可以取出來 from res

Django rest framework 序列化元件

最近在DRF的序列化上踩過了不少坑,特此結合官方文件記錄下,方便日後查閱。 【01】前言    serializers是什麼?官網是這樣的”Serializers allow complex data such as querysets and model instances to be converte

django rest framework 解析器元件 介面設計,檢視元件 (1)

一.解析器元件 -解析器元件是用來解析使用者請求資料的(application/json), content-type 將客戶端發來的json資料進行解析 -必須適應APIView -request.data觸發 二.序列化元件 2.1.django 自帶元件serializer 2.1.1 fr

django rest framework 解析器元件 介面設計,檢視元件 (2)

1. 使用檢視元件進行介面優化 1.1 使用檢視元件的mixin進行介面邏輯優化 - 匯入mixin from rest_framework.mixinx import ( ListModelMix, CreateModelMixin,

django rest framework 序列化元件總結

序列化元件總結 一. 序列化元件本質上為了實現前後端分離,而進行json序列化的一個元件形式,極大方便了解析資料的作用 二. 所有序列化是基於APIView 解析器實現的,通過內部的多繼承關係方便實現進行資料序列化的實現 三 使用方式 1.基於APIView 引入  from rest

rest-framework檢視元件

寫一個出版社的增刪查改resful介面 # models.py模板層 from django.db import models class Book(models.Model): nid = models.AutoField(primary_key=True

Django Rest framework 分頁

RESTful 規範 一、例項 分頁有三種方式 普通分頁,看第n頁,每頁顯示m條資料; 切割分頁,在n個位置,向後檢視m條資料; 加密分頁,這與普通分頁方式相似,不過對url中的請求頁碼進行加密。 1、路由 <1>、主路由 from django.urls

Django REST frameworkModelViewSet繼承關係

class ModelViewSet(mixins.CreateModelMixin, mixins.RetrieveModelMixin,

Django REST framework API認證

密鑰 請求參數 odin 字符 signal 介紹 發布 項目 www. RESTful API 認證   和 Web 應用不同,RESTful APIs 通常是無狀態的, 也就意味著不應使用 sessions 或 cookies, 因此每個請求應附帶某種授權憑證,因為用