编程 Python

Django REST framwork的权限验证实例

Posted in Python onApril 02, 2020

在这里插入代码片# Django REST framwork的权限验证

一、用户是否登录

（1）判断用户是否登录；

permission_classes = (IsAuthenticated, )

注意：permission_classes设置的是：验证的是用户是否登录、用户是否可以操作该数据等的权限；

权限组合方式，目前支持：与&（and）或|（or）非~(not)

例如：permission_classes = (SecAdminPermission | AudAdminPermission,)

注意：使用元组 (SecAdminPermission | AudAdminPermission,)或列表[ SecAdminPermission | AudAdminPermission]都可以。

（2）设置用户认证方式；

authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)

注意：authentication_classes设置的是：用户可以通过哪种方式登录系统，例如：JWT或传统的用户名+密码方式登录。

具体代码如下：

from rest_framework.permissions import IsAuthenticated # 判断用户是否登录
from rest_framework_jwt.authentication import JSONWebTokenAuthentication # jwt用户认证
class UserFavViewset(mixins.CreateModelMixin, mixins.ListModelMixin, mixins.RetrieveModelMixin,
      mixins.DestroyModelMixin, viewsets.GenericViewSet):
 """
 list:
  获取用户收藏列表
 retrieve:
  判断某个商品是否已经收藏
 create:
  收藏商品
 delete:
  取消收藏
 """
 # 权限判断：IsAuthenticated表示是否已经登录，IsOwnerOrReadOnly表示数据是不是属于当前登录用户
 permission_classes = (IsAuthenticated, IsOwnerOrReadOnly)
 # 用户认证：方式一：JSONWebTokenAuthentication；方式二：SessionAuthentication
 authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
 # 定义通过哪个参数来定位实例
 lookup_field = "goods_id" # 在详细页面时，搜索goods_id来确认该商品有没有被收藏，是在当前用户下进行搜索的

 def get_queryset(self):
  """获取当前登录用户的收藏信息"""
  return UserFav.objects.filter(user=self.request.user)

 # 方法一：修改商品收藏数
 # def perform_create(self, serializer):
 #  """修改商品收藏数"""
 #  instance = serializer.save()
 #  goods = instance.goods
 #  goods.fav_num += 1
 #  goods.save()

 # 动态设置序列化类
 def get_serializer_class(self):
  if self.action == "list":
   return UserFavDetailSerializer
  elif self.action == "create":
   return UserFavSerializer

  return UserFavSerializer

二、用户是否对该数据有操作权限；

（1）自定义权限验证

前提：待验证对象有user字段；

from rest_framework import permissions

# 权限判断：数据是不是属于当前登录用户
class IsOwnerOrReadOnly(permissions.BasePermission):
 """
 Object-level permission to only allow owners of an object to edit it.
 Assumes the model instance has an `owner` attribute.
 """

 def has_object_permission(self, request, view, obj):
  # 1 只读
  # Read permissions are allowed to any request,
  # so we'll always allow GET, HEAD or OPTIONS requests.
  if request.method in permissions.SAFE_METHODS: # 是不是安全的访问方法
   return True
 # 2 写权限
  # Instance must have an attribute named `owner`.
  # return (obj.publisher if obj.publisher else self.fans )== request.user
  return obj.user== request.user # 判断当前数据是不是登录用户的数据

（2）在接口中，添加数据权限验证；

class UserFavViewset(mixins.CreateModelMixin, mixins.ListModelMixin, mixins.RetrieveModelMixin,
      mixins.DestroyModelMixin, viewsets.GenericViewSet):
 """
 list:
  获取用户收藏列表
 retrieve:
  判断某个商品是否已经收藏
 create:
  收藏商品
  delete:
   取消收藏
 """
 # 权限判断：IsAuthenticated表示是否已经登录，IsOwnerOrReadOnly表示数据是不是属于当前登录用户
 permission_classes = (IsAuthenticated, IsOwnerOrReadOnly)
 # 用户认证：方式一：JSONWebTokenAuthentication；方式二：SessionAuthentication
 authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
 # 设置
 lookup_field = "goods_id" # 在详细页面时，搜索goods_id来确认该商品有没有被收藏，是在当前用户下进行搜索的

 def get_queryset(self):
  """获取当前登录用户的收藏信息"""
  return UserFav.objects.filter(user=self.request.user)

补充知识：django rest framework api授权与认证

djangorestf 官方文档授权与认证教程

permissions.py

from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
  '''
  常规的授权是 只有拥有者才能编辑它
  '''

  def has_object_permission(self, request, view, obj):
    # 读权限 向所有请求开放
    # 所以我们总是允许get, head or options requests.
    if request.method in permissions.SAFE_METHODS:
      return True

    # 写权限 只给拥有者
    return obj.owner == request.user

view.py

'''基于泛型类的视图'''
from snippets.models import Snippet
from snippets.serializers import SnippetSerializer, UserSerializer
from rest_framework import generics
from snippets.permissions import IsOwnerOrReadOnly
from django.contrib.auth.models import User

class UserList(generics.ListAPIView):
  '''
  User表的列表api视图 查 增 操作
  '''
  queryset = User.objects.all()
  serializer_class = UserSerializer

class UserDetail(generics.RetrieveDestroyAPIView):
  '''
  User表的详情api视图 查 改 删操作
  '''
  queryset = User.objects.all()
  serializer_class = UserSerializer



class SnippetList(generics.ListCreateAPIView):
  permission_classes = [permissions.IsAuthenticatedOrReadOnly]
  queryset = Snippet.objects.all()
  serializer_class = SnippetSerializer

  def perform_create(self, serializer):
    serializer.save(owner=self.request.user)


class SnippetDetail(generics.RetrieveDestroyAPIView):
  # detail 所有人都能读，但是只有拥有者可以更改

  # permissions.IsAuthenticatedOrReadOnly 表示没有认证的人有读的权限，认证的人有所有权限
  # IsOwnerOrReadOnly 通过了前面的授权之后，还要通过这个授权
  # 当所有的授权都通过的时候 所有的对象实例都返回true 表示授权通过
  permission_classes = [permissions.IsAuthenticatedOrReadOnly, IsOwnerOrReadOnly]
  queryset = Snippet.objects.all()
  serializer_class = SnippetSerializer

总结：通过传递permission_classes 类变量传递授权类，

1、请求要进行某个操作的时候 ->

2、传递参数将授权类列表中的多个授权类实例化得到实例化对象->

3、调用所有授权实例对象的has_、permission以及has_object_permission方法 ->

4、所有的返回结果都为true ->

5、该操作的授权才通过，数据操作向下继续进行。

以上这篇Django REST framwork的权限验证实例就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持三水点靠木。

Django REST framwork的权限验证实例

- Author -

winfred_hua

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

操作Windows注册表的简单的Python程序制作教程

Apr 07 Python

详解python调度框架APScheduler使用

Mar 28 Python

关于python pyqt5安装失败问题的解决方法

Aug 08 Python

Python实现的双色球生成功能示例

Dec 18 Python

浅谈python连续赋值可能引发的错误

Nov 10 Python

一文带你了解Python中的字符串是什么

Nov 20 Python

Python 实现中值滤波、均值滤波的方法

Jan 09 Python

Python完成哈夫曼树编码过程及原理详解

Jul 29 Python

python使用requests.session模拟登录

Aug 09 Python

解决使用Pandas 读取超过65536行的Excel文件问题

Nov 10 Python

python用opencv 图像傅里叶变换

Jan 04 Python

Python编程根据字典列表相同键的值进行合并

Oct 05 Python

详解Ubuntu环境下部署Django+uwsgi+nginx总结

Apr 02 #Python

在 Pycharm 安装使用black的方法详解

Apr 02 #Python

Python Numpy中数据的常用保存与读取方法

Apr 01 #Python

Python PyQt5整理介绍

Apr 01 #Python

django之导入并执行自定义的函数模块图解

Apr 01 #Python

在脚本中单独使用django的ORM模型详解

Apr 01 #Python

Python视频编辑库MoviePy的使用

Apr 01 #Python

You might like

php中require和require_once的区别说明

2014/02/27 PHP

PHP+MYSQL实现用户的增删改查

2015/03/24 PHP

PHP实现恶意DDOS攻击避免带宽占用问题方法

2015/05/27 PHP

PHP模板引擎Smarty中变量的使用方法示例

2016/04/11 PHP

php判断str字符串是否是xml格式数据的方法示例

2017/07/26 PHP

php使用pecl方式安装扩展操作示例

2019/08/12 PHP

js字符编码函数区别分析

2008/06/05 Javascript

基于jquery的不规则矩形的排列实现代码

2012/04/16 Javascript

CSS鼠标响应事件经过、移动、点击示例介绍

2013/09/04 Javascript

使用firebug进行调试javascript的示例

2013/12/16 Javascript

jQuery实现的纵向下拉菜单实例详解【附demo源码下载】

2016/07/09 Javascript

javascript cookie用法基础教程(概念,设置,读取及删除)

2016/09/20 Javascript

微信小程序后台https域名绑定和免费的https证书申请详解

2016/11/10 Javascript

vue 实现走马灯效果

2019/10/28 Javascript

何时/使用 Vue3 render 函数的教程详解

2020/07/25 Javascript

全网小程序接口请求封装实例代码

2020/11/06 Javascript

vue.js页面加载执行created,mounted的先后顺序说明

2020/11/07 Javascript

python网络编程学习笔记(二)：socket建立网络客户端

2014/06/09 Python

python中根据字符串调用函数的实现方法

2016/06/12 Python

利用python获取当前日期前后N天或N月日期的方法示例

2017/07/30 Python

python绘制多个曲线的折线图

2020/03/23 Python

实例介绍Python中整型

2019/02/11 Python

HTML5新增的Css选择器、伪类介绍

2013/08/07 HTML / CSS

JOSEPH官网：英国奢侈时尚品牌

2018/01/31 全球购物

Clos19英国：高档香槟、葡萄酒和烈酒在线购物平台

2020/07/10 全球购物

工商企业管理应届生求职信

2013/11/03 职场文书

给同事的道歉信

2014/01/11 职场文书

小学五年级学生评语

2014/04/22 职场文书

学校督导评估方案

2014/06/10 职场文书

工会优秀工作者事迹

2014/08/17 职场文书

委托书的写法

2014/08/30 职场文书

校园环境卫生倡议书

2015/04/29 职场文书

离婚答辩状怎么写

2015/05/22 职场文书

2016反腐倡廉警示教育心得体会

2016/01/13 职场文书

python 算法题——快乐数的多种解法

2021/05/27 Python

AJAX实现指定部分页面刷新效果

2021/10/16 Javascript