快捷導(dǎo)航

Django Rest framework權(quán)限的詳細(xì)用法

更新時(shí)間：2019年07月25日 14:54:00 作者：Title

這篇文章主要介紹了Django Rest framework權(quán)限的詳細(xì)用法,文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下

前言

我們都聽(tīng)過(guò)權(quán)限，那么權(quán)限到底是做什么的呢.

我們都有博客，或者去一些論壇，一定知道管理員這個(gè)角色，

比如我們申請(qǐng)博客的時(shí)候，一定要向管理員申請(qǐng)，也就是說(shuō)管理員會(huì)有一些特殊的權(quán)利，是我們沒(méi)有的.

==這些對(duì)某件事情決策的范圍和程度，我們叫做權(quán)限==，權(quán)限是我們?cè)陧?xiàng)目開(kāi)發(fā)中經(jīng)常用到的.

本文將詳細(xì)講述DRF框架為我們提供的權(quán)限組件的使用方法.

源碼剖析

DRF的版本控制、認(rèn)證、權(quán)限、頻率組件都在initial方法里初始化.

我們點(diǎn)進(jìn)去看看：

其實(shí)我們版本、認(rèn)證、權(quán)限、頻率控制走的源碼流程大致相同.

==我們的權(quán)限類中一定要有has_permission方法——框架為我們提供的鉤子.==

我們?cè)賮?lái)看看rest_framework.permissions文件中存放的框架為我們提供的所有權(quán)限的方法:

==注意圖中的BasePermission類，這個(gè)類是框架為我們提供的基礎(chǔ)權(quán)限類，我們自定義的權(quán)限類都要繼承此類.==

調(diào)用方法

在視圖中調(diào)用：

permission_classes = ["自定義的權(quán)限類", ]

全局調(diào)用：

REST_FRAMEWORK = {
 # 配置全局認(rèn)證
 'DEFAULT_AUTHENTICATION_CLASSES': ["指定自定義的權(quán)限類", ]
}

權(quán)限的詳細(xì)用法

請(qǐng)結(jié)合【DRF認(rèn)證組件詳細(xì)用法】此文獻(xiàn)中的自定義認(rèn)證類來(lái)閱讀如下步驟.

第一步準(zhǔn)備數(shù)據(jù)庫(kù)文件和數(shù)據(jù)

from django.db import models

class UserInfo(models.Model):
 name = models.CharField(max_length=32)
 pwd = models.CharField(max_length=32)
 token = models.UUIDField(null=True, blank=True)
 user_type = ((1, "普通用戶"), (2, "管理員"))
 type = models.IntegerField(choices=user_type, default=1)

數(shù)據(jù)如下：

mysql> select * from blog_userinfo;
+----+-----------+-----------+------+-------+
| id | name | pwd | type | token |
+----+-----------+-----------+------+-------+
| 1 | 花千骨 | huaqiangu | 1 | NULL |
| 2 | 錦覓 | jinmi | 2 | NULL |
+----+-----------+-----------+------+-------+
2 rows in set (0.00 sec)

第二步自定義一個(gè)權(quán)限組件

from rest_framework.permissions import BasePermission # 導(dǎo)入基礎(chǔ)的權(quán)限類


class MyPermission():
 """必備的屬性和方法，基本固定的邏輯"""

 message = "普通用戶無(wú)權(quán)訪問(wèn)的數(shù)據(jù)"

 def has_permission(self, request, view):
 """
 注意：
 源碼中初始化時(shí)的順序是認(rèn)證在前，權(quán)限在后，所以只要認(rèn)證通過(guò)
 我們這里就可以使用request.user拿到用戶信息，request.auth拿到用戶對(duì)象
 """
 # 獲取認(rèn)證控制的返回值
 print("用戶名：" request.user)
 user_obj = request.auth
 if user_obj.type == 1:
 return False # 普通用戶
 return True # 管理員

第三步 urls.py

from django.conf.urls import url
from blog.views import LoginView, TestPermissionView

urlpatterns = [
 url(r'^admin/', admin.site.urls),
 url(r'^login/$', LoginView.as_view()), # 用于登陸
 url(r'^test_permission/$', TestPermissionView.as_view()), # 用于權(quán)限測(cè)試
]

第四步 views.py

from rest_framework.views import APIView
from rest_framework.response import Response
from .auth import MyAuth # 導(dǎo)入自定義的認(rèn)證組件
from .permission import MyPermission # 導(dǎo)入自定義的權(quán)限控制組件
from .models import UserInfo # 導(dǎo)入用戶信息表
import uuid # 用于生成uuid


class LoginView(APIView):
 """用于登陸驗(yàn)證并生成UUID的視圖"""

 def post(self, request):
 name = request.data.get('name')
 pwd = request.data.get('pwd')
 user_obj = UserInfo.objects.filter(name=name, pwd=pwd).first()
 if user_obj:
 u4 = uuid.uuid4() # 生成uuid4
 user_obj.token = u4
 user_obj.save()
 return Response(str(u4))
 return Response("用戶名或密碼錯(cuò)誤")


class TestPermissionView(APIView):
 """用于測(cè)試權(quán)限的視圖"""

 # 在視圖中增加如下屬性，即表明此視圖要走如下組件的邏輯
 authentication_classes = [MyAuth, ] # 自定義的認(rèn)證組件
 permission_classes = [MyPermission, ] # 權(quán)限控制組件

 def get(self, request):
 return Response("這里是管理員能訪問(wèn)的數(shù)據(jù)")

好了，我們可以測(cè)試了.

我們先登陸一個(gè)普通用戶：