drf的权限类位于permission模块
 
如何确定权限
  • 认证、限流,权限决定是否应该接收请求或拒绝访问
  • 权限检查在视图的最开始处执行,在继续执行其他代码前
  • 权限检查通常会使用request.user和request.auth属性中的身份认证信息来决定是否允许请求
  • 不同级别的用户访问不同的api过程中,使用权限来控制访问的许可
  • DRF框架的权限被定义为一个权限类的列表,表示拥有列表中所有类型的权限
  • 在运行视图代码主体之前,会检查列表中的每个权限
  • 任何一个权限检查失败的话,会抛出 exceptions.PermissionDenied 或 exceptions.NotAuthenticated 异常,视图主体代码不会运行
  • 权限检查失败时,会返回403 Forbidden或401 Unauthorized响应
  • 响应规则如下:
    1. 请求已成功通过身份验证,但不具备访问权限,返回403 Forbidden响应。
    2. 请求未通过身份认证,并且最高优先级的认证类未使用 WWW-Authenticate 标头, 返回403 Forbidden响应。
    3. 请求未通过身份认证,但是最高优先级的认证类使用了 WWW-Authenticate 标头,返回HTTP 401未经授权的响应,并附带适当的WWW-Authenticate报头
 
如何设置权限
#settings全局权限配置

REST_FRAMEWORK = {

    'DEFAULT_PERMISSION_CLASSES':(

        #drf默认的权限,允许任何访问

        'rest_framework.permissions.AllowAny',

    )

}
 
# 局部视图级别的权限配置

class UserInfo(ModelViewSet):

    # 列表传入要设置的权限

    permission_classses = []

'''

全局权限和局部权限都有配置,以局部配置为准,装饰器请求的权限设置同样

'''
 
 
DRF自有的权限类源码解析
BasePermission:权限基类,都直接返回True没有实现具体功能,留了两个坑待后续具体继承实现
class BasePermission(metaclass=BasePermissionMetaclass):

    def has_permission(self, request, view):

        return True

    def has_object_permission(self, request, view, obj):

        return True
AllowAny权限:继承权限基类,没有做任何操作直接返回True,任何请求都可以访问
class AllowAny(BasePermission):

    def has_permission(self, request, view):

        return True
IsAuthenticated权限,允许任何经过身份验证的用户访问API,拒绝任何未经身份验证的用户
class IsAuthenticated(BasePermission):

    def has_permission(self, request, view):

        # request.user,如果有值,说明当前有用户,判断用户是否登录

        # request.user.is_authenticated,判断用户是否通过认证

        # 如果两个都通过,bool返回True,可以后续执行,否则False不可执行

        return bool(request.user and request.user.is_authenticated)
IsAdminUser权限,只允许管理员用户访问,拒绝其他任意身份用户访问
class IsAdminUser(BasePermission)

    def has_permission(self, request, view):

        # request.user,如果有值,说明当前有用户,判断用户是否登录

        # request.user.is_staff属性Django 的auth的属性,如果是True,说明是管理员

        # 如果两个都通过,bool返回True,可以后续执行,否则False不可执行

        return bool(request.user and request.user.is_staff)
IsAuthenticatedOrReadOnly权限:允许经过身份验证的用户完全访问(可读可写),未经过身份验证的用户只允许读取
class IsAuthenticatedOrReadOnly(BasePermission):

    def has_permission(self, request, view):

        return bool(

            # SAFE_METHODS是定义的安全方法list,GET、HEAD、OPTIONS三种请求方式

            # 如果请求方式是三种安全方式之一,直接可以访问,三种读取请求

            # 或者 request.user and request.user.is_authenticated,判断是否登录以及是否验证通过

            # 两种条件满足一种,如果为True,只读或者读写,否则拒绝访问

            request.method in SAFE_METHODS or

            request.user and

            request.user.is_authenticated

        )
DjangoModelPermissions权限,Django模型级别的权限,与Django标准的 django.contrib.auth model权限相关,此权限只能应用于具有 .queryset 属性集的视图。只有在用户通过身份验证并分配了相关模型权限的情况下,才可以授予此权限
class DjangoModelPermissions(BasePermission):

    #权限类属性设定

    perms_map = {

        'GET': [], # 空list,不需要具有模型权限

        'OPTIONS': [],# 空list,不需要具有模型权限

        'HEAD': [], # 空list,不需要具有模型权限

        'POST': ['%(app_label)s.add_%(model_name)s'], # POST 请求需要用户对 add 模型具有权限。

        'PUT': ['%(app_label)s.change_%(model_name)s'], #PUT请求要求用户对 change 模型具有权限。

        'PATCH': ['%(app_label)s.change_%(model_name)s'],#POST请求要求用户对 change 模型具有权限。

        'DELETE': ['%(app_label)s.delete_%(model_name)s'], #DELETE 请求需要用户对 delete 模型具有权限

    }

    authenticated_users_only = True   

    def get_required_permissions(self, method, model_cls):

        kwargs = { # 获取请求app_label和model_name

            'app_label': model_cls._meta.app_label,

            'model_name': model_cls._meta.model_name

        }

        # 请求方式不在设定的类属性中则抛出异常

        if method not in self.perms_map:

            raise exceptions.MethodNotAllowed(method)

        # self.perms_map[method]获取指定请求方式的值,拼接kwargs

        return [perm % kwargs for perm in self.perms_map[method]]

    def _queryset(self, view):

        #断言 view是否有get_queryset方法或者获取queryset指定的值

        assert hasattr(view, 'get_queryset') \

            or getattr(view, 'queryset', None) is not None, (

            'Cannot apply {} on a view that does not set '

            '`.queryset` or have a `.get_queryset()` method.'

        ).format(self.__class__.__name__)

        # 如果view有getqueryset_set

        if hasattr(view, 'get_queryset'):

            queryset = view.get_queryset()

            # queryset赋值view的get_queryset()方法

            # 如果不为空返回 queryset

            assert queryset is not None, (

                '{}.get_queryset() returned None'.format(view.__class__.__name__)

            )

            return queryset

        return view.queryset

    def has_permission(self, request, view):

    # 如果 ignore_model_permissions有值,返回True

    if getattr(view, '_ignore_model_permissions', False):

        return True

    # 如果没有登录或者 没有认证属性返回False

    if not request.user or (

       not request.user.is_authenticated and self.authenticated_users_only):

        return False

    queryset = self._queryset(view)

    # 通过self.get_required_permissions设定对应权限

    perms = self.get_required_permissions(request.method, queryset.model)

    return request.user.has_perms(perms)        

    '''

    也可以通过自定义模型权限,重写以上的默认行为

    自定义模型权限,请覆盖 DjangoModelPermissions 并设置 .perms_map 属性

    在重写了 get_queryset() 方法的视图中使用此权限,有可能这个视图上却没有queryset 属性。在这种情况下,建议使用保护性的查询集来标记视图,以便确定所需的权限

    queryset = User.objects.none()

    '''
DjangoModelPermissionsOrAnonReadOnly权限,继承DjangoModelPermissions,与之类似 ,但允许未经身份验证的用户对API的只读权限
class DjangoModelPermissionsOrAnonReadOnly(DjangoModelPermissions):

    authenticated_users_only = False
 
DjangoObjectPermissions权限,继承DjangoModelPermissions,Django的模型的对象级别的权限,粒度最细
  • 与 DjangoModelPermissions 一样,此权限只能应用于具有 .queryset 属性或 .get_queryset() 方法的视图,只有在用户通过身份验证并且具有相关的每个对象权限 和相关的模型权限 后,才会被授予此权限
  • POST 请求要求用户对模型实例具有 add 权限。
  • PUT 和 PATCH 请求要求用户对模型示例具有 change 权限。
  • DELETE 请求要求用户对模型示例具有 delete 权限
  • 和 DjangoModelPermissions 一样,可以通过重写 DjangoObjectPermissions 并设置 .perms_map 属性来使用自定义模型权限
class DjangoObjectPermissions(DjangoModelPermissions):

    perms_map = {

        'GET': [],

        'OPTIONS': [],

        'HEAD': [],

        'POST': ['%(app_label)s.add_%(model_name)s'],

        'PUT': ['%(app_label)s.change_%(model_name)s'],

        'PATCH': ['%(app_label)s.change_%(model_name)s'],

        'DELETE': ['%(app_label)s.delete_%(model_name)s'],

    }

    def get_required_object_permissions(self, method, model_cls):

        kwargs = { # 获取app_label和model_name

            'app_label': model_cls._meta.app_label,

            'model_name': model_cls._meta.model_name

        }

        # 如果请求方式不在类属性定义中,抛出异常

        if method not in self.perms_map:

            raise exceptions.MethodNotAllowed(method)

        # 返回对应权限属性

        return [perm % kwargs for perm in self.perms_map[method]]

    def has_object_permission(self, request, view, obj):

       # 获取queryset、model以及当前user

        queryset = self._queryset(view)

        model_cls = queryset.model

        user = request.user

        # 获取返回的权限属性

        perms = self.get_required_object_permissions(request.method, model_cls)

        # 如果返回的权限属性有任何一个为False

        if not user.has_perms(perms, obj):

            # 如果不是安全请求中的method,抛出404异常

            if request.method in SAFE_METHODS:

                raise Http404

            # 获取只读的请求,如果没有只读请求抛出404异常

            read_perms = self.get_required_object_permissions('GET', model_cls)

            if not user.has_perms(read_perms, obj):

                raise Http404

            return False

        return True
 
自定义权限
自定义权限规范
  1. 继承BasePermission权限基类,根据实现需要编写对应的基类方法
  2. has_permission(self,request,view)
    1. view针对哪个视图进行权限检查
    2. 返回值True,通过权限检查
    3. 返回值False,没有通过权限检查
  3. has_object_permission(self,request,view,obj)
    1. 针对单独的对象进行权限检查
    2. 如果视图不是继承了通用视图,需要显示的调用check_object_permissions(request,obj)
    3. 如果继承了通用视图但是重写了get_object(),也需要显示的调用check_object_permissions(request,obj)
    4. 因为在通用视图中自动调用了check_object_permissions,而非通用视图没有自动调用
  1. 可以根据是否安全请求返回不同的权限,可以直接判断请求是否在permissions.SAFE_METHODS
    if request.method in permissions.SAFE_METHODS:
      '''安全请求'''
    else:
      '''写入操作'''
  1. message,权限提示的异常信息,可根据需要决定是否要自定义
# 简单示例

from rest_framework import permissions

# 视图级别权限

class BlackListPermission(permissions.BasePermission):

    # 自定义权限提示信息

    message = '木子七是黑名单'

    def has_permission(self, request, view):

        # 如果登录名是木子七 返回False,不是木子七 返回True

        return not request.user.username == '木子七'

# 对象级别权限

class IsOwnerOrReadOnly(permissions.BasePermission):

    def has_object_permission(self, request, view, obj):

        # 如果是安全请求直接返回True

        if request.method in permissions.SAFE_METHODS:

            return True

        # 判断操作对象的用户名 是否和登录的用户名一致

        return obj.user.username == request.user.username

43.Permission源码解析和自定义权限类的更多相关文章

  1. rest-framework源码解析和自定义组件----版本

    版本 url中通过GET传参自定义的版本 12345678910111213141516171819202122 from django.http import HttpResponsefrom dj ...

  2. SpringBoot源码学习1——SpringBoot自动装配源码解析+Spring如何处理配置类的

    系列文章目录和关于我 一丶什么是SpringBoot自动装配 SpringBoot通过SPI的机制,在我们程序员引入一些starter之后,扫描外部引用 jar 包中的META-INF/spring. ...

  3. Mybatis源码解析(三) —— Mapper代理类的生成

    Mybatis源码解析(三) -- Mapper代理类的生成   在本系列第一篇文章已经讲述过在Mybatis-Spring项目中,是通过 MapperFactoryBean 的 getObject( ...

  4. admin源码解析及自定义stark组件

    admin源码解析 单例模式 单例模式(Singleton Pattern)是一种常用的软件设计模式,该模式的主要目的是确保某一个类只有一个实例存在.当你希望在整个系统中,某个类只能出现一个实例时,单 ...

  5. Spring Boot @Enable*注解源码解析及自定义@Enable*

      Spring Boot 一个重要的特点就是自动配置,约定大于配置,几乎所有组件使用其本身约定好的默认配置就可以使用,大大减轻配置的麻烦.其实现自动配置一个方式就是使用@Enable*注解,见其名知 ...

  6. Django(63)drf权限源码分析与自定义权限

    前言 上一篇我们分析了认证的源码,一个请求认证通过以后,第二步就是查看权限了,drf默认是允许所有用户访问 权限源码分析 源码入口:APIView.py文件下的initial方法下的check_per ...

  7. Java集合:LinkedList源码解析

    Java集合---LinkedList源码解析   一.源码解析1. LinkedList类定义2.LinkedList数据结构原理3.私有属性4.构造方法5.元素添加add()及原理6.删除数据re ...

  8. Java集合---LinkedList源码解析

    一.源码解析1. LinkedList类定义2.LinkedList数据结构原理3.私有属性4.构造方法5.元素添加add()及原理6.删除数据remove()7.数据获取get()8.数据复制clo ...

  9. 深入浅出ReentrantLock源码解析

    ReentrantLock不但是可重入锁,而且还是公平或非公平锁,在工作中会经常使用到,将自己对这两种锁的理解记录下来,希望对大家有帮助. 前提条件 在理解ReentrantLock时需要具备一些基本 ...

随机推荐

  1. 使用二手 gopro 做行车记录仪

    背景 自打开了博客以后,一直在写技术说明文,今天打算写点程序以外的东西换换味口.前段时间在某鱼上以 300 元的价格入手了一套完整的 gopro3+ 运动摄像头,带一张 32G SD 卡,两块备用电池 ...

  2. Taurus.MVC 微服务框架 入门开发教程:项目部署:3、微服务应用程序版本升级:全站升级和局部模块升级。

    系列目录: 本系列分为项目集成.项目部署.架构演进三个方向,后续会根据情况调整文章目录. 本系列第一篇:Taurus.MVC V3.0.3 微服务开源框架发布:让.NET 架构在大并发的演进过程更简单 ...

  3. 简单概述因特网(Internet)

    学习目的 了解 Internet 的概念,区别因特网与互联网. 了解 Internet 的基本结构. 了解 Internet 的发展历史. Internet 概念 因特网(Internet)是全球性的 ...

  4. CF1442D Sum (动态规划,线段树分治)

    ( 宋 体 字 看 起 来 真 舒 服 ) _{_{(宋体字看起来真舒服)}} (宋体字看起来真舒服)​​ 题 面 ( 洛 谷 翻 译 ) 题面_{_{(洛谷翻译)}} 题面(洛谷翻译)​​ 给定 n ...

  5. pathlib路径问题

    下面是我的文件框架 app ------ file1---- .py1 file2---- .py2 config.py 我在config文件中设置了变量参数 BASE_DIR = pathlib.P ...

  6. ProxySQL 审计

    1.审计日志 ProxySQL 2.0.5 引入了审计日志.此功能允许跟踪某些连接活动.要启用此功能,需要配置变量 mysql-auditlog_filename,也就是审计日志的文件名.此变量的默认 ...

  7. ES 7.13版本设置索引模板和索引生命周期管理

    第一步:索引管理中查看都有哪些索引文件,然后添加索引模式(后面的日期用*表示) 第二步:索引生命周期管理 自带的有一个log,就使用这个,不用再新建了,根据需求修改里面的配置就行了 第三步:添加索引模 ...

  8. Docker 部署 RocketMQ Dledger 集群模式( 版本v4.7.0)

    文章转载自:http://www.mydlq.club/article/97/ 系统环境: 系统版本:CentOS 7.8 RocketMQ 版本:4.7.0 Docker 版本:19.03.13 一 ...

  9. Dockerfile文件:设置变量启动的时候传递进去

    from openjdk:8-jdk-alpine RUN ln -sf /usr/share/zoneinfo/Asia/shanghai /etc/localtime RUN echo 'Asia ...

  10. Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 四)