Django Rest Framework --權限控制

基本結構

urls.py

from django.conf.urls import url, include
from app import views
   
urlpatterns = [
    url(r'^test/', views.TestView.as_view()),
]

views.py

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.request import Request
from rest_framework import exceptions
  
  
class MyPermission(object):
    def has_permission(request, self):
    '''
    權限代碼編寫區域
    '''
    return True  #權限經過 若是權限不經過 返回False
  
  
class TestView(APIView):
    permission_classes = [MyPermission, ]
  
    def get(self, request, *args, **kwargs):
        pass
  
      
     def post(self, request, *args, **kwargs):
        pass
  
        '''
        等等一系列的視圖功能方法
        '''

注意事項：

　1.使用權限類

　　　　在須要權限控制的視圖類中，寫入permission_classes = [MyPermission, ]，變量屬性permission_classes 是個列表，列表中可寫多個權限類，經過權限方纔執行視圖類的方法。(此方法屬於局部的類的權限控制方式)

　2.返回值

　　　　(1)Ture表示權限經過，False表示權限拒絕

源碼分析

(1)尋找函數入口

　　經過urls.py文件，咱們首先要尋找TestView類的as_view()方法，咱們能在APIView類找到as_view()方法，APIView繼承了View中as_view()方法，返回了一個view函數最終的結果就是調用了dispatch方法，整個視圖類的入口就找到了。

  

(2)爲何要使用permission_classes 屬性變量？

　　如今咱們開始尋找dispatch方法，這時候請注意，咱們應該從子類TestView中開始尋找這個方法，由於在子類中可能會重構父類的dispatch方法，最後咱們在APIView類中找到了dispatch方法。

  

python 的面向對象編程中，咱們首先要執行的方法確定是dispatch方法，因此咱們的分析入口就是dispatch方法，在dispatch方法中，能夠看到，經過initialize_request方法將django原生的request進行了一次封裝。由initialize_request方法的實現過程能夠看出，將其封裝實例化成了一個Request對象。但權限判斷並無像認證同樣初始化到了Request對象中，但對django原生的request封裝仍是須要強調的，由於編寫代碼的過程當中對django原生的request的使用是必不可免的。

 

在check_permissions方法中，就能夠看到權限的判斷就是經過這個for循環實現的。正由於在業務代碼中可能存在若干種類型的權限判斷，因此纔會經過循環去執行咱們定義好的權限判斷類來完成多個權限體系的判斷功能。這樣，咱們能夠感受到這裏的「self.get_permissions()」的返回值應該就是咱們在視圖類中賦值過的permissions_classes屬性變量的值。那就跳轉到這個方法中去看看吧。 

在get_permissions方法中看到，跟認證同樣，返回值一樣是一個列表生成式，而這個列表生成式使用的屬性變量正是咱們賦值過的permission_classes，跟咱們以前的猜想徹底一致。綜上所述，咱們爲了讓drf接口源碼使用上咱們本身定義的權限判斷類，那咱們就必須按照源碼中寫的藉口，將permission_classes屬性變量賦值、

(3)爲何要權限控制類中要使用has_permission方法？

回到check_permissions方法中，咱們看if判斷句，前面剛剛說過，在for中的permission其實就是咱們本身定義的權限判斷類，那麼在if句中的「.has_permission(request,self)」不就應該就是Mypermission類中的方法嗎？因此，咱們本身定義的Mypermission類中必定要實現has_permission這個方法。（要注意這個方法的參數）

(4)爲何權限控制的返回值爲布爾值？

仍是跟上一個問題同樣的，在上圖中的if句中，咱們能夠看到「permission.has_permission(request, self)」的返回值不就是布爾值嗎，這個返回值不就是has_permission方法返回值嗎？當返回值爲False時，就會執行if句中的代碼，來拋出異常。

實例

1 from django.conf.urls import url, include
2 from web.views import TestView
3 
4 urlpatterns = [
5     url(r'^test/', TestView.as_view()),
6 ]

urls.py

 1 #!/usr/bin/env python
 2 # -*- coding:utf-8 -*-
 3 from rest_framework.views import APIView
 4 from rest_framework.response import Response
 5 from rest_framework.authentication import BaseAuthentication
 6 from rest_framework.permissions import BasePermission
 7 
 8 from rest_framework.request import Request
 9 from rest_framework import exceptions
10 
11 token_list = [
12     'sfsfss123kuf3j123',
13     'asijnfowerkkf9812',
14 ]
15 
16 
17 class TestAuthentication(BaseAuthentication):
18     def authenticate(self, request):
19         """
20         用戶認證，若是驗證成功後返回元組： (用戶,用戶Token)
21         :param request: 
22         :return: 
23             None,表示跳過該驗證；
24                 若是跳過了全部認證，默認用戶和Token和使用配置文件進行設置
25                 self._authenticator = None
26                 if api_settings.UNAUTHENTICATED_USER:
27                     self.user = api_settings.UNAUTHENTICATED_USER() # 默認值爲：匿名用戶
28                 else:
29                     self.user = None
30         
31                 if api_settings.UNAUTHENTICATED_TOKEN:
32                     self.auth = api_settings.UNAUTHENTICATED_TOKEN()# 默認值爲：None
33                 else:
34                     self.auth = None
35             (user,token)表示驗證經過並設置用戶名和Token；
36             AuthenticationFailed異常
37         """
38         val = request.query_params.get('token')
39         if val not in token_list:
40             raise exceptions.AuthenticationFailed("用戶認證失敗")
41 
42         return ('登陸用戶', '用戶token')
43 
44     def authenticate_header(self, request):
45         """
46         Return a string to be used as the value of the `WWW-Authenticate`
47         header in a `401 Unauthenticated` response, or `None` if the
48         authentication scheme should return `403 Permission Denied` responses.
49         """
50         pass
51 
52 
53 class TestPermission(BasePermission):
54     message = "權限驗證失敗"
55 
56     def has_permission(self, request, view):
57         """
58         判斷是否有權限訪問當前請求
59         Return `True` if permission is granted, `False` otherwise.
60         :param request: 
61         :param view: 
62         :return: True有權限；False無權限
63         """
64         if request.user == "管理員":
65             return True
66 
67     # GenericAPIView中get_object時調用
68     def has_object_permission(self, request, view, obj):
69         """
70         視圖繼承GenericAPIView，並在其中使用get_object時獲取對象時，觸發單獨對象權限驗證
71         Return `True` if permission is granted, `False` otherwise.
72         :param request: 
73         :param view: 
74         :param obj: 
75         :return: True有權限；False無權限
76         """
77         if request.user == "管理員":
78             return True
79 
80 
81 class TestView(APIView):
82     # 認證的動做是由request.user觸發
83     authentication_classes = [TestAuthentication, ]
84 
85     # 權限
86     # 循環執行全部的權限
87     permission_classes = [TestPermission, ]
88 
89     def get(self, request, *args, **kwargs):
90         # self.dispatch
91         print(request.user)
92         print(request.auth)
93         return Response('GET請求，響應內容')
94 
95     def post(self, request, *args, **kwargs):
96         return Response('POST請求，響應內容')
97 
98     def put(self, request, *args, **kwargs):
99         return Response('PUT請求，響應內容')

views.py

全局配置

一樣，跟全局認證同樣，咱們只須要在settings配置文件中添加配置項便可。而後，咱們仍然須要將咱們自定義的權限類也寫到咱們在跟views.py同級目錄下新建的文件夾（我習慣叫utils）中的權限判斷文件（permision.py）中去。

REST_FRAMEWORK = {
    "DEFAULT_PERMISSION_CLASSES" :['api.utils.permission.Mypermission',]   
}

Mypermission就是咱們寫在utils文件夾中permission.py文件中的一個權限類。

注意：若是有部分類不須要權限判斷的話，能夠在Mypermission類中添加「permission_classes = []」,便可。