Django REST framwork的权限验证实例
在这里插入代码片# Django REST framwork的权限验证
一、用户是否登录
(1)判断用户是否登录;
permission_classes = (IsAuthenticated, )
注意:permission_classes设置的是:验证的是用户是否登录、用户是否可以操作该数据等的权限;
权限组合方式,目前支持:与&(and) 或|(or) 非~(not)
例如:permission_classes = (SecAdminPermission | AudAdminPermission,)
注意:使用元组 (SecAdminPermission | AudAdminPermission,)或列表[ SecAdminPermission | AudAdminPermission]都可以。
(2)设置用户认证方式;
authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
注意:authentication_classes设置的是:用户可以通过哪种方式登录系统,例如:JWT或传统的用户名+密码方式登录。
具体代码如下:
from rest_framework.permissions import IsAuthenticated # 判断用户是否登录
from rest_framework_jwt.authentication import JSONWebTokenAuthentication # jwt用户认证
class UserFavViewset(mixins.CreateModelMixin, mixins.ListModelMixin, mixins.RetrieveModelMixin,
mixins.DestroyModelMixin, viewsets.GenericViewSet):
"""
list:
获取用户收藏列表
retrieve:
判断某个商品是否已经收藏
create:
收藏商品
delete:
取消收藏
"""
# 权限判断:IsAuthenticated表示是否已经登录,IsOwnerOrReadOnly表示数据是不是属于当前登录用户
permission_classes = (IsAuthenticated, IsOwnerOrReadOnly)
# 用户认证:方式一:JSONWebTokenAuthentication;方式二:SessionAuthentication
authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
# 定义通过哪个参数来定位实例
lookup_field = "goods_id" # 在详细页面时,搜索goods_id来确认该商品有没有被收藏,是在当前用户下进行搜索的
def get_queryset(self):
"""获取当前登录用户的收藏信息"""
return UserFav.objects.filter(user=self.request.user)
# 方法一:修改商品收藏数
# def perform_create(self, serializer):
# """修改商品收藏数"""
# instance = serializer.save()
# goods = instance.goods
# goods.fav_num += 1
# goods.save()
# 动态设置序列化类
def get_serializer_class(self):
if self.action == "list":
return UserFavDetailSerializer
elif self.action == "create":
return UserFavSerializer
return UserFavSerializer
二、用户是否对该数据有操作权限;
(1)自定义权限验证
前提:待验证对象有user字段;
from rest_framework import permissions # 权限判断:数据是不是属于当前登录用户 class IsOwnerOrReadOnly(permissions.BasePermission): """ Object-level permission to only allow owners of an object to edit it. Assumes the model instance has an `owner` attribute. """ def has_object_permission(self, request, view, obj): # 1 只读 # Read permissions are allowed to any request, # so we'll always allow GET, HEAD or OPTIONS requests. if request.method in permissions.SAFE_METHODS: # 是不是安全的访问方法 return True # 2 写权限 # Instance must have an attribute named `owner`. # return (obj.publisher if obj.publisher else self.fans )== request.user return obj.user== request.user # 判断当前数据是不是登录用户的数据
(2)在接口中,添加数据权限验证;
class UserFavViewset(mixins.CreateModelMixin, mixins.ListModelMixin, mixins.RetrieveModelMixin,
mixins.DestroyModelMixin, viewsets.GenericViewSet):
"""
list:
获取用户收藏列表
retrieve:
判断某个商品是否已经收藏
create:
收藏商品
delete:
取消收藏
"""
# 权限判断:IsAuthenticated表示是否已经登录,IsOwnerOrReadOnly表示数据是不是属于当前登录用户
permission_classes = (IsAuthenticated, IsOwnerOrReadOnly)
# 用户认证:方式一:JSONWebTokenAuthentication;方式二:SessionAuthentication
authentication_classes = (JSONWebTokenAuthentication, SessionAuthentication)
# 设置
lookup_field = "goods_id" # 在详细页面时,搜索goods_id来确认该商品有没有被收藏,是在当前用户下进行搜索的
def get_queryset(self):
"""获取当前登录用户的收藏信息"""
return UserFav.objects.filter(user=self.request.user)
补充知识:django rest framework api授权与认证
djangorestf 官方文档 授权与认证教程
permissions.py
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
'''
常规的授权是 只有拥有者才能编辑它
'''
def has_object_permission(self, request, view, obj):
# 读权限 向所有请求开放
# 所以我们总是允许get, head or options requests.
if request.method in permissions.SAFE_METHODS:
return True
# 写权限 只给拥有者
return obj.owner == request.user
view.py
'''基于泛型类的视图'''
from snippets.models import Snippet
from snippets.serializers import SnippetSerializer, UserSerializer
from rest_framework import generics
from snippets.permissions import IsOwnerOrReadOnly
from django.contrib.auth.models import User
class UserList(generics.ListAPIView):
'''
User表的列表api视图 查 增 操作
'''
queryset = User.objects.all()
serializer_class = UserSerializer
class UserDetail(generics.RetrieveDestroyAPIView):
'''
User表的详情api视图 查 改 删操作
'''
queryset = User.objects.all()
serializer_class = UserSerializer
class SnippetList(generics.ListCreateAPIView):
permission_classes = [permissions.IsAuthenticatedOrReadOnly]
queryset = Snippet.objects.all()
serializer_class = SnippetSerializer
def perform_create(self, serializer):
serializer.save(owner=self.request.user)
class SnippetDetail(generics.RetrieveDestroyAPIView):
# detail 所有人都能读,但是只有拥有者可以更改
# permissions.IsAuthenticatedOrReadOnly 表示没有认证的人有读的权限,认证的人有所有权限
# IsOwnerOrReadOnly 通过了前面的授权之后,还要通过这个授权
# 当所有的授权都通过的时候 所有的对象实例都返回true 表示授权通过
permission_classes = [permissions.IsAuthenticatedOrReadOnly, IsOwnerOrReadOnly]
queryset = Snippet.objects.all()
serializer_class = SnippetSerializer
总结:通过传递permission_classes 类变量 传递授权类,
1、请求要进行某个操作的时候 ->
2、传递参数将授权类列表中的多个授权类实例化得到实例化对象->
3、调用所有授权实例对象的has_、permission以及has_object_permission方法 ->
4、所有的返回结果都为true ->
5、该操作的授权才通过,数据操作向下继续进行。
以上这篇Django REST framwork的权限验证实例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们。
相关推荐
-
Django-rest-framework中过滤器的定制实例
1.定义一个自定义的filter.py模块,增加一个新的过滤类 import django_filters #这个Q可以支持表查询,单下划线获取表字段,双下划线获取关联表, from django.db.models import Q #引入自己的模型 from app.item.models import ItemCategory #自定义的过滤类,需要继承django_filter.rest_framework中的FilterSet类 class ItemCategoryFilter(dja
-
Django REST framwork的权限验证实例
在这里插入代码片# Django REST framwork的权限验证 一.用户是否登录 (1)判断用户是否登录: permission_classes = (IsAuthenticated, ) 注意:permission_classes设置的是:验证的是用户是否登录.用户是否可以操作该数据等的权限: 权限组合方式,目前支持:与&(and) 或|(or) 非~(not) 例如:permission_classes = (SecAdminPermission | AudAdminPermissi
-
SpringMVC实现注解式权限验证的实例
对大部分系统来说都需要权限管理来决定不同用户可以看到哪些内容,那么如何在Spring MVC中实现权限验证呢?当然我们可以继续使用servlet中的过滤器Filter来实现.但借助于Spring MVC中的action拦截器我们可以实现注解式的权限验证. 一.首先介绍一下action拦截器: HandlerInterceptor是Spring MVC为我们提供的拦截器接口,来让我们实现自己的处理逻辑,HandlerInterceptor 的内容如下: public interface Handl
-
Asp.net Mvc 身份验证、异常处理、权限验证(拦截器)实现代码
1.用户登录 验证用户是否登录成功步骤直接忽略,用户登录成功后怎么保存当前用户登录信息(session,cookie),本文介绍的是身份验证(其实就是基于cookie)的,下面看看代码. 引入命名空间 using System.Web.Security; 复制代码 代码如下: Users ModelUser = new Users() { ID = 10000, Name = UserName, UserName = UserName, PassWord = PassWord, Roles =
-
Java web含验证码及权限登录实例代码
所用到的开发工具为myeclipse10,MySQL数据库. 首先,在myeclipse中新建一个Java web项目. 项目的结构: 数据库结构: 下面将各个包中的代码粘贴出来. com.ningmeng.dao包 package com.ningmeng.dao; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLExcept
-
iOS开发检测是否开启定位、是否允许消息推送等权限的实例
1.iOS开发检测是否开启定位: 需要导入: #import <CoreLocation/CoreLocation.h> 代码如下: + (void)openLocationServiceWithBlock:(ReturnBlock)returnBlock { BOOL isOPen = NO; if ([CLLocationManager locationServicesEnabled] && [CLLocationManager authorizationStatus] !
-
.net MVC使用IPrincipal进行Form登录即权限验证(3)
.net MVC使用IPrincipal进行Form登录即权限验证,供大家参考,具体内容如下 1.在MVC项目中添加用户类,可以根据实际项目需求添加必要属性 public class UserData { /// <summary> /// ID /// </summary> public int UserId { get; set; } /// <summary> /// 用户名 /// </summary> public string UserName
-
MySQL用户权限验证与管理方法详解
本文实例讲述了MySQL用户权限验证与管理方法.分享给大家供大家参考,具体如下: 一.Mysql权限分两阶段验证 1. 服务器检查是否允许连接:用户名.密码,主机地址. 2. 检查每一个请求是否有权限实施. 二.Mysql权限列表 权限 权限级别 权限说明 create 数据库.表或索引 创建数据库.表或索引权限 drop 数据库或表 删除数据库或表权限 grant option 数据库.表或保存的程序 赋予权限选项 references 数据库或表 外键权限 alter 表 更改表,比如添加字
-
Vue+Express实现登录状态权限验证的示例代码
前提 对Vue全家桶有基本的认知. 用有node环境 了解express 另外本篇只是介绍登录状态的权限验证,以及登录,注销的前后端交互.具体流程(例如:前端布局,后端密码验证等).以后有时间再对这些边边角角进行补充 一丶业务分析 1.什么情况下进行权限验证? 访问敏感接口 前端向后端敏感接口发送ajax 后端进行session验证,并返回信息 前端axios拦截返回信息,根据返回信息进行操作 进行页面切换 页面切换,触发vue-router的路由守卫 路由守卫根据跳转地址进行验证,如需权限,则
-
Django框架model模型对象验证实现方法分析
本文实例讲述了Django框架model模型对象验证实现方法.分享给大家供大家参考,具体如下: 模型对象的验证 验证一个模型涉及三个步骤: 验证模型的字段 -- Model.clean_fields() 验证模型的完整性 -- Model.clean() 验证模型的唯一性 -- Model.validate_unique() 当调用模型的full_clean() 方法时,这三个方法都将执行.当使用ModelForm时,is_valid() 将为表单中的所有字段执行这些验证.如果你计划自己处理验证
-
Spring Security OAuth2 token权限隔离实例解析
这篇文章主要介绍了Spring Security OAuth2 token权限隔离实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 由于项目OAuth2采用了多种模式,授权码模式为第三方系统接入,密码模式用于用户登录,Client模式用于服务间调用, 所有不同的模式下的token需要用 @PreAuthorize("hasAuthority('client')") 进行隔离,遇到问题一直验证不通过. 通过调试发现资源服务从授权服