丛FBC到CBV三(权限)

span::selection, .CodeMirror-line > span > span::selection { background: #d7d4f0; }.CodeMirror-line::-moz-selection, .CodeMirror-line > span::-moz-selection, .CodeMirror-line > span > span::-moz-selection { background: #d7d4f0; }.cm-searching {background: #ffa; background: rgba(255, 255, 0, .4);}.cm-force-border { padding-right: .1px; }@media print { .CodeMirror div.CodeMirror-cursors {visibility: hidden;}}.cm-tab-wrap-hack:after { content: ""; }span.CodeMirror-selectedtext { background: none; }.CodeMirror-activeline-background, .CodeMirror-selected {transition: visibility 0ms 100ms;}.CodeMirror-blur .CodeMirror-activeline-background, .CodeMirror-blur .CodeMirror-selected {visibility:hidden;}.CodeMirror-blur .CodeMirror-matchingbracket {color:inherit !important;outline:none !important;text-decoration:none !important;}.CodeMirror-sizer {min-height:auto !important;}
-->
li {list-style-type:decimal;}.wiz-editor-body ol.wiz-list-level2 > li {list-style-type:lower-latin;}.wiz-editor-body ol.wiz-list-level3 > li {list-style-type:lower-roman;}.wiz-editor-body li.wiz-list-align-style {list-style-position: inside; margin-left: -1em;}.wiz-editor-body blockquote {padding: 0 12px;}.wiz-editor-body blockquote > :first-child {margin-top:0;}.wiz-editor-body blockquote > :last-child {margin-bottom:0;}.wiz-editor-body img {border:0;max-width:100%;height:auto !important;margin:2px 0;}.wiz-editor-body table {border-collapse:collapse;border:1px solid #bbbbbb;}.wiz-editor-body td,.wiz-editor-body th {padding:4px 8px;border-collapse:collapse;border:1px solid #bbbbbb;min-height:28px;word-break:break-word;box-sizing: border-box;}.wiz-editor-body td > div:first-child {margin-top:0;}.wiz-editor-body td > div:last-child {margin-bottom:0;}.wiz-editor-body img.wiz-svg-image {box-shadow:1px 1px 4px #E8E8E8;}.wiz-hide {display:none !important;}
-->

权限

准备数据表

用户组(group)
id group_name
1 usual
2 vip
3 svip
4 admin
用户(user)
id username password group_id
1 Joshua 123 1
2 William 123 2
3 Daniel 123 3
4 Michael 123 4
 
创建项目及app:
                

 
    models.py
 
 
 
19
 
 
 
 
 
1
  1. # -*- coding:utf-8 -*-
2
  1. from django.db import models
3
  1.  
4
  1. class Group(models.Model):
5
  1.     id = models.AutoField(primary_key=True)
6
  1.     group_name = models.CharField(max_length=40)
7
  1.  
8
  1.     class Meta:
9
  1.         db_table = 'group'
10
  1.  
11
  1. class User(models.Model):
12
  1.     id = models.AutoField(primary_key=True)
13
  1.     username = models.CharField(max_length=40,unique=True)
14
  1.     password = models.CharField(max_length=40)
15
  1.     group_id = models.ForeignKey(Group, default=1)
16
  1.  
17
  1.     class Meta:
18
  1.         db_table = 'user'
19
  1.  
 
 
views.py
 
 
 
16
 
 
 
 
 
1
  1. from django.http.response import JsonResponse
2
  1. from rest_framework.views import APIView
3
  1.  
4
  1. from permissions.models import User, Group
5
  1.  
6
  1.  
7
  1. class Users(APIView):
8
  1.     def get(self, request):
9
  1.         users = User.objects.all().values()
10
  1.         return JsonResponse(list(users), safe=False)
11
  1.  
12
  1.  
13
  1. class Groups(APIView):
14
  1.     def get(self, request):
15
  1.         groups = Group.objects.all().values()
16
  1.         return JsonResponse(list(groups), safe=False)
 
 
 urls.py
 
 
 
9
 
 
 
 
 
1
  1. from django.conf.urls import url
2
  1. from django.contrib import admin
3
  1. from permissions.views import Users, Groups
4
  1.  
5
  1. urlpatterns = [
6
  1.     url(r'^admin/', admin.site.urls),
7
  1.     url(r'^user/$', Users.as_view(), name='user'),
8
  1.     url(r'^group/$', Groups.as_view(), name='group'),
9
  1. ]
 
 
Postman提交请求:
    
             

 
现在新建了一张MemberPrograms表,里面的内容是只给会员用户展示的
实现这个功能:
会员项目(member_programs)
id program_name
1 书法长卷
2 书法碑帖
3 墓志塔铭
4 兰亭集序
 
定义models
 
 
 
6
 
 
 
 
 
1
  1. class MemberProgram(models.Model):
2
  1.     id = models.AutoField(primary_key=True)
3
  1.     program_name = models.CharField(max_length=100)
4
  1.  
5
  1.     class Meta:
6
  1.         db_table = 'member_program'
 
 
定义url以及视图函数:
 
 
 
9
 
 
 
 
 
1
  1. from django.conf.urls import url
2
  1.  
3
  1. from permissions.views import Users, Groups, MemberPrograms
4
  1.  
5
  1. urlpatterns = [
6
  1.     url(r'^user/$', Users.as_view(), name='user'),
7
  1.     url(r'^group/$', Groups.as_view(), name='group'),
8
  1.     url(r'^program/$', MemberPrograms.as_view(), name='program'),
9
  1. ]
 
 
 
 
 
 
4
 
 
 
 
 
1
  1. class MemberPrograms(APIView):
2
  1.     def get(self, request):
3
  1.         programs = MemberProgram.objects.all().values()
4
  1.         return JsonResponse(list(programs), safe=False)
 
 
测试:
            

现在接口已经实现了,但是我们要对这个接口增加权限控制,只允许vip,svip,admin用户访问,代码实现:
    方法一:
    上一章我们实现了自定义认证的中间件,现在可以利用起来,修改如下:
 
 
 
 
25
 
 
 
 
 
1
  1. class MyAuthentication(BaseAuthentication):
2
  1.     def authenticate(self, request):
3
  1.         name = request._request.GET.get('username')
4
  1.         print(name)
5
  1.         return (name, None)
6
  1.  
7
  1.  
8
  1. class MemberPrograms(APIView):
9
  1.     authentication_classes = [MyAuthentication, ]
10
  1.  
11
  1.     def get(self, request):
12
  1.         if not request.user:            # 没有用户身份,不允许访问
13
  1.             ret = {'code': 1002, 'error': '权限被拒'}
14
  1.             return JsonResponse(ret)
15
  1.         username = request.user
16
  1.         try:
17
  1.             group_name = User.objects.get(username=username).group.group_name  
18
  1.         except User.DoesNotExist:            # 用户身份不存在,返回错误信息
19
  1.             ret = {'code': 1003, 'error': '用户不存在'}
20
  1.             return JsonResponse(ret)
21
  1.         if group_name == 'usual':           # 是普通用户,没有权限
22
  1.             ret = {'code': 1002, 'error': '权限被拒'}
23
  1.             return JsonResponse(ret)            
24
  1.         programs = MemberProgram.objects.all().values()    # 用户权限满足条件 返回接口信息
25
  1.         return JsonResponse(list(programs), safe=False)
 
 
测试:
              

               

上面实现了接口对用户权限的控制,实际项目代码不会这么简单,需要通过token进行判断,这里只是简单实现
方法二:
    利用restframework的permission组件实现:
 
 
 
x
 
 
 
 
 
1
  1. from rest_framework.authentication import BaseAuthentication
2
  1. from rest_framework.permissions import BasePermission
3
  1. from rest_framework.exceptions import PermissionDenied
4
  1.  
5
  1. lass MyAuthentication(BaseAuthentication):
6
  1.     def authenticate(self, request):
7
  1.         name = request._request.GET.get('username')
8
  1.         print(name)
9
  1.         return (name, None)
10
  1.  
11
  1.  
12
  1. class MyPermission(BasePermission):
13
  1.     def has_permission(self, request, view):
14
  1.         if not request.user:
15
  1.             raise PermissionDenied('权限被拒')
16
  1.         username = request.user
17
  1.         try:
18
  1.             group_name = User.objects.get(username=username).group.group_name
19
  1.         except User.DoesNotExist:
20
  1.             raise PermissionDenied('用户不存在')
21
  1.         if group_name == 'usual':
22
  1.             raise PermissionDenied('权限被拒')
23
  1.         return True
24
  1.  
25
  1.  
26
  1. class MemberPrograms(APIView):
27
  1.     authentication_classes = [MyAuthentication, ]
28
  1.     permission_classes = [MyPermission, ]
29
  1.  
30
  1.     def get(self, request):
31
  1.         programs = MemberProgram.objects.all().values()
32
  1.         return JsonResponse(list(programs), safe=False)
 
 
     上面的例子中我们都是将认证类和权限类注册在了对应的view视图中,
      其实要是项目中多数视图需要进行以上验证,那就可将自定义的认证类和权限类放在一个单独的文件中,然后注册到seeting.py中 :
  
          

在seeting.py中添加下面内容:
            

源码分析:
              

    1.请求的封装,将原先的request封装到restframework的APIview中,丰富了request内容,包含了authenticators等
    2. initial() 初始化
 
 
 
  1. x
 
 
 
 
 
1
  1.     def initial(self, request, *args, **kwargs):
2
  1.         """
3
  1.         Runs anything that needs to occur prior to calling the method handler.
4
  1.         """
5
  1.         self.format_kwarg = self.get_format_suffix(**kwargs)
6
  1.  
7
  1.         # Perform content negotiation and store the accepted info on the request
8
  1.         neg = self.perform_content_negotiation(request)
9
  1.         request.accepted_renderer, request.accepted_media_type = neg
10
  1.  
11
  1.         # Determine the API version, if versioning is in use.
12
  1.         version, scheme = self.determine_version(request, *args, **kwargs)
13
  1.         request.version, request.versioning_scheme = version, scheme
14
  1.  
15
  1.         # Ensure that the incoming request is permitted
16
  1.         
17
  1.         # 身份验证
18
  1.         self.perform_authentication(request)
19
  1.         # 权限验证
20
  1.         self.check_permissions(request)
21
  1.         self.check_throttles(request)
 
 
           调用了self.check_permissions(request)
 
 
 
  1. x
 
 
 
 
 
1
  1.     def check_permissions(self, request):
2
  1.         """
3
  1.         Check if the request should be permitted.
4
  1.         Raises an appropriate exception if the request is not permitted.
5
  1.         """
6
  1.         for permission in self.get_permissions():    # 1
7
  1.             if not permission.has_permission(request, self):  # 2
8
  1.                 self.permission_denied(    # 3
9
  1.                     request, message=getattr(permission, 'message', None)
10
  1.                 )
 
 
    第一步: self.get_permissions:
 
 
 
  1. x
 
 
 
 
 
1
  1.     def get_permissions(self):
2
  1.         """
3
  1.         Instantiates and returns the list of permissions that this view requires.
4
  1.         """
5
  1.         return [permission() for permission in self.permission_classes]
6
  1.     
7
  1.     
8
  1. self.permission_classes 就是我们定义的permissions,默认是从seeting.py配置文件中找,如果我们的view中制定了这一项,就使用view中的permission,而不用配置文件中的    
9
  1. permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES  
 
 
          第二步:permission.has_permission
          此时的permission就是定义的permission类,既然调用了has_permission方法,那我们的permission类就必须实现这个方法,这个方法中用来实现我们的权限校验逻辑
          源码判断这个函数,if not,说明如果has_permission函数的返回值不是True,就到第三步,否则集序循环下一个permission
          
          第三步:self.permission_denied
          可以看到这个方法需要两个参数,一个是request,一个是message=getattr(permission, 'message', None),getattr()从permission中找message,没找到就设为Node
 
 
 
  1. x
 
 
 
 
 
1
  1.     def permission_denied(self, request, message=None):
2
  1.         """
3
  1.         If request is not permitted, determine what kind of exception to raise.
4
  1.         """
5
  1.         if request.authenticators and not request.successful_authenticator:
6
  1.             raise exceptions.NotAuthenticated()
7
  1.         raise exceptions.PermissionDenied(detail=message)
 
 
          permission_denied最终抛出了一个异常exceptions.PermissionDenied,这个异常接受了message,而它实际就是我们异常的提示语,所以,可以修改上面自定义的MyPermission类,不需要我们手动抛出异常,只要return False即可:
class MyPermission(BasePermission):

message = '需要会员用户才能访问'

def has_permission(self, request, view):
if not request.user:
return False
username = request.user
try:
group_name = User.objects.get(username=username).group.group_name
except User.DoesNotExist:
return False
if group_name == 'usual':
return False
return True

 
 
 
  1. x
 
 
 
 
 
1
  1. class MyPermission(BasePermission):
2
  1.     
3
  1.     message = '需要会员用户才能访问'
4
  1.     
5
  1.     def has_permission(self, request, view):
6
  1.         if not request.user:
7
  1.             return False
8
  1.         username = request.user
9
  1.         try:
10
  1.             group_name = User.objects.get(username=username).group.group_name
11
  1.         except User.DoesNotExist:
12
  1.             return False
13
  1.         if group_name == 'usual':
14
  1.             return False
15
  1.         return True
 
 
        测试:
            

            
 

从FBV到CBV三(权限)的更多相关文章

  1. 一、虚拟环境.二、路由配置主页与404.三、2.x路由分发.四、伪静态.五、request对象.六、FBV与CBV.七、文件上传.

    一.虚拟环境 ''' 解决版本共存 1. 用pycharm选择File点击NewProject然后选择virtualenv创建一个纯净环境 2. 打开下载的目录将venv文件夹下的所有文件(纯净的环境 ...

  2. python 视图 (FBV、CBV ) 、Request 和Response对象 、路由系统

    一.FBV和CBV1.基于函数的view,就叫FBV(Function Based View) 示例: def add_book(request): pub_obj=models.Publisher. ...

  3. django请求生命周期,FBV和CBV,ORM拾遗,Git

    一.django 请求生命周期 流程图: 1. 当用户在浏览器中输入url时,浏览器会生成请求头和请求体发给服务端请求头和请求体中会包含浏览器的动作(action),这个动作通常为get或者post, ...

  4. Django之FBV与CBV

    一.FBV与CBV FBV(function based views),即基于函数的视图:CBV(class based views),即基于类的视图,也是基于对象的视图.当看到这个解释时,我是很萌的 ...

  5. python 全栈开发,Day84(django请求生命周期,FBV和CBV,ORM拾遗,Git)

    一.django 请求生命周期 流程图: 1. 当用户在浏览器中输入url时,浏览器会生成请求头和请求体发给服务端请求头和请求体中会包含浏览器的动作(action),这个动作通常为get或者post, ...

  6. django基础 -- 4. 模板语言 过滤器 模板继承 FBV 和CBV 装饰器 组件

    一.语法 两种特殊符号(语法): {{ }}和 {% %} 变量相关的用{{}},逻辑相关的用{%%}. 二.变量 1. 可直接用  {{ 变量名 }} (可调用字符串, 数字 ,列表,字典,对象等) ...

  7. Django FBV和CBV -

    一.FBV和CBV 在Python菜鸟之路:Django 路由.模板.Model(ORM)一节中,已经介绍了几种路由的写法及对应关系,那种写法可以称之为FBV: function base view ...

  8. django基础之FBV与CBV,ajax序列化补充,Form表单

    目录: FBV与CBV ajax序列化补充 Form表单(一) 一.FBV与CBV 1.什么是FBV.CBV? django书写view时,支持两种格式写法,FBV(function bases vi ...

  9. Python菜鸟之路:Django 路由补充1:FBV和CBV - 补充2:url默认参数

    一.FBV和CBV 在Python菜鸟之路:Django 路由.模板.Model(ORM)一节中,已经介绍了几种路由的写法及对应关系,那种写法可以称之为FBV: function base view ...

随机推荐

  1. CSS操作表格的边框和表格的属性示例代码

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  2. spring整合mybatis(非代理方式)【我】

    首先创建要给 maven 的war项目 不用代理的方式: 如果不适用Mapper代理的方式,配置就非常简单: 首先是pom文件(以下配置文件包含其他多余内容,仅供参考): <project xm ...

  3. 小D课堂 - 新版本微服务springcloud+Docker教程_汇总

    小D课堂 - 新版本微服务springcloud+Docker教程_1_01课程简介 小D课堂 - 新版本微服务springcloud+Docker教程_1_02技术选型 小D课堂 - 新版本微服务s ...

  4. Extjs4 修改combox中store的数据

    { xtype: "combo", fieldLabel: '选择模板', name: "TemplateType", fieldName: "Tem ...

  5. SQL学习(六)select into:复制表信息

    在实际工作中,可能需要将一个表中的数据复制到另一个表中,以供后续使用.此时可以用关键字select into(在MySQL中不支持select into,可使用insert into...select ...

  6. Python re 正则表达式【一】【转】

    数量词的贪婪模式与非贪婪模式 正则表达式通常用于在文本中查找匹配的字符串.Python里数量词默认是贪婪的(在少数语言里也可能是默认非贪婪),总是尝试匹配尽可能多的字符:非贪婪的则相反,总是尝试匹配尽 ...

  7. docker随笔

    --查看系统内核版本,docker对于centos系统内核版本需要高于3.10uname -r--移除旧的版本sudo yum remove docker \ docker-client \ dock ...

  8. 解析之Nginx解析

  9. python 爬虫 requests模块 目录

    requests模块(response常用属性) 基于requests模块的get请求 基于requests模块发起ajax的get请求 基于requests模块发起ajax的post请求

  10. adb工具介绍与安装

    一天笑嘻嘻是一名测试人员,想了解Android的测试方法,于是,就找到了小测试. 笑嘻嘻:身为一名测试人员需要了解ADB的哪些内容? 小测试:了解原理和简单的命令使用就可以了. 笑嘻嘻:你有毒啊,都了 ...