Django rest framework源碼分析（2）----權限

權限的使用場景

有時候咱們的用戶分爲普通用戶，VIP用戶和超級VIP用戶，有些接口咱們須要針對不一樣的用戶設定不一樣的權限

經常使用的作法以下：

 

簡單的表結構設計以下：

from django.db import models

class UserInfo(models.Model):
    user_type_choices = (
        (1,'普通用戶'),
        (2,'VIP'),
        (3,'SVIP'),
    )
    user_type = models.IntegerField(choices=user_type_choices)
    username = models.CharField(max_length=32,unique=True)
    password = models.CharField(max_length=64)

class UserToken(models.Model):
    user = models.OneToOneField(to='UserInfo')
    token = models.CharField(max_length=64)

 

 

寫一個接口只容許登錄後的 SVIP用戶 才能訪問，代碼以下

class OrderView(APIView):
    """
    訂單相關業務(只有SVIP用戶有權限)
    """

    def get(self,request,*args,**kwargs):
        # request.user
        # request.auth
        # self.dispatchdispatch
        if request.user.user_type != 3:
            return HttpResponse("無權訪問")

        ret = {'code':1000,'msg':None,'data':None}
        try:
            ret['data'] = ORDER_DICT
        except Exception as e:
            pass
        return JsonResponse(ret)

 

 

爲其添加 url 

    url(r'^api/v1/order/$', views.OrderView.as_view()),

　　

 

添加一個用戶登錄的接口，視圖函數代碼以下：

class AuthView(APIView):
    """
    用於用戶登陸認證
    """
    authentication_classes = []

    def post(self,request,*args,**kwargs):

        ret = {'code':1000,'msg':None}
        try:
            user = request._request.POST.get('username')
            pwd = request._request.POST.get('password')
            obj = models.UserInfo.objects.filter(username=user,password=pwd).first()
            if not obj:
                ret['code'] = 1001
                ret['msg'] = "用戶名或密碼錯誤"
            # 爲登陸用戶建立token
            token = md5(user)
            # 存在就更新，不存在就建立
            models.UserToken.objects.update_or_create(user=obj,defaults={'token':token})
            ret['token'] = token
        except Exception as e:
            ret['code'] = 1002
            ret['msg'] = '請求異常'

        return JsonResponse(ret)

 

 

爲其添加 url 

    url(r'^api/v1/auth/$', views.AuthView.as_view()),

　　

 進行全局認證的配置，在配置文件中添加以下代碼：

REST_FRAMEWORK = {
    # 全局使用的認證類
    "DEFAULT_AUTHENTICATION_CLASSES":['api.utils.auth.Authtication', ]
}

 

 

 根據上面配置中的路徑，添加認證函數，在應用  api 下建立utils/auth.py 代碼以下:

class Authtication(BaseAuthentication):
    def authenticate(self,request):
        token = request._request.GET.get('token')
        print(token)
        token_obj = models.UserToken.objects.filter(token=token).first()
        if not token_obj:
            raise exceptions.AuthenticationFailed('用戶認證失敗')
        # 在rest framework內部會將整個兩個字段賦值給request，以供後續操做使用
        return (token_obj.user, token_obj)

    def authenticate_header(self, request):
        return 'Basic realm="api"'

 

 

 好了，上面就是一般咱們在視圖函數中對不一樣的用戶進行區分的，簡單的測試下，首先登錄生成token值

 

 

 攜帶上述生成的token值去訪問只能SVIP用戶才能訪問的接口

用於zhangtao 這個用戶是SVIP的用戶因此它生成的token，攜帶它是能夠訪問的，假如咱們使用的不是SVIP用戶生成的token去訪問該接口是不嫩訪問的以下：

 

 以上基本的功能是實現了，可是把一些處理的邏輯都冗雜在處理函數中，顯得相對的冗餘，那麼是否能夠經過在視圖函數中簡單的配置就能實現上述的功能呢，答案確定是能夠的，

先直接上代碼，有一個清晰的認識，在分析其源碼

 

在應用 api 下 的utils 目錄下建立 permission.py 代碼 以下

from rest_framework.permissions import BasePermission

#  校驗 SVIP 用戶 才能訪問的驗證
class SVIPPermission(BasePermission):
    message = "必須是SVIP才能訪問"
    def has_permission(self,request,view):
        if request.user.user_type != 3:
            return False
        return True

# 除了 SVIP用戶均可以訪問的驗證
class MyPermission1(BasePermission):

    def has_permission(self,request,view):
        if request.user.user_type == 3:
            return False
        return True

 

 

 

根據使用場景的不一樣，只需在須要認證的類視圖中，添加類屬性   permission_classes =  [ 須要須要的權限認證函便可  ]

 

咱們把上面只能SVIP用戶才能訪問的視圖作下簡單的配置就能夠實現相同的效果，修改後的代碼以下

from api.utils.permission import SVIPPermission
from api.utils.permission import MyPermission1


class OrderView(APIView):
    """
    訂單相關業務(只有SVIP用戶有權限)
    """
    permission_classes = [SVIPPermission,]
    def get(self,request,*args,**kwargs):

        ret = {'code':1000,'msg':None,'data':None}
        try:
            ret['data'] = ORDER_DICT
        except Exception as e:
            pass
        return JsonResponse(ret)

 

 

 上面的接口只用SVIP用戶才能夠訪問，咱們在寫一個接口除了SVIP用戶，其餘的用戶均可以訪問，代碼以下

class UserInfoView(APIView):
    """
    訂單相關業務（普通用戶、VIP）
    """
    permission_classes = [MyPermission1, ]

    def get(self,request,*args,**kwargs):
        return HttpResponse('用戶信息')

 

爲其添加 url 

    url(r'^api/v1/info/$', views.UserInfoView.as_view()),

 

添加一個VIP用戶 zhangyangcheng

 

 

進行測試的結果以下:

 

 

權限的源碼流程 

入口 dispatch

    def dispatch(self, request, *args, **kwargs):
        """
        `.dispatch()` is pretty much the same as Django's regular dispatch,
        but with extra hooks for startup, finalize, and exception handling.
        """
        self.args = args
        self.kwargs = kwargs
        # 對原生的request進行封裝
        request = self.initialize_request(request, *args, **kwargs)
        self.request = request
        self.headers = self.default_response_headers  # deprecate?

        try:
            self.initial(request, *args, **kwargs)

            # Get the appropriate handler method
            if request.method.lower() in self.http_method_names:
                handler = getattr(self, request.method.lower(),
                                  self.http_method_not_allowed)
            else:
                handler = self.http_method_not_allowed

            response = handler(request, *args, **kwargs)

        except Exception as exc:
            response = self.handle_exception(exc)

        self.response = self.finalize_response(request, response, *args, **kwargs)
        return self.response

 

 

追蹤  initial 代碼以下

    def initial(self, request, *args, **kwargs):
        """
        Runs anything that needs to occur prior to calling the method handler.
        """
        self.format_kwarg = self.get_format_suffix(**kwargs)

        # Perform content negotiation and store the accepted info on the request
        neg = self.perform_content_negotiation(request)
        request.accepted_renderer, request.accepted_media_type = neg

        # Determine the API version, if versioning is in use.
        version, scheme = self.determine_version(request, *args, **kwargs)
        request.version, request.versioning_scheme = version, scheme

        # Ensure that the incoming request is permitted
        # 實現認證
        self.perform_authentication(request)
        # 權限判斷
        self.check_permissions(request)
        self.check_throttles(request)

 

 

咱們能夠看到最下面  self.check_permissions(request) 檢測權限，追蹤其代碼以下

    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

 

 

大體意思是在權限認證的對象中若是沒有經過認證就會拋出異常，若是經過權限的認證，就不作處理，  因此這時候咱們就知道了，爲何咱們在寫權限認證類中要重寫  has_permission 方法了，message是一個類屬性，在認證失敗的時候，拋出的提示信息

 

咱們來追蹤  for 循環中的self.get_permissions() 看其代碼以下：

    def get_permissions(self):
        """
        Instantiates and returns the list of permissions that this view requires.
        """
        # 權限的對象列表
        return [permission() for permission in self.permission_classes]

 

 

到這裏咱們就能夠看到  返回的是一個權限認證的對象列表，這也就說明了爲何咱們在視圖中若是使用咱們本身配置的權限，只需簡單的設置類屬性 permission_class  =  [  須要認證的權限   ]  便可 

 

進行全局的權限認證的配置

在上面的源碼中讓咱們來繼續追蹤   self.permission_class 的代碼以下

 

 

繼續追蹤   permission_classes 咱們能夠看到 

api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)


def reload_api_settings(*args, **kwargs):
    setting = kwargs['setting']
    if setting == 'REST_FRAMEWORK':
        api_settings.reload()

 

 

經過上面的源碼追蹤，因此咱們若是想要進行全局權限認證配置的話，只需在配置文件中對  REST_FRAMEWORK 中添加 權限認證類視圖的路徑（DEFAULT_PERMISSION_CLASSES）便可 ，配置的代碼以下：

默認的是隻有SVIP用戶才能夠進行訪問

REST_FRAMEWORK = {
    # 全局使用的認證類
    "DEFAULT_AUTHENTICATION_CLASSES":['api.utils.auth.FirstAuthtication','api.utils.auth.Authtication', ],
    "UNAUTHENTICATED_USER":lambda :"匿名用戶",
    "UNAUTHENTICATED_TOKEN":None,
    "DEFAULT_PERMISSION_CLASSES":['api.utils.permission.SVIPPermission'],# 默認的權限認證
}

 

 

若是咱們在定義只有SVIP用戶才能訪問的接口是，則不須要在設置類屬性的認證，代碼以下

class OrderView(APIView):
    """
    訂單相關業務(只有SVIP用戶有權限)
    """
    def get(self,request,*args,**kwargs):

        ret = {'code':1000,'msg':None,'data':None}
        try:
            ret['data'] = ORDER_DICT
        except Exception as e:
            pass
        return JsonResponse(ret)

 

 

若是咱們在默認使用全局是對SVIP才能訪問的狀況下，添加一個視圖函數除了SVIP用戶全部的用戶均可以訪問，根據類的性質，只需使用咱們本身的權限認證，就不會使用父類的，代碼以下

class UserInfoView(APIView):
    """
    訂單相關業務（普通用戶、VIP）
    """
    permission_classes = [MyPermission1, ]

    def get(self,request,*args,**kwargs):
        self.dispatch()
        return HttpResponse('用戶信息')

 

內置權限

 django-rest-framework內置權限BasePermission

默認是沒有限制權限

class BasePermission(object):
    """
    A base class from which all permission classes should inherit.
    """

    def has_permission(self, request, view):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

    def has_object_permission(self, request, view, obj):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return True

 

 

咱們本身寫的權限類，爲了規範建議都應該去繼承BasePermission

總結：

（1）使用

• 本身寫的權限類：1.必須繼承BasePermission類；  2.必須實現：has_permission方法

（2）返回值

• True   有權訪問
• False  無權訪問

（3）局部

• permission_classes = [MyPremission,] 

 （4）全局

REST_FRAMEWORK = {
   #權限
    "DEFAULT_PERMISSION_CLASSES":['API.utils.permission.SVIPPremission'],
}