到目前为止,撰写的API没有任何限制关于谁能更新、删除snippet. 我们更想要一些高级行为来确保:

1、代码段总是跟创建者有关联

2、只要认证通过的用户才能创建

3、只有创建者有权限更新或者删除

4、没有认证的请求应该有且只有完全的只读权限

Adding information to our model

我们打算在Snippet模型类上做一些改变。首先,添加一些字段,其中之一用来代表创建这个code的用户。其他的字段将用于存储代码中突出显示的HTML表示形式。

添加下面两个字段到Snippet类在models.py.

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

我们还需要确保当模型被保存时,我们使用pygments代码突出显示库填充突出显示的字段。此外还需要导入些其他的:

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

现在需要往model类里面添加一个save方法:

def save(self, *args, **kwargs):
"""
Use the `pygments` library to create a highlighted HTML
representation of the code snippet.
"""
lexer = get_lexer_by_name(self.language)
linenos = 'table' if self.linenos else False
options = {'title': self.title} if self.title else {}
formatter = HtmlFormatter(style=self.style, linenos=linenos,
full=True, **options)
self.highlighted = highlight(self.code, lexer, formatter)
super(Snippet, self).save(*args, **kwargs)

做好上面的操作后,需要同步数据库

shuais-MacBook-Pro:TestApp dandyzhang$ rm -f db.sqlite3
shuais-MacBook-Pro:TestApp dandyzhang$ rm -r app01/migrations
shuais-MacBook-Pro:TestApp dandyzhang$ python3 manage.py makemigrations
shuais-MacBook-Pro:TestApp dandyzhang$ python3 manage.py migrate

为了测试API,还需要创建一下超级用户:

shuais-MacBook-Pro:TestApp dandyzhang$ python3 manage.py createsuperuser

Adding endpoints for our User models

现在我们已经有一些工作的用户了,还需要添加这些用户的表示到API中。

在serializers.py文件中添加:

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all()) class Meta:
model = User
fields = ('id', 'username', 'snippets')

snippets在 User model上是一种反转关系,在继承ModelSerializer类不能使用默认值。所以需要为它添加一个明确的字段

同样,也需要在views.py文件内添加一些东西。我们更倾向于为用户表示使用只读权限,所以我们将使用ListAPIView和RetrieveAPIView generic CBV.

from django.contrib.auth.models import User

class UserList(generics.ListAPIView):
queryset = User.objects.all()
serializer_class = UserSerializer class UserDetail(generics.RetrieveAPIView):
queryset = User.objects.all()
serializer_class = UserSerializer

确认下导入的UserSerializer类

from app01.serializers import UserSerializer

最后,我们需要把这些视图添加进API,通过url设置,在urls.py文件中

    path('users/', views.UserList.as_view()),
path('users/<int:pk>/', views.UserDetail.as_view()),

Associating Snippets with Users

现在,如果我们创建snippet,会发现没有办法通过snippet实例关联到创建的用户。用户不是作为序列化表示的一部分发送的,而是即将到来的请求的属性。

解决这个问题的方式是重写一个.perform_create()方法在views里面,它允许我们修改管理实例如何保存,处理传入请求或者被请求URL的任何信息

在SnippetList视图类添加如下的方法:

def perform_create(self, serializer):
serializer.save(owner=self.request.user)

一个额外添加的owner字段现在将会被serializer里面的create方法通过,跟请求里面的验证数据一起。

Updating our serializer

现在snippets和用户的关联建好了,更新一下SnippetSerializer来反应它。在serializers.py文件添加:

        owner = serializers.ReadOnlyField(source='owner.username')

注意将它添加在Meta类内部的字段列表中.

class SnippetSerializer(serializers.ModelSerializer):
owner = serializers.ReadOnlyField(source='owner.username') class Meta:
model = Snippet
fields = ('id', 'title', 'code', 'linenos', 'language', 'style', 'owner')

这个字段做了些很有趣的事情。source参数控制一种属性用来跟某个字段关联对应,可以指向序列化实例的任何属性。它也可以采用上面所显示的实例的表示法,将会遍历给定的属性,跟Django的模版语言很类似。

我们刚刚添加的这个字段是一个非类型化的ReadOnlyField类,与其他类型字段相反,比如CharField、BooleanField等...非类型话的ReadOnlyField总是只读的,并将用于序列化表示,但是在反序列化的时候不能被用来更新模型实例,也可以用CharField(read_only=True)

Adding required permissions to views

现在snippet已经跟用户有联系了,我们想确定只有通过验证的用户可以创建,更新,删除snippet。

REST framework包含了一串权限类供用来限制谁能访问一个给定的视图。在这里,我们想要寻找的是IsAuthenticatedOrReadOnly这个类用来确保通过验证的请求获取到读写权限,没有通过验证的请求获得只读权限。

首先在views里面导入模块

from rest_framework import permissions

然后添加下面的属性到SnippetList和SnippetDetail两个视图类中。

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

Adding login to Browable API

如果你打开浏览器,导航到了可浏览的API,你会发现你不能再创建新的spnippet了。为了能这样做,需要先登陆。

我们可以再根目录的urls文件内加入下面的路由,它包含可浏览的API的登陆和登出。

    path('api/', include('rest_framework.urls', namespace='rest_framework')),

路由的名称可以自定义。

现在打开浏览器,你会在网页的右上角看到login的图标。如果你用之前创建的用户登陆了,你就可以再一次创建snippet了。

创建好一些snippet后,你就可以在子路由users下面查看到

Object level permissions

我们想让所有的snippet被任何人看到,但必须保证只有创建的人才可以增删改。

想要这么做,需要创建一个定制化的权限。创建一个新的文件在app内permissions.py

from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
"""
Custom permission to only allow owners of an object to edit it.
""" def has_object_permission(self, request, view, obj):
# Read permissions are allowed to any request,
# so we'll always allow GET, HEAD or OPTIONS requests.
if request.method in permissions.SAFE_METHODS:
return True # Write permissions are only allowed to the owner of the snippet.
return obj.owner == request.user

现在可以添加自定义的权限到snippet实例终端,通过编辑在SnippetDetail视图类里面的permission_classes属性

from app01.permissions import IsOwnerOrReadOnly  # 先导入

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
IsOwnerOrReadOnly,)

现在重新运行一下此项目,你会发现delete和put按钮出现在你创建的一个snippet实例的终端。

Authenticating with the API

因为现在已经有一批权限在API上,如果需要编辑任何的snippet需要认证请求。但是我们还没有设置任何的认证类,所以此时是使用的默认的类SessionAuthentication和BasicAuthentication

当我们通过浏览器跟API进行交互,我们可以登陆,然后浏览器的session会提供必要的认证给请求。如果我们以变成的方式跟API交互,就需要提供明确的认证凭据在每一次请求上。如果尝试创建一个新的snippet不带验证,将会得到报错:

带上认证凭据:

Django REST framework 第四章 Authentication的更多相关文章

  1. django by example 第四章 dashboard处html无法渲染问题

    描述: 实现django by example 代码时,第四章 dashboard处html无法渲染问题. 此时报错,NoReverseMatch at /account/login/, Error ...

  2. (转)Django学习之 第四章:Django模板系统

    前面的章节我们看到如何在视图中返回HTML,但是HTML是硬编码在Python代码中的 这会导致几个问题: 1.显然,任何页面的改动会牵扯到Python代码的改动 网站的设计改动会比Python代码改 ...

  3. Django REST framework 第六章 ViewSets & Routers

    REST framework包含了一个可以处理ViewSets的抽象, 它允许开发人员专注于API的状态跟交互进行建模,并使得URL构建结构基于通用的约定自动处理. ViewSet类跟View类几乎相 ...

  4. Django REST framework 第五章 Relationships & Hyperlinked APIs

    到目前为止,API内部的关系是使用主键来代表的.在这篇教程中,我们将提高API的凝聚力和可发现性,通过在相互关系上使用超链接. Creating an endpoint for the root of ...

  5. Django REST framework 第三章 CBV

    从介绍Django快开始,我们就一直在使用FBV的方式来撰写代码,二者本质上并没有太大的区别,然而到了REST framework,更会倾向于用CBV来写API的视图,后面会看到这个方式的强大,它允许 ...

  6. Django REST framework 第七章 Schemas & client libraries

    模式是一个机器可读文档,描述可用的API端点,URL以及它们支持的操作. 模式对于自动生成文档是一个很有用的工具,也可以用来动态调用可以于API交互的客户端库. Core API 为了提供模式支持,R ...

  7. django by example 第四章 扩展 User 模型( model)

    描述: RelatedObjectDoesNotExist at /account/edit/ User has no profile.​ 原因: 注意原书,要求新建一个账户才能使用.

  8. Django Rest framework实现流程

    目录 一 什么是restful架构 二 Django REST framework简介 三 Django REST framework原理 四 Django REST framework源码流程 五 ...

  9. 《Django By Example》第四章 中文 翻译 (个人学习,渣翻)

    书籍出处:https://www.packtpub.com/web-development/django-example 原作者:Antonio Melé (译者注:祝大家新年快乐,这次带来<D ...

随机推荐

  1. 对于Arrays的deep相关的方法。

    关于: deepEquals Arrays.equals(Object[] o1, Object[] o2):当是判断数组是引用类型数组的时候,从以下条件判断: 1.o1与o2指向同一个数组实例时,返 ...

  2. 函数后面的const修饰符的作用

    比如 void Fun() const; 的const是修饰什么的? 其实是修饰this指向的对象的. 这篇文章很详细的说明了const的作用,其中第三点说明了这种const的作用:const的用法, ...

  3. 踩过的坑—iphone手机H5样式兼容总结

    对一个前端开发者来说,最煎熬的莫过于"兼容"两个字了(说到这个词朋友们是不是身体一抖),哪怕对于工作多年的老油条来讲,也不是完全了解各种场景下的兼容性处理方法.在这里我就把我在工作 ...

  4. (set)MG loves gold hdu6019

    MG loves gold Time Limit: 3000/1500 MS (Java/Others)    Memory Limit: 262144/262144 K (Java/Others) ...

  5. 关于Tcpdump抓包总结

    一.简介 tcpdump是一个用于截取网络分组,并输出分组内容的工具.凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump提供了源代码,公开了接口, ...

  6. (转载)python: getopt的使用;

    注: 该文转载于https://blog.csdn.net/tianzhu123/article/details/7655499python中 getopt 模块, 该模块是专门用来处理命令行参数的 ...

  7. kettle连接mysql数据库并进行数据分析

    1.数据库链接驱动 如果没有安装对应的数据库链接驱动,在数据库链接的过程中,可能会报某个数据库连接找不到的异常,因此需要下载对应驱动后(安装步骤可以参见“怎么在官网上下载java连接mysql的驱动j ...

  8. Java基础方法整理

    方法 9.1方法概述 方法就是用来完成解决某件事情或实现某个功能的办法 可以通过在程序代码中引用方法名称和所需的参数,实现在该程序中执行(或称调用)该方法.方法,一般都有一个返回值,用来作为事情的处理 ...

  9. Mybatis笔记一:写一个demo

    什么是Mybatis? 在Java中,我们连接数据库可以使用最初级的JDBC,但是这样很麻烦,每次都要写好多,所以Mybatis出现了,Mybatis可以帮我们很简单很简单的实现与数据库的读取改写操作 ...

  10. Sql Server时间格式化笔记

    Select CONVERT(varchar(100), GETDATE(), 0): 05 16 2006 10:57AMSelect CONVERT(varchar(100), GETDATE() ...