Django-Rest-Framework 权限管理源码浅析(小结)

更新时间：2018年11月12日 13:56:11 作者：行行出bug

这篇文章主要介绍了Django-Rest-Framework 权限管理源码浅析(小结)，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

在django的views中不论是用类方式还是用装饰器方式来使用rest框架，django_rest_frame实现权限管理都需要两个东西的配合: authentication_classes 和 permission_classes

# 方式1: 装饰器
from rest_framework.decorators import api_view, authentication_classes, permission_classes
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import AllowAny
from rest_framework.response import Response


@api_view(["GET", ])
@permission_classes([AllowAny,])
@authentication_classes([SessionAuthentication, BasicAuthentication])
def test_example(request):
 content = {
   'user': unicode(request.user), # `django.contrib.auth.User` instance.
   'auth': unicode(request.auth), # None
  }
  return Response(content)

# ------------------------------------------------------------
# 方式2: 类
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import AllowAny
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
 authentication_classes = (SessionAuthentication, BasicAuthentication)
 permission_classes = (AllowAny,)

 def get(self, request, format=None):
  content = {
   'user': unicode(request.user), # `django.contrib.auth.User` instance.
   'auth': unicode(request.auth), # None
  }
  return Response(content)

上面给出的是权限配置的默认方案，写和不写没有区别。 rest框架有自己的settings文件 ，最原始的默认值都可以在里面找到:

说道rest的settings文件，要覆盖其中的默认行为，特别是权限认证行为，我们只需要在 项目settings文件

中指定你自己的类即可:

REST_FRAMEWORK = {
 ...
 'DEFAULT_AUTHENTICATION_CLASSES': (
  'your_authentication_class_path',
 ),
 ...
}

在rest的settings文件中，获取属性时，会优先加载项目的settings文件中的设置，如果项目中没有的，才加载自己的默认设置:

初始化api_settings对象

api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)

APISettings 类中获取属性时优先获取项目的settings文件中 REST_FRAMEWORK 对象的值，没有的再找自己的默认值

@property
def user_settings(self):
 if not hasattr(self, '_user_settings'):
  # _user_settings默认为加载项目settings文件中的REST_FRAMEWORK对象
  self._user_settings = getattr(settings, 'REST_FRAMEWORK', {})
 return self._user_settings

def __getattr__(self, attr):
 if attr not in self.defaults:
  raise AttributeError("Invalid API setting: '%s'" % attr)

 try:
  # Check if present in user settings
  # 优先加载user_settings，即项目的settings文件，没有就用默认
  val = self.user_settings[attr]
 except KeyError:
  # Fall back to defaults
  val = self.defaults[attr]

 # Coerce import strings into classes
 if attr in self.import_strings:
  val = perform_import(val, attr)

 # Cache the result
 self._cached_attrs.add(attr)
 setattr(self, attr, val)
 return val

在rest中settings中，能自动检测 项目settings 的改变，并重新加载自己的配置文件:

权限管理原理浅析

rest框架是如何使用 authentication_classes 和 permission_classes ，并将二者配合起来进行权限管理的呢？

使用类方式实现的时候，我们都会直接或间接的使用到rest框架中的APIVIEW，在 urls.py 中使用该类的 as_view 方法来构建router

# views.py
from rest_framework.views import APIView
from rest_framework.permissions import IsAuthenticated


class ExampleAPIView(APIView):
 permission_classes = (IsAuthenticated,)
 ...
 
# -----------------------------
from django.conf.urls import url, include

from .views import ExampleAPIView

urlpatterns = [
 url(r'^example/(?P<example_id>[-\w]+)/examples/?$',
  ExampleAPIView.as_view()),
]

在我们调用 APIVIEW.as_view() 的时候，该类会调用父类的同名方法：

父类的同名方法中，调用了dispatch方法：

rest 重写了该方法，在该方法中对requset做了一次服务端初始化(加入验证信息等)处理

调用权限管理

在权限管理中会使用默认的或是你指定的权限认证进行验证: 这里只是做验证并存储验证结果 ，这里操作完后authentication_classes的作用就完成了。验证结果会在后面指定的 permission_classes 中使用！

def get_authenticators(self):
  """
  Instantiates and returns the list of authenticators that this view can use.
  """
  return [auth() for auth in self.authentication_classes]

通过指定的permission_classes确定是否有当前接口的访问权限:

class IsAuthenticatedOrReadOnly(BasePermission):
 """
 The request is authenticated as a user, or is a read-only request.
 """

 def has_permission(self, request, view):
  return (
   request.method in SAFE_METHODS or
   request.user and
   request.user.is_authenticated
  )

最后，不管有没有使用permission_classes来决定是否能访问，默认的或是你自己指定的authentication_classes都会执行并将权限结果放在request中！

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Python模块 _winreg操作注册表
通过python操作注册表主要有两种方式，一种是通过python的内置模块 _winreg，另一种方式就是 Win32 Extension For Python的win32api模块，这里主要简单看看用内置模块 _winreg如何操作注册表
2020-02-02
教你如何用python开发一款数字推盘小游戏
这篇文章主要介绍了教你如何用python开发一款数字推盘小游戏,文中有非常详细的代码示例,喜对欢玩小游戏的或者正在学习python小游戏开发的小伙伴们有很好的帮助,需要的朋友可以参考下
2021-04-04
python实现三壶谜题的示例详解
这篇文章主要介绍了python实现三壶谜题功能，本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2020-11-11
Keras 实现加载预训练模型并冻结网络的层
这篇文章主要介绍了Keras 实现加载预训练模型并冻结网络的层，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-06-06
深入解析Python的Tornado框架中内置的模板引擎
模板引擎是Web开发框架中负责前端展示的关键,这里我们就来以实例深入解析Python的Tornado框架中内置的模板引擎,来学习如何编写Tonardo的模板.
2016-07-07
python3.5 cv2 获取视频特定帧生成jpg图片
这篇文章主要为大家详细介绍了python3.5 cv2 获取视频特定帧生成jpg图片，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2019-08-08
利用Python将每日一句定时推送至微信的实现方法
这篇文章主要给大家介绍了关于利用Python将每日一句定时推送至微信的实现方法，文中通过示例代码将实现的步骤一步步介绍的非常详细，需要的朋友可以参考借鉴，下面随着小编来一起学习学习吧
2018-08-08
PyTorch一小时掌握之神经网络气温预测篇
这篇文章主要介绍了PyTorch一小时掌握之神经网络气温预测篇，本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2021-09-09
利用python爬取软考试题之ip自动
最近为了考试打算抓取网上的软考试题，在抓取中遇到一些问题，下面这篇文章主要介绍的是利用python爬取软考试题之ip自动的相关资料，文中介绍的非常详细，需要的朋友们下面来一起看看吧。
2017-03-03
Python序列之list和tuple常用方法以及注意事项
这篇文章主要介绍了Python序列之list和tuple常用方法以及注意事项,sequence(序列)是一组有顺序的对象的集合,序列可以包含一个或多个元素,也可以没有任何元素,序列有两种：list (表) 和 tuple（元组）,需要的朋友可以参考下
2015-01-01

Django-Rest-Framework 权限管理源码浅析(小结)

相关文章

最新评论

大家感兴趣的内容

最近更新的内容

常用在线小工具