场景介绍
假如某些资源必须判断是已经登录用户才能获取,或者某些资源只能是当前登录用户的才能进行修改操作。
就需要进行权限验证,就像在 Django 中的 LoginRequiredMixin 只允许已登录用户访问资源。
官方文档位置
官方示例
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView
class ExampleView(APIView):
permission_classes = [IsAuthenticated]
def get(self, request, format=None):
content = {
'status': 'request was permitted'
}
return Response(content)
关于权限的部分 API 参考
AllowAny
该AllowAny许可类将允许不受限制的访问,不管请求被认证或未认证的。
此权限不是严格要求的,因为您可以通过将空列表或元组用于权限设置来获得相同的结果,但是您可以发现指定该类很有用,因为它使意图明确。
IsAuthenticated
该IsAuthenticated许可类将拒绝允许任何未认证用户,并允许许可,否则。
如果您希望仅注册用户可以访问您的API,则此权限很合适。
IsAdminUser
所述IsAdminUser许可类将拒绝许可给任何用户,除非user.is_staff是True在这种情况下的许可将被允许。
如果只希望一部分受信任的管理员可以访问您的API,则此权限很合适。
IsAuthenticatedOrReadOnly
在IsAuthenticatedOrReadOnly将允许被授权的用户进行任何请求。仅当请求方法是“安全”方法之一时,才允许对未授权用户的请求;GET,HEAD或OPTIONS。
如果您希望您的API允许匿名用户具有读取权限,而只允许经过身份验证的用户具有写入权限,则此权限非常适合。
自定义权限
DRF 运行我们自定义权限,可以实现更为灵活的权限校验。
要实现自定义权限,需要继承 BasePermission 并实现以下方法之一或两者:
.has_permission(self, request, view)
.has_object_permission(self, request, view, obj)
只针对获取单个对象有效
比如,官方文档中的示例,可以实现只允许当前用户的拥有者修改指定的资源。
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
"""
对象级权限仅允许对象的所有者对其进行编辑
假设模型实例具有 owner 属性。
"""
def has_object_permission(self, request, view, obj):
# 任何请求都允许读取权限,
# 所以我们总是允许GET,HEAD或OPTIONS 请求.
if request.method in permissions.SAFE_METHODS:
return True
# 示例必须要有一个名为 owner 的属性
# 官方示例中返回了如下内容,这意味着
# 对象的 owner 属性的值是当前请求的用户
# 时,才会返回 true,也就是可以被允许的
#return obj.owner == request.user
# 这里我修改为正确的外键字段名,例如:
return obj.user == request.user
上面的示例可以修改为当用户处于某个运维组的时候,允许 POST 请求,其他人运行只读的 GET,HEAD 或 OPTONS 请求。
使用自定义权限策略
自定义错误信息