【DRF权限】

目录

• 权限的详细用法

原文: http://blog.gqylpy.com/gqy/291

我们都听过权限，那么权限到底是做什么的呢.

我们都有博客，或者去一些论坛，一定知道管理员这个角色，

比如我们申请博客的时候，一定要向管理员申请，也就是说管理员会有一些特殊的权利，是我们没有的.

==这些对某件事情决策的范围和程度，我们叫做权限==，权限是我们在项目开发中经常用到的.

本文将详细讲述DRF框架为我们提供的权限组件的使用方法.

@
*
源码剖析**

DRF的版本控制、认证、权限、频率组件都在initial方法里初始化.

我们点进去看看：

其实我们版本、认证、权限、频率控制走的源码流程大致相同.

==我们的权限类中一定要有has_permission方法——框架为我们提供的钩子.==

我们再来看看rest_framework.permissions文件中存放的框架为我们提供的所有权限的方法:

==注意图中的BasePermission类，这个类是框架为我们提供的基础权限类，我们自定义的权限类都要继承此类.==

调用方法

在视图中调用：
permission_classes = ["自定义的权限类", ]

全局调用：

REST_FRAMEWORK = {     # 配置全局认证     'DEFAULT_AUTHENTICATION_CLASSES': ["指定自定义的权限类", ] }

---

权限的详细用法

请结合【DRF认证】此文献中的自定义认证类来阅读如下步骤.

第一步 准备数据库文件和数据

from django.db import models  class UserInfo(models.Model):     name = models.CharField(max_length=32)     pwd = models.CharField(max_length=32)     token = models.UUIDField(null=True, blank=True)     user_type = ((1, "普通用户"), (2, "管理员"))     type = models.IntegerField(choices=user_type, default=1)

数据如下：

mysql> select * from blog_userinfo; +----+-----------+-----------+------+-------+ | id | name      | pwd       | type | token | +----+-----------+-----------+------+-------+ |  1 | 花千骨    | huaqiangu |    1 | NULL  | |  2 | 锦觅      | jinmi     |    2 | NULL  | +----+-----------+-----------+------+-------+ 2 rows in set (0.00 sec)

第二步 自定义一个权限组件

from rest_framework.permissions import BasePermission  # 导入基础的权限类   class MyPermission():     """必备的属性和方法，基本固定的逻辑"""      message = "普通用户无权访问的数据"      def has_permission(self, request, view):         """         注意：         源码中初始化时的顺序是认证在前，权限在后，所以只要认证通过         我们这里就可以使用request.user拿到用户信息，request.auth拿到用户对象         """         # 获取认证控制的返回值         print("用户名：" request.user)         user_obj = request.auth         if user_obj.type == 1:             return False  # 普通用户         return True  # 管理员

第三步 urls.py

from django.conf.urls import url from blog.views import LoginView, TestPermissionView  urlpatterns = [     url(r'^admin/', admin.site.urls),     url(r'^login/$', LoginView.as_view()),  # 用于登陆     url(r'^test_permission/$', TestPermissionView.as_view()),  # 用于权限测试 ]

第四步 views.py

from rest_framework.views import APIView from rest_framework.response import Response from .auth import MyAuth  # 导入自定义的认证组件 from .permission import MyPermission  # 导入自定义的权限控制组件 from .models import UserInfo  # 导入用户信息表 import uuid  # 用于生成uuid   class LoginView(APIView):     """用于登陆验证并生成UUID的视图"""      def post(self, request):         name = request.data.get('name')         pwd = request.data.get('pwd')         user_obj = UserInfo.objects.filter(name=name, pwd=pwd).first()         if user_obj:             u4 = uuid.uuid4()  # 生成uuid4             user_obj.token = u4             user_obj.save()             return Response(str(u4))         return Response("用户名或密码错误")   class TestPermissionView(APIView):     """用于测试权限的视图"""     # 在视图中增加如下属性，即表明此视图要走如下组件的逻辑     authentication_classes = [MyAuth, ]  # 自定义的认证组件     permission_classes = [MyPermission, ]  # 权限控制组件      def get(self, request):         return Response("这里是管理员能访问的数据")

好了，我们可以测试了.

我们先登陆一个普通用户：

然后复制返回的UUID，再去访问权限测试页面：

可见，返回的内容为普通用户无权限.

我们再来登陆一个管理员：

然后复制返回的UUID，再去访问权限测试页面：

可见，返回的内容为管理员能访问的数据.

好了，关于DRF的权限就到这里了.

原文: http://blog.gqylpy.com/gqy/291

来源：https://www.cnblogs.com/ggg566/p/11414417.html