本文共 4738 字,大约阅读时间需要 15 分钟。
1.在settings中配置
from rest_framework import settings中可以看到它默认使用的在settings配置文件中,我们可以进行下面的配置来覆盖默认配置REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( #哪个写在前面,优先使用哪个认证 'rest_framework.authentication.SessionAuthentication', # session认证,admin后台其实就使用的session认证,其实接口开发很少用到session认证,所以我们通过配置可以改为其他认证,比如后面项目里面我们用到jwt,JSON WEB TOKEN认证,或者一些配合redis的认证 'rest_framework.authentication.BasicAuthentication', # 基本认证,工作当中可能一些测试人员会参与的话,他们会将一些认证数据保存在内存当中,然后验证的,我们基本上用不上 )}
看效果:能够看到我们当前的登陆用户了就,其实不配置也能看到,因为我们并没有修改认证系统
比如说我们很多接口的数据都是可以让别人获取数据的,但是有可能有些接口是调用给别人网站的,有可能到时候我们就需要一些单独的认证了,可以在每个视图中通过设置authentication_classess属性来设置。
from rest_framework.authentication import SessionAuthentication, BasicAuthenticationfrom rest_framework.views import APIViewclass ExampleView(APIView): # 类属性 authentication_classes = [SessionAuthentication, BasicAuthentication] #也可以写成元祖形式的,到时候我们使用我们自己开发的认证组件的时候,就需要自己写一个认证组件类,然后写在列表中来使用 ...
认证失败会有两种可能的返回值:
from rest_framework.authentication import BaseAuthenticationfrom rest_framework.exceptions import AuthenticationFailedclass APIAuth(BaseAuthentication): def authenticate(self, request): print(request) #request.user if 1: return 'xx','oo' #request.user = 'xx' request.auth = 'oo' else: raise AuthenticationFailed('认证失败')
全局使用,settings配置文件中使用
REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( ... 'four.utils.auth.APIAuth', #类的路径 ), }
局部视图中使用:
from rest_framework.authentication import SessionAuthentication, BasicAuthenticationfrom four.utils.auth import APIAuthclass AuthAPIView(APIView): authentication_classes = [APIAuth,] def get(self,request): print('>>>>',request.user) #AnonymousUser 匿名用户,假用户 print('>>>>',request.auth) #AnonymousUser 匿名用户,假用户 #>>>> root return Response({ 'msg':'hello'})
class UserAuth(): def authenticate_header(self,request): pass#authenticate方法固定的,并且必须有个参数,这个参数是新的request对象,不信,看源码 def authenticate(self,request): print(1111) if 1: #源码中会发现,这个方法会有两个返回值,并且这两个返回值封装到了新的request对象中了,request.user-->用户名 和 request.auth-->token值,这两个值作为认证结束后的返回结果 return "chao","asdfasdfasdf"class BookView(APIView): #认证组件肯定是在get、post等方法执行之前执行的,还记得源码的地方吗,这个组件是在dispatch的地方调用的,我们是上面写个UserAuth类 authentication_classes = [UserAuth,] #认证类可以写多个,一个一个的顺序验证 def get(self,request): ''' 查看所有书籍 :param request: :return: ''' #这样就拿到了上面UserAuth类的authenticate方法的两个返回值 print(request.user) print(request.auth) book_obj_list = models.Book.objects.all() s_books = BookSerializers(book_obj_list,many=True) return Response(s_books.data)
权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。
可以在配置文件中全局设置默认的权限管理类,如
REST_FRAMEWORK = { .... 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', #登录状态下才能访问我们的接口,可以通过退出admin后台之后,你看一下还能不能访问我们正常的接口就看到效果了 )}
如果未指明,则采用如下默认配置
from rest_framework import permissions'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.AllowAny', #表示任何人都可以进行任何的操作,没做限制)
也可以在具体的视图中通过permission_classes属性来设置,如
from rest_framework.permissions import IsAuthenticatedfrom rest_framework.views import APIViewclass ExampleView(APIView): permission_classes = (IsAuthenticated,) ...
from rest_framework.authentication import SessionAuthenticationfrom rest_framework.permissions import IsAuthenticatedfrom rest_framework.generics import RetrieveAPIViewclass StudentAPIView(RetrieveAPIView): queryset = Student.objects.all() serializer_class = StudentSerializer authentication_classes = [SessionAuthentication] permission_classes = [IsAuthenticated]
如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部
.has_permission(self, request, view)
是否可以访问视图, view表示当前视图对象
.has_object_permission(self, request, view, obj)
是否可以访问数据对象, view表示当前视图, obj为数据对象
例如:
在当前子应用下,创建一个权限文件permissions.py中声明自定义权限类:
from rest_framework.permissions import BasePermissionclass IsXiaoMingPermission(BasePermission): def has_permission(self, request, view): if( request.user.username == "xiaoming" ): return True
from .permissions import IsXiaoMingPermissionclass StudentViewSet(ModelViewSet): queryset = Student.objects.all() serializer_class = StudentSerializer permission_classes = [IsXiaoMingPermission]
转载地址:http://vgqzi.baihongyu.com/