Django Rest Framework之權限

基本代碼結構

  url.py:python

from django.conf.urls import url, include
from app import views
  
urlpatterns = [
    url(r'^test/', views.TestView.as_view()),
]

   views.py:web

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.request import Request
from rest_framework import exceptions
 
 
class MyPermission(object):
    def has_permission(request, self):
    '''
    權限代碼編寫區域
    '''
    return True  #權限經過 若是權限不經過 返回False 
 
 
class TestView(APIView):
    permission_classes = [MyPermission, ] 
 
    def get(self, request, *args, **kwargs):
        pass
 
     
     def post(self, request, *args, **kwargs):
        pass
 
        '''
        等等一系列的視圖功能方法
        '''

  說明:

    • has_permission方法的返回值是布爾類型,True表示權限經過,False表示權限拒絕
    • 上面的基本結構是作局部的類的權限判斷方式,全局權限判斷後文介紹。
    • permission_classes屬性變量一樣也是一個列表,列表元素是權限判斷類。

源碼分析

  其實權限的源碼流程跟認證的流程基本相同。仍是要抓住經過源碼要想知道什麼,否則就會陷入浩如煙海的源碼之中。django

  • 爲何會使用permission_classes屬性變量?

    

  python 的面向對象編程中,咱們首先要執行的方法確定是dispatch方法,因此咱們的分析入口就是dispatch方法,在dispatch方法中,能夠看到,經過initialize_request方法將django原生的request進行了一次封裝。由initialize_request方法的實現過程能夠看出,將其封裝實例化成了一個Request對象。但權限判斷並無像認證同樣初始化到了Request對象中,但對django原生的request封裝仍是須要強調的,由於編寫代碼的過程當中對django原生的request的使用是必不可免的。編程

    

    一樣的,權限判斷的具體過程跟認證同樣,也是在dispatch方法中所調用的initial方法中實現。再跳轉到initial方法中去。api

    

    在initial方法中,能夠看到權限判斷的方法,沒錯,就是經過check_permissions方法實現的。再跳轉到這個方法中去。app

    

      在check_permissions方法中,就能夠看到權限的判斷就是經過這個for循環實現的。正由於在業務代碼中可能存在若干種類型的權限判斷,因此纔會經過循環去執行咱們定義好的權限判斷類來完成多個權限體系的判斷功能。這樣,咱們能夠感受到這裏的「self.get_permissions()」的返回值應該就是咱們在視圖類中賦值過的permissions_classes屬性變量的值。那就跳轉到這個方法中去看看吧。ide

  

  在get_permissions方法中看到,跟認證同樣,返回值一樣是一個列表生成式,而這個列表生成式使用的屬性變量正是咱們賦值過的permission_classes,跟咱們以前的猜想徹底一致。綜上所述,咱們爲了讓drf接口源碼使用上咱們本身定義的權限判斷類,那咱們就必須按照源碼中寫的藉口,將permission_classes屬性變量賦值源碼分析

  • 在權限判斷類中爲何會定義一個名稱爲has_permission的方法?

  

  回到check_permissions方法中,咱們看if判斷句,前面剛剛說過,在for中的permission其實就是咱們本身定義的權限判斷類,那麼在if句中的「.has_permission(request,self)」不就應該就是Mypermission類中的方法嗎?因此,咱們本身定義的Mypermission類中必定要實現has_permission這個方法。(要注意這個方法的參數)    post

  • has_permission方法中,爲何返回值爲布爾值?

  仍是跟上一個問題同樣的,在上圖中的if句中,咱們能夠看到「permission.has_permission(request, self)」的返回值不就是布爾值嗎,這個返回值不就是has_permission方法返回值嗎?當返回值爲False時,就會執行if句中的代碼,來拋出異常。url

  

實例

from django.conf.urls import url, include
from web.views import TestView

urlpatterns = [
    url(r'^test/', TestView.as_view()),
]
urls.py
#!/usr/bin/env python
# -*- coding:utf-8 -*-
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.authentication import BaseAuthentication
from rest_framework.permissions import BasePermission

from rest_framework.request import Request
from rest_framework import exceptions

token_list = [
    'sfsfss123kuf3j123',
    'asijnfowerkkf9812',
]


class TestAuthentication(BaseAuthentication):
    def authenticate(self, request):
        """
        用戶認證,若是驗證成功後返回元組: (用戶,用戶Token)
        :param request: 
        :return: 
            None,表示跳過該驗證;
                若是跳過了全部認證,默認用戶和Token和使用配置文件進行設置
                self._authenticator = None
                if api_settings.UNAUTHENTICATED_USER:
                    self.user = api_settings.UNAUTHENTICATED_USER() # 默認值爲:匿名用戶
                else:
                    self.user = None
        
                if api_settings.UNAUTHENTICATED_TOKEN:
                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()# 默認值爲:None
                else:
                    self.auth = None
            (user,token)表示驗證經過並設置用戶名和Token;
            AuthenticationFailed異常
        """
        val = request.query_params.get('token')
        if val not in token_list:
            raise exceptions.AuthenticationFailed("用戶認證失敗")

        return ('登陸用戶', '用戶token')

    def authenticate_header(self, request):
        """
        Return a string to be used as the value of the `WWW-Authenticate`
        header in a `401 Unauthenticated` response, or `None` if the
        authentication scheme should return `403 Permission Denied` responses.
        """
        pass


class TestPermission(BasePermission):
    message = "權限驗證失敗"

    def has_permission(self, request, view):
        """
        判斷是否有權限訪問當前請求
        Return `True` if permission is granted, `False` otherwise.
        :param request: 
        :param view: 
        :return: True有權限;False無權限
        """
        if request.user == "管理員":
            return True

    # GenericAPIView中get_object時調用
    def has_object_permission(self, request, view, obj):
        """
        視圖繼承GenericAPIView,並在其中使用get_object時獲取對象時,觸發單獨對象權限驗證
        Return `True` if permission is granted, `False` otherwise.
        :param request: 
        :param view: 
        :param obj: 
        :return: True有權限;False無權限
        """
        if request.user == "管理員":
            return True


class TestView(APIView):
    # 認證的動做是由request.user觸發
    authentication_classes = [TestAuthentication, ]

    # 權限
    # 循環執行全部的權限
    permission_classes = [TestPermission, ]

    def get(self, request, *args, **kwargs):
        # self.dispatch
        print(request.user)
        print(request.auth)
        return Response('GET請求,響應內容')

    def post(self, request, *args, **kwargs):
        return Response('POST請求,響應內容')

    def put(self, request, *args, **kwargs):
        return Response('PUT請求,響應內容')
views.py

擴展:全局權限

  一樣,跟全局認證同樣,咱們只須要在settings配置文件中添加配置項便可。而後,咱們仍然須要將咱們自定義的權限類也寫到咱們在跟views.py同級目錄下新建的文件夾(我習慣叫utils)中的權限判斷文件(permision.py)中去。

  

REST_FRAMEWORK = {
    "DEFAULT_PERMISSION_CLASSES" :['api.utils.permission.Mypermission',]    
}

   Mypermission就是咱們寫在utils文件夾中permission.py文件中的一個權限類。

  注意:若是有部分類不須要權限判斷的話,能夠在Mypermission類中添加「permission_classes = []」,便可。 

相關文章
相關標籤/搜索