drf框架中认证与权限工作原理及设置

0909自我总结

drf框架中认证与权限工作原理及设置

一.概述

1.认证

工作原理

• 返回None => 游客
• 返回user,auth => 登录用户
• 抛出异常 => 非法用户

前台对于用户信息进行的判断

1）如果前台没有携带认证信息，直接定义为游客

2）如果前台携带了认证信息并认证通过，定位为登录用户，将登录的用户user对象保存在 requset.user 中

3）如果前台携带了认证信息但没有认证通过，一般都定义为游客

4 ) 可以自定义为非法用户，抛出 认证失败 异常，但是不建议直接操作，可以交给权限组件进一步处理rest_framework.exceptions 的 AuthenticationFailed

参数

• BasicAuthentication : 基本认证

• SessionAuthentication : session认证

2.权限

工作原理

• 返回False => 没有权限，将信息返回给前台
• 返回True => 拥有权限，进行下一步认证(频率认证)

相关设置

• AllowAny：允许所有用户
• IsAuthenticated：只允许登录用户
  • 必须request.user和request.user.is_authenticated都通过
• IsAuthenticatedOrReadOnly：游客只读，登录用户无限制
  • get、option、head 请求无限制
  • 前台请求必须校验 request.user和request.user.is_authenticated
• IsAdminUser：是否是后台用户
  • 校验 request.user和request.user.is_staff is_staff(可以登录后台管理系统的用户)

二.局部设置

即在我们自定义的视图类开头设置

# 认证 下面不一定是[],也可以()就是需要在数组当中,多个类用,隔开
# 局部取消认证组件：authentication_classes = []
# 区别启用认证组件：authentication_classes = [认证类们]
# 填写的参数BasicAuthentication,SessionAuthentication 

# 权限
# 局部取消权限组件：permission_classes = []
# 区别启用权限组件：permission_classes = [权限类们]
# 填写的参数AllowAny

如

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView
from rest_framework.permissions import IsAuthenticated

class 类名(APIView):
    authentication_classes = (SessionAuthentication, BasicAuthentication)
    permission_classes = [IsAuthenticated,]
	...........

三.全局设置

在setting中设置

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # django默认session校验：校验规则 游客 及 登录用户
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ],
    'DEFAULT_PERMISSION_CLASSES': [
        # 'rest_framework.permissions.AllowAny',
        # 全局配置：一站式网站（所有操作都需要登录后才能访问）
        # 'rest_framework.permissions.IsAuthenticated',
    ],
}

四.失败返回的内容

• 401 Unauthorized 未认证
• 403 Permission Denied 权限被禁止