Django Rest Framework --權限控制

基本結構

urls.py

from django.conf.urls import url, include
from app import views
   
urlpatterns = [
    url(r'^test/', views.TestView.as_view()),
]

views.py

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.request import Request
from rest_framework import exceptions
  
  
class MyPermission(object):
    def has_permission(request, self):
    '''
    權限代碼編寫區域
    '''
    return True  #權限通過 如果權限不通過 返回False
  
  
class TestView(APIView):
    permission_classes = [MyPermission, ]
  
    def get(self, request, *args, **kwargs):
        pass
  
      
     def post(self, request, *args, **kwargs):
        pass
  
        '''
        等等一系列的視圖功能方法
        '''

注意事項：

　1.使用權限類

　　　　在需要權限控制的視圖類中，寫入permission_classes = [MyPermission, ]，變量屬性permission_classes 是個列表，列表中可寫多個權限類，通過權限方才執行視圖類的方法。(此方法屬於局部的類的權限控制方式)

　2.返回值

　　　　(1)Ture表示權限通過，False表示權限拒絕

源碼分析

(1)尋找函數入口

　　通過urls.py文件，我們首先要尋找TestView類的as_view()方法，我們能在APIView類找到as_view()方法，APIView繼承了View中as_view()方法，返回了一個view函數最終的結果就是調用了dispatch方法，整個視圖類的入口就找到了。

  

(2)為什么要使用permission_classes 屬性變量？

　　現在我們開始尋找dispatch方法，這時候請注意，我們應該從子類TestView中開始尋找這個方法，因為在子類中可能會重構父類的dispatch方法，最后我們在APIView類中找到了dispatch方法。

  

python 的面向對象編程中，我們首先要執行的方法肯定是dispatch方法，所以我們的分析入口就是dispatch方法，在dispatch方法中，可以看到，通過initialize_request方法將django原生的request進行了一次封裝。由initialize_request方法的實現過程可以看出，將其封裝實例化成了一個Request對象。但權限判斷並沒有像認證一樣初始化到了Request對象中，但對django原生的request封裝還是需要強調的，因為編寫代碼的過程中對django原生的request的使用是必不可免的。

 

在check_permissions方法中，就可以看到權限的判斷就是通過這個for循環實現的。正因為在業務代碼中可能存在若干種類型的權限判斷，所以才會通過循環去執行我們定義好的權限判斷類來完成多個權限體系的判斷功能。這樣，我們可以感覺到這里的“self.get_permissions()”的返回值應該就是我們在視圖類中賦值過的permissions_classes屬性變量的值。那就跳轉到這個方法中去看看吧。 

在get_permissions方法中看到，跟認證一樣，返回值同樣是一個列表生成式，而這個列表生成式使用的屬性變量正是我們賦值過的permission_classes，跟我們之前的猜測完全一致。綜上所述，我們為了讓drf接口源碼使用上我們自己定義的權限判斷類，那我們就必須按照源碼中寫的借口，將permission_classes屬性變量賦值、

(3)為什么要權限控制類中要使用has_permission方法？

回到check_permissions方法中，我們看if判斷句，前面剛剛說過，在for中的permission其實就是我們自己定義的權限判斷類，那么在if句中的“.has_permission(request,self)”不就應該就是Mypermission類中的方法嗎？所以，我們自己定義的Mypermission類中一定要實現has_permission這個方法。（要注意這個方法的參數）

(4)為什么權限控制的返回值為布爾值？

還是跟上一個問題一樣的，在上圖中的if句中，我們可以看到“permission.has_permission(request, self)”的返回值不就是布爾值嗎，這個返回值不就是has_permission方法返回值嗎？當返回值為False時，就會執行if句中的代碼，來拋出異常。

實例

from django.conf.urls import url, include
from web.views import TestView

urlpatterns = [
    url(r'^test/', TestView.as_view()),
]

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.authentication import BaseAuthentication
from rest_framework.permissions import BasePermission

from rest_framework.request import Request
from rest_framework import exceptions

token_list = [
    'sfsfss123kuf3j123',
    'asijnfowerkkf9812',
]


class TestAuthentication(BaseAuthentication):
    def authenticate(self, request):
        """
        用戶認證，如果驗證成功后返回元組： (用戶,用戶Token)
        :param request: 
        :return: 
            None,表示跳過該驗證；
                如果跳過了所有認證，默認用戶和Token和使用配置文件進行設置
                self._authenticator = None
                if api_settings.UNAUTHENTICATED_USER:
                    self.user = api_settings.UNAUTHENTICATED_USER() # 默認值為：匿名用戶
                else:
                    self.user = None
        
                if api_settings.UNAUTHENTICATED_TOKEN:
                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()# 默認值為：None
                else:
                    self.auth = None
            (user,token)表示驗證通過並設置用戶名和Token；
            AuthenticationFailed異常
        """
        val = request.query_params.get('token')
        if val not in token_list:
            raise exceptions.AuthenticationFailed("用戶認證失敗")

        return ('登錄用戶', '用戶token')

    def authenticate_header(self, request):
        """
        Return a string to be used as the value of the `WWW-Authenticate`
        header in a `401 Unauthenticated` response, or `None` if the
        authentication scheme should return `403 Permission Denied` responses.
        """
        pass


class TestPermission(BasePermission):
    message = "權限驗證失敗"

    def has_permission(self, request, view):
        """
        判斷是否有權限訪問當前請求
        Return `True` if permission is granted, `False` otherwise.
        :param request: 
        :param view: 
        :return: True有權限；False無權限
        """
        if request.user == "管理員":
            return True

    # GenericAPIView中get_object時調用
    def has_object_permission(self, request, view, obj):
        """
        視圖繼承GenericAPIView，並在其中使用get_object時獲取對象時，觸發單獨對象權限驗證
        Return `True` if permission is granted, `False` otherwise.
        :param request: 
        :param view: 
        :param obj: 
        :return: True有權限；False無權限
        """
        if request.user == "管理員":
            return True


class TestView(APIView):
    # 認證的動作是由request.user觸發
    authentication_classes = [TestAuthentication, ]

    # 權限
    # 循環執行所有的權限
    permission_classes = [TestPermission, ]

    def get(self, request, *args, **kwargs):
        # self.dispatch
        print(request.user)
        print(request.auth)
        return Response('GET請求，響應內容')

    def post(self, request, *args, **kwargs):
        return Response('POST請求，響應內容')

    def put(self, request, *args, **kwargs):
        return Response('PUT請求，響應內容')

全局配置

同樣，跟全局認證一樣，我們只需要在settings配置文件中添加配置項即可。然后，我們仍然需要將我們自定義的權限類也寫到我們在跟views.py同級目錄下新建的文件夾（我習慣叫utils）中的權限判斷文件（permision.py）中去。

REST_FRAMEWORK = {
    "DEFAULT_PERMISSION_CLASSES" :['api.utils.permission.Mypermission',]   
}

Mypermission就是我們寫在utils文件夾中permission.py文件中的一個權限類。

注意：如果有部分類不需要權限判斷的話，可以在Mypermission類中添加“permission_classes = []”,即可。