编程 Python

Django REST framwork的权限验证实例

Posted in Python onApril 02, 2020

在这里插入代码片# Django REST framwork的权限验证

一、用户是否登录

（1）判断用户是否登录；

permission_classes = (IsAuthenticated, )

注意：permission_classes设置的是：验证的是用户是否登录、用户是否可以操作该数据等的权限；

权限组合方式，目前支持：与&（and）或|（or）非~(not)

例如：permission_classes = (SecAdminPermission | AudAdminPermission,)

注意：使用元组 (SecAdminPermission | AudAdminPermission,)或列表[ SecAdminPermission | AudAdminPermission]都可以。

（2）设置用户认证方式；

authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)

注意：authentication_classes设置的是：用户可以通过哪种方式登录系统，例如：JWT或传统的用户名+密码方式登录。

具体代码如下：

from rest_framework.permissions import IsAuthenticated # 判断用户是否登录
from rest_framework_jwt.authentication import JSONWebTokenAuthentication # jwt用户认证
class UserFavViewset(mixins.CreateModelMixin, mixins.ListModelMixin, mixins.RetrieveModelMixin,
      mixins.DestroyModelMixin, viewsets.GenericViewSet):
 """
 list:
  获取用户收藏列表
 retrieve:
  判断某个商品是否已经收藏
 create:
  收藏商品
 delete:
  取消收藏
 """
 # 权限判断：IsAuthenticated表示是否已经登录，IsOwnerOrReadOnly表示数据是不是属于当前登录用户
 permission_classes = (IsAuthenticated, IsOwnerOrReadOnly)
 # 用户认证：方式一：JSONWebTokenAuthentication；方式二：SessionAuthentication
 authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
 # 定义通过哪个参数来定位实例
 lookup_field = "goods_id" # 在详细页面时，搜索goods_id来确认该商品有没有被收藏，是在当前用户下进行搜索的

 def get_queryset(self):
  """获取当前登录用户的收藏信息"""
  return UserFav.objects.filter(user=self.request.user)

 # 方法一：修改商品收藏数
 # def perform_create(self, serializer):
 #  """修改商品收藏数"""
 #  instance = serializer.save()
 #  goods = instance.goods
 #  goods.fav_num += 1
 #  goods.save()

 # 动态设置序列化类
 def get_serializer_class(self):
  if self.action == "list":
   return UserFavDetailSerializer
  elif self.action == "create":
   return UserFavSerializer

  return UserFavSerializer

二、用户是否对该数据有操作权限；

（1）自定义权限验证

前提：待验证对象有user字段；

from rest_framework import permissions

# 权限判断：数据是不是属于当前登录用户
class IsOwnerOrReadOnly(permissions.BasePermission):
 """
 Object-level permission to only allow owners of an object to edit it.
 Assumes the model instance has an `owner` attribute.
 """

 def has_object_permission(self, request, view, obj):
  # 1 只读
  # Read permissions are allowed to any request,
  # so we'll always allow GET, HEAD or OPTIONS requests.
  if request.method in permissions.SAFE_METHODS: # 是不是安全的访问方法
   return True
 # 2 写权限
  # Instance must have an attribute named `owner`.
  # return (obj.publisher if obj.publisher else self.fans )== request.user
  return obj.user== request.user # 判断当前数据是不是登录用户的数据

（2）在接口中，添加数据权限验证；

class UserFavViewset(mixins.CreateModelMixin, mixins.ListModelMixin, mixins.RetrieveModelMixin,
      mixins.DestroyModelMixin, viewsets.GenericViewSet):
 """
 list:
  获取用户收藏列表
 retrieve:
  判断某个商品是否已经收藏
 create:
  收藏商品
  delete:
   取消收藏
 """
 # 权限判断：IsAuthenticated表示是否已经登录，IsOwnerOrReadOnly表示数据是不是属于当前登录用户
 permission_classes = (IsAuthenticated, IsOwnerOrReadOnly)
 # 用户认证：方式一：JSONWebTokenAuthentication；方式二：SessionAuthentication
 authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
 # 设置
 lookup_field = "goods_id" # 在详细页面时，搜索goods_id来确认该商品有没有被收藏，是在当前用户下进行搜索的

 def get_queryset(self):
  """获取当前登录用户的收藏信息"""
  return UserFav.objects.filter(user=self.request.user)

补充知识：django rest framework api授权与认证

djangorestf 官方文档授权与认证教程

permissions.py

from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
  '''
  常规的授权是 只有拥有者才能编辑它
  '''

  def has_object_permission(self, request, view, obj):
    # 读权限 向所有请求开放
    # 所以我们总是允许get, head or options requests.
    if request.method in permissions.SAFE_METHODS:
      return True

    # 写权限 只给拥有者
    return obj.owner == request.user

view.py

'''基于泛型类的视图'''
from snippets.models import Snippet
from snippets.serializers import SnippetSerializer, UserSerializer
from rest_framework import generics
from snippets.permissions import IsOwnerOrReadOnly
from django.contrib.auth.models import User

class UserList(generics.ListAPIView):
  '''
  User表的列表api视图 查 增 操作
  '''
  queryset = User.objects.all()
  serializer_class = UserSerializer

class UserDetail(generics.RetrieveDestroyAPIView):
  '''
  User表的详情api视图 查 改 删操作
  '''
  queryset = User.objects.all()
  serializer_class = UserSerializer



class SnippetList(generics.ListCreateAPIView):
  permission_classes = [permissions.IsAuthenticatedOrReadOnly]
  queryset = Snippet.objects.all()
  serializer_class = SnippetSerializer

  def perform_create(self, serializer):
    serializer.save(owner=self.request.user)


class SnippetDetail(generics.RetrieveDestroyAPIView):
  # detail 所有人都能读，但是只有拥有者可以更改

  # permissions.IsAuthenticatedOrReadOnly 表示没有认证的人有读的权限，认证的人有所有权限
  # IsOwnerOrReadOnly 通过了前面的授权之后，还要通过这个授权
  # 当所有的授权都通过的时候 所有的对象实例都返回true 表示授权通过
  permission_classes = [permissions.IsAuthenticatedOrReadOnly, IsOwnerOrReadOnly]
  queryset = Snippet.objects.all()
  serializer_class = SnippetSerializer

总结：通过传递permission_classes 类变量传递授权类，

1、请求要进行某个操作的时候 ->

2、传递参数将授权类列表中的多个授权类实例化得到实例化对象->

3、调用所有授权实例对象的has_、permission以及has_object_permission方法 ->

4、所有的返回结果都为true ->

5、该操作的授权才通过，数据操作向下继续进行。

以上这篇Django REST framwork的权限验证实例就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持三水点靠木。

Django REST framwork的权限验证实例

- Author -

winfred_hua

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

pycharm 使用心得（一）安装和首次使用

Jun 05 Python

python字符串替换的2种方法

Nov 30 Python

Python中的localtime()方法使用详解

May 22 Python

Python使用os模块和fileinput模块来操作文件目录

Jan 19 Python

Python中模块string.py详解

Mar 12 Python

python利用Guetzli批量压缩图片

Mar 23 Python

Python读取英文文件并记录每个单词出现次数后降序输出示例

Jun 28 Python

Python把对应格式的csv文件转换成字典类型存储脚本的方法

Feb 12 Python

详解Python3序列赋值、序列解包

May 14 Python

python用WxPython库实现无边框窗体和透明窗体实现方法详解

Feb 21 Python

Python AutoCAD 系统设置的实现方法

Apr 01 Python

Django框架实现在线考试系统的示例代码

Nov 30 Python

详解Ubuntu环境下部署Django+uwsgi+nginx总结

Apr 02 #Python

在 Pycharm 安装使用black的方法详解

Apr 02 #Python

Python Numpy中数据的常用保存与读取方法

Apr 01 #Python

Python PyQt5整理介绍

Apr 01 #Python

django之导入并执行自定义的函数模块图解

Apr 01 #Python

在脚本中单独使用django的ORM模型详解

Apr 01 #Python

Python视频编辑库MoviePy的使用

Apr 01 #Python

You might like

一个简洁的PHP可逆加密函数(分享)

2013/06/06 PHP

支持中文的PHP按字符串长度分割成数组代码

2015/05/17 PHP

详解WordPress中添加和执行动作的函数使用方法

2015/12/29 PHP

PHP折半（二分）查找算法实例分析

2018/05/12 PHP

php-fpm超时时间设置request_terminate_timeout资源问题分析

2019/09/27 PHP

php array 转json及java 转换 json数据格式操作示例

2019/11/13 PHP

列表内容的选择

2006/06/30 Javascript

Javascript解决常见浏览器兼容问题的12种方法

2010/01/04 Javascript

JS打开图片另存为对话框实现代码

2012/12/26 Javascript

jQuery异步验证用户名是否存在示例代码

2014/05/21 Javascript

node.js中的fs.fsync方法使用说明

2014/12/15 Javascript

indexedDB bootstrap angularjs之 MVC DOMO (应用示例)

2016/06/20 Javascript

用jQuery实现优酷首页轮播图

2017/01/09 Javascript

JS验证全角与半角及相互转化的介绍

2017/05/18 Javascript

使用svg实现动态时钟效果

2018/07/17 Javascript

vue.js父子组件通信动态绑定的实例

2018/09/28 Javascript

vuex的module模块用法示例

2018/11/12 Javascript

如何实现小程序tab栏下划线动画效果

2019/05/18 Javascript

Vue实现点击箭头上下移动效果

2020/06/11 Javascript

[07:31]DOTA2卡尔工作室英雄介绍主宰篇

2013/06/25 DOTA

python实现文本去重且不打乱原本顺序

2016/01/26 Python

Python获取CPU、内存使用率以及网络使用状态代码

2018/02/08 Python

Python基于更相减损术实现求解最大公约数的方法

2018/04/04 Python

Django 迁移、操作数据库的方法

2019/08/02 Python

Python3 文章标题关键字提取的例子

2019/08/26 Python

Django Form and ModelForm的区别与使用

2019/12/06 Python

python 异步async库的使用说明

2020/05/04 Python

Anaconda3中的Jupyter notebook添加目录插件的实现

2020/05/18 Python

Python 实现一个简单的web服务器

2021/01/03 Python

自1926年以来就为冰岛保持温暖：66°North

2020/11/27 全球购物

大整数数相乘的问题

2012/07/22 面试题

《梅兰芳学艺》教学反思

2014/02/24 职场文书

拾金不昧感谢信

2015/01/21 职场文书

2015国庆节66周年演讲稿

2015/03/20 职场文书

2015年营销工作总结范文

2015/04/23 职场文书

初中毕业生感言

2015/07/31 职场文书