前言
我们都听过权限,那么权限到底是做什么的呢.
我们都有博客,或者去一些论坛,一定知道管理员这个角色,
比如我们申请博客的时候,一定要向管理员申请,也就是说管理员会有一些特殊的权利,是我们没有的.
==这些对某件事情决策的范围和程度,我们叫做权限==,权限是我们在项目开发中经常用到的.
本文将详细讲述DRF框架为我们提供的权限组件的使用方法.
源码剖析
DRF的版本控制、认证、权限、频率组件都在initial方法里初始化.
我们点进去看看:
其实我们版本、认证、权限、频率控制走的源码流程大致相同.
==我们的权限类中一定要有has_permission方法——框架为我们提供的钩子.==
我们再来看看rest_framework.permissions文件中存放的框架为我们提供的所有权限的方法:
==注意图中的BasePermission类,这个类是框架为我们提供的基础权限类,我们自定义的权限类都要继承此类.==
调用方法
在视图中调用:
permission_classes = ["自定义的权限类", ]
全局调用:
REST_FRAMEWORK = {
# 配置全局认证
'DEFAULT_AUTHENTICATION_CLASSES': ["指定自定义的权限类", ]
}
权限的详细用法
请结合【DRF认证组件详细用法】此文献中的自定义认证类来阅读如下步骤.
第一步 准备数据库文件和数据
from django.db import models class UserInfo(models.Model): name = models.CharField(max_length=32) pwd = models.CharField(max_length=32) token = models.UUIDField(null=True, blank=True) user_type = ((1, "普通用户"), (2, "管理员")) type = models.IntegerField(choices=user_type, default=1)
数据如下:
mysql> select * from blog_userinfo; +----+-----------+-----------+------+-------+ | id | name | pwd | type | token | +----+-----------+-----------+------+-------+ | 1 | 花千骨 | huaqiangu | 1 | NULL | | 2 | 锦觅 | jinmi | 2 | NULL | +----+-----------+-----------+------+-------+ 2 rows in set (0.00 sec)
第二步 自定义一个权限组件
from rest_framework.permissions import BasePermission # 导入基础的权限类
class MyPermission():
"""必备的属性和方法,基本固定的逻辑"""
message = "普通用户无权访问的数据"
def has_permission(self, request, view):
"""
注意:
源码中初始化时的顺序是认证在前,权限在后,所以只要认证通过
我们这里就可以使用request.user拿到用户信息,request.auth拿到用户对象
"""
# 获取认证控制的返回值
print("用户名:" request.user)
user_obj = request.auth
if user_obj.type == 1:
return False # 普通用户
return True # 管理员
第三步 urls.py
from django.conf.urls import url from blog.views import LoginView, TestPermissionView urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^login/$', LoginView.as_view()), # 用于登陆 url(r'^test_permission/$', TestPermissionView.as_view()), # 用于权限测试 ]
第四步 views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from .auth import MyAuth # 导入自定义的认证组件
from .permission import MyPermission # 导入自定义的权限控制组件
from .models import UserInfo # 导入用户信息表
import uuid # 用于生成uuid
class LoginView(APIView):
"""用于登陆验证并生成UUID的视图"""
def post(self, request):
name = request.data.get('name')
pwd = request.data.get('pwd')
user_obj = UserInfo.objects.filter(name=name, pwd=pwd).first()
if user_obj:
u4 = uuid.uuid4() # 生成uuid4
user_obj.token = u4
user_obj.save()
return Response(str(u4))
return Response("用户名或密码错误")
class TestPermissionView(APIView):
"""用于测试权限的视图"""
# 在视图中增加如下属性,即表明此视图要走如下组件的逻辑
authentication_classes = [MyAuth, ] # 自定义的认证组件
permission_classes = [MyPermission, ] # 权限控制组件
def get(self, request):
return Response("这里是管理员能访问的数据")
好了,我们可以测试了.
我们先登陆一个普通用户:
然后复制返回的UUID,再去访问权限测试页面:
可见,返回的内容为普通用户无权限.
我们再来登陆一个管理员:
然后复制返回的UUID,再去访问权限测试页面:
可见,返回的内容为管理员能访问的数据.
好了,关于DRF的权限就到这里了.
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线
暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。
艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。