Django REST framework - 权限和限制
Django REST framework 权限和限制
(你能干什么)
与身份验证和限制一起,权限确定是应该授予还是拒绝访问请求。
在允许任何其他代码继续之前,权限检查始终在视图的最开始运行。权限检查通常使用 request.user 和 request.auth 属性中的身份验证信息来确定是否应允许传入请求。
权限用于授予或拒绝不同类别的用户访问API的不同部分。
最简单的权限类型是允许访问任何经过身份验证的用户,并拒绝访问任何未经身份验证的用户。这对应IsAuthenticated于REST框架中的类。
稍微不那么严格的权限样式是允许对经过身份验证的用户进行完全访问,但允许对未经身份验证的用户进行只读访问。这对应IsAuthenticatedOrReadOnly于REST框架中的类。
设置权限的方法
可以使用该
DEFAULT_PERMISSION_CLASSES设置全局设置默认权限策略。例如:REST_FRAMEWORK = {'DEFAULT_PERMISSION_CLASSES': ('rest_framework.permissions.IsAuthenticated',)}
如果未指定,则此设置默认允许不受限制的访问:
'DEFAULT_PERMISSION_CLASSES': ('rest_framework.permissions.AllowAny',)
您还可以使用
APIView基于类的视图在每个视图或每个视图集的基础上设置身份验证策略。from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIViewclass ExampleView(APIView):
permission_classes = (IsAuthenticated,)def get(self, request, format=None):content = {'status': 'request was permitted'}return Response(content)
或者,使用
@api_view具有基于功能的视图的装饰器。from rest_framework.decorators import api_view, permission_classesfrom rest_framework.permissions import IsAuthenticatedfrom rest_framework.response import Response@api_view(['GET'])@permission_classes((IsAuthenticated, ))def example_view(request, format=None):content = {'status': 'request was permitted'}return Response(content)
注意 :当您通过类属性或装饰器设置新的权限类时,您告诉视图忽略settings.py文件中的默认列表集。
如果它们继承自rest_framework.permissions.BasePermission,则可以使用标准Python按位运算符组合权限。例如,IsAuthenticatedOrReadOnly可以写成:
from rest_framework.permissions import BasePermission, IsAuthenticated, SAFE_METHODSfrom rest_framework.response import Responsefrom rest_framework.views import APIViewclass ReadOnly(BasePermission):def has_permission(self, request, view):return request.method in SAFE_METHODSclass ExampleView(APIView):permission_classes = (IsAuthenticated|ReadOnly,)def get(self, request, format=None):content = {'status': 'request was permitted'}return Response(content)
案例
此案例基于 Django REST framework 认证
第一步: 定义一个权限类
"""
自己动手写一个权限组件
"""
from rest_framework.permissions import BasePermission
class MyPermission(BasePermission):
message = '只有VIP才能访问'def has_permission(self, request, view):# 认证类中返回了token_obj.user, request_token# request.auth 等价于request_tokenif not request.auth:return False# request.user为当前用户对象if request.user and request.user.type == 1: # 如果是VIP用户print("requ", request.user, type(request.user))return Trueelse:return False
第二步: 使用
视图级别
class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializerauthentication_classes = [MyAuth, ]permission_classes = [MyPermission, ]
全局级别设置
# 在settings.py中设置rest framework相关配置项REST_FRAMEWORK = {"DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],"DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]}
限制
(你一分钟能干多少次?)**好像有点污~~
第一步: 自定义限制类
import time# from rest_framework.throttling importvisit_record = {}class MyThrottle(object):def __init__(self):self.history = Nonedef allow_request(self, request, view):# 拿到当前的请求的ip作为访问记录的 keyip = request.META.get('REMOTE_ADDR')# 拿到当前请求的时间戳now = time.time()if ip not in visit_record:visit_record[ip] = []# 把当前请求的访问记录拿出来保存到一个变量中history = visit_record[ip]self.history = history# 循环访问历史,把超过10秒钟的请求时间去掉while history and now - history[-1] > 10:history.pop()# 此时 history中只保存了最近10秒钟的访问记录if len(history) >= 3:return Falseelse:# 判断之前有没有访问记录(第一次来)self.history.insert(0, now)return Truedef wait(self):"""告诉客户端还需等待多久"""now = time.time()return self.history[-1] + 10 - now# history = ['9:56:12', '9:56:10', '9:56:09', '9:56:08'] # '9:56:18' - '9:56:12'# history = ['9:56:19', '9:56:18', '9:56:17', '9:56:08']# 最后一项到期的时间就是下一次允许请求的时间# 最后一项到期的时间:now - history[-1] > 10# 最后一项还剩多少时间过期# history[-1] + 10 - now
第二步: 使用
视图中使用
class CommentViewSet(ModelViewSet):queryset = models.Comment.objects.all()serializer_class = app01_serializers.CommentSerializerthrottle_classes = [MyThrottle, ]
全局中使用
# 在settings.py中设置rest framework相关配置项REST_FRAMEWORK = {"DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],"DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]"DEFAULT_THROTTLE_CLASSES": ["app01.utils.MyThrottle", ]}
嫌麻烦的话,还可以使用内置限制类,哈哈~
from rest_framework.throttling import SimpleRateThrottleclass VisitThrottle(SimpleRateThrottle):scope = "xxx"def get_cache_key(self, request, view):return self.get_ident(request)
全局配置
# 在settings.py中设置rest framework相关配置项REST_FRAMEWORK = {"DEFAULT_AUTHENTICATION_CLASSES": ["app01.utils.MyAuth", ],# "DEFAULT_PERMISSION_CLASSES": ["app01.utils.MyPermission", ]"DEFAULT_THROTTLE_CLASSES": ["app01.utils.VisitThrottle", ],"DEFAULT_THROTTLE_RATES": {"xxx": "5/m",}}
Django REST framework - 权限和限制的更多相关文章
- Django rest framework ---- 权限
Django rest framework ---- 权限 添加权限 api/utils文件夹下新建premission.py文件,代码如下: message是当没有权限时,提示的信息 # FileN ...
- django rest framework权限和认证
Django rest framework之权限 一.Authentication用户认证配置 1.四种验证及官网描述: BasicAuthentication 此身份验证方案使用HTTP基本身份验证 ...
- Django rest framework 权限操作(源码分析)
知识回顾http://www.cnblogs.com/ctztake/p/8419059.html 这一篇是基于上一篇写的,上一篇谢了认证的具体流程,看懂了上一篇这一篇才能看懂, 当用户访问是 首先执 ...
- Django REST framework —— 权限组件源码分析
在上一篇文章中我们已经分析了认证组件源码,我们再来看看权限组件的源码,权限组件相对容易,因为只需要返回True 和False即可 代码 class ShoppingCarView(ViewSetMix ...
- Django rest framework源码分析(2)----权限
目录 Django rest framework(1)----认证 Django rest framework(2)----权限 Django rest framework(3)----节流 Djan ...
- 04 Django REST Framework 认证、权限和限制
目前,我们的API对谁可以编辑或删除代码段没有任何限制.我们希望有更高级的行为,以确保: 代码片段始终与创建者相关联. 只有通过身份验证的用户可以创建片段. 只有代码片段的创建者可以更新或删除它. 未 ...
- Django Rest Framework(认证、权限、限制访问频率)
阅读原文Django Rest Framework(认证.权限.限制访问频率) django_rest_framework doc django_redis cache doc
- Django Rest framework 之 权限
django rest framework 之 认证(一) django rest framework 之 权限(二) django rest framework 之 节流(三) django res ...
- Django Rest Framework源码剖析(二)-----权限
一.简介 在上一篇博客中已经介绍了django rest framework 对于认证的源码流程,以及实现过程,当用户经过认证之后下一步就是涉及到权限的问题.比如订单的业务只能VIP才能查看,所以这时 ...
随机推荐
- Error:全局变量不明白(using namespace std 与全局变量的冲突)
在用递归写八皇后时,定义了一个全局变量count,结果出现故障例如以下:提示全局变量不明白. 最后发如今实现文件.cpp中.我使用了using namespace std; 解决方法: 1.使用co ...
- Android Studio报错:DefaultAndroidProject : Unsupported major.minor version 52.0
今天使用Android Studio 2.0打开我之前的项目时,编译报了如下错误: Error:Cause: com/android/build/gradle/internal/model/Defau ...
- bzoj3894: 文理分科(还是那道最小割)
3894: 文理分科 题目:传送门 感谢波老师没有来D飞我,让我做出了这题... 题解: 这题其实和我做的上一题(bzoj2132)很像,所以就不写题意了. 依然是那最小割... 这题给出了四个利益矩 ...
- 预编译头文件pch
1. 预编译头文件 作用:提高编译效率.预编译头文件(扩展名为.PCH),是为了提高编译效率而使用的一种方法,把一个工程中较稳定的代码预先编译好放在一个文件(.PCH)里.避免每次编译 ...
- Black Rock Shooter
在人气动漫 Black Rock shooter 中,当加贺里对麻陶 说出了"滚回去"以后,与此同时,在另一个心灵世界里, BRS 也遭到了敌人的攻击.此时,一共有 n 个攻击排成 ...
- RegisterAttached 两种绑定方式
RegisterAttached 含义:使用指定的属性名称.属性类型和所有者类型注册附加属性 绑定方式:C#绑定.WPF绑定 例:需求DataViewModel为DataView的VM层,在DataV ...
- kindeditor上传文件的使用
在线富文本编辑器kindeditor配置(.Net Framework 3.5) 下载地址:http://kindeditor.net/down.php 解压放在项目要目录下, 在Bin目录下添加 ...
- [Swift通天遁地]五、高级扩展-(12)扩展故事板中的元件添加本地化功能
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★➤微信公众号:山青咏芝(shanqingyongzhi)➤博客园地址:山青咏芝(https://www.cnblogs. ...
- JavaScript中.和[]有什么区别?
.与[]都可以用于读取或修改对象属性. <script> var myData={ name:"Adam", weather:"sunny", }; ...
- Oracle group by分组拼接字符串
select wm_concat(id),depon from test_1 group by depon