场景介绍
假如某些资源必须判断是已经登录用户才能获取，或者某些资源只能是当前登录用户的才能进行修改操作。

就需要进行权限验证，就像在 Django 中的 LoginRequiredMixin 只允许已登录用户访问资源。

官方文档位置

官方示例

from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request, format=None):
        content = {
            'status': 'request was permitted'
        }
        return Response(content)

关于权限的部分 API 参考
AllowAny
该AllowAny许可类将允许不受限制的访问，不管请求被认证或未认证的。

此权限不是严格要求的，因为您可以通过将空列表或元组用于权限设置来获得相同的结果，但是您可以发现指定该类很有用，因为它使意图明确。

IsAuthenticated
该IsAuthenticated许可类将拒绝允许任何未认证用户，并允许许可，否则。

如果您希望仅注册用户可以访问您的API，则此权限很合适。

IsAdminUser
所述IsAdminUser许可类将拒绝许可给任何用户，除非user.is_staff是True在这种情况下的许可将被允许。

如果只希望一部分受信任的管理员可以访问您的API，则此权限很合适。

IsAuthenticatedOrReadOnly
在IsAuthenticatedOrReadOnly将允许被授权的用户进行任何请求。仅当请求方法是“安全”方法之一时，才允许对未授权用户的请求；GET，HEAD或OPTIONS。

如果您希望您的API允许匿名用户具有读取权限，而只允许经过身份验证的用户具有写入权限，则此权限非常适合。

自定义权限
DRF 运行我们自定义权限，可以实现更为灵活的权限校验。

要实现自定义权限，需要继承 BasePermission 并实现以下方法之一或两者：

.has_permission(self, request, view)
.has_object_permission(self, request, view, obj) 只针对获取单个对象有效

比如，官方文档中的示例，可以实现只允许当前用户的拥有者修改指定的资源。

from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    对象级权限仅允许对象的所有者对其进行编辑
    假设模型实例具有 owner 属性。
    """

    def has_object_permission(self, request, view, obj):
        # 任何请求都允许读取权限，
        # 所以我们总是允许GET，HEAD或OPTIONS 请求.
        if request.method in permissions.SAFE_METHODS:
            return True

        # 示例必须要有一个名为 owner 的属性
        # 官方示例中返回了如下内容，这意味着
        # 对象的 owner 属性的值是当前请求的用户
        # 时，才会返回 true,也就是可以被允许的
        #return obj.owner == request.user        
        # 这里我修改为正确的外键字段名，例如:
        return obj.user == request.user

上面的示例可以修改为当用户处于某个运维组的时候，允许 POST 请求，其他人运行只读的 GET,HEAD 或 OPTONS 请求。

使用自定义权限策略

自定义错误信息