django rest framework快速入门第四章 身份验证和权限

第四章 身份验证和权限

写在前面:
本文翻译于django rest framework官方文档,由于网上大多数django rest framework中文翻译文档都有较为多的删减行为,笔者在学习的时候就觉得不是太方便,故笔者将官方文档较为完善的为大家翻译下,仅供大家学习参考。

由于笔者文笔有限,若有写得不当之处,敬请各位同仁指出;若涉及到侵权,请联系笔者,笔者将立即删除。

目前,我们的API没有对谁可以编辑或删除代码段的任何限制。 我们希望有一些更高级的行为,以确保:

  1. 代码段始终与创建者相关联。
  2. 只有经过身份验证的用户才能创建代码段。
  3. 只有代码段的创建者可以更新或删除它。
  4. 未经身份验证的请求应具有完全只读访问权限。

向我们的模型中添加一些信息

我们将对Snippet模型做一些修改。首先,我们添加一个字段。

我们将一个字段添加到models.pySnippet模型中

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)

我们把这些都完成之后,我们需要更新下我们的数据库表。

为我们的用户模型添加关联的字段

我们的Snippet模型与User模型是外键关联的,所以我们可以创建一个用户的序列化在serializers.py

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

因为Snippets这个字段在User模型中是一个反向的关系,所以在使用ModelSerializer类的时候不会被默认包含,我们需要为他添加一个显式字段。

我们还会在views.py里添加几个视图,我们只想对用户表示使用只读视图,所以我们使用ListAPIViewRetrieveAPIView通用基于类的视图

from django.contrib.auth.models import User
from snippets.serializers import UserSerializer

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

最后,我们需要将这些视图添加到API中,从URL conf中引用他们,我们向urls.py文件中添加以下内容

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

将Snippets与Users相关联

现在,党我们创建一个snippet的时候,我们无法将其与用户关联,用户不作为序列化表示的一部分发送,而是在传入的请求的属性中

我们处理的方式是在我们的视图上覆盖一个perform_create()方法,允许我们修改如何管理实例保存,并处理在传入请求或请求的URL中隐含任何信息。
我们在SnippetList视图中做一些修改

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

这个方法将传递一个附加的owner字段,以及请求中已验证的数据

更新我们的序列化程序

现在,snippet将与创建它们的用户相关联,让我们更新我们的SnippetSerializer来反映。 将以下字段添加到serializers.py中的序列化程序定义中:

owner = serializers.ReadOnlyField(source='owner.username')

同时你也要将owner这个字段添加到Meta类的fields当中。

source参数控制哪个属性用于填充字段,并且可以指向序列化实例上的任何属性

我们添加的字段是无类型的ReadOnlyField类,与其他类型的字段,例如CharField,BooleanField等相反。无类型的ReadOnlyField始终是只读的,将用于序列化表示,但不会 用于在反序列化时更新模型实例。 我们也可以在这里使用CharField(read_only = True),也可以达到同样的效果。

向视图中添加一些必要的权限

现在我们的snippets与users相关联了,但我们还需要确保仅仅是验证过的用户才有权限去对snippet进行增删改。

REST Framework为我们提供了许多的permission类,我们可以使用它们来限制访问某个视图的用户。在我们目前的情况下,我们将使用IsAuthenticatedOrReadOnly,这将确保已验证的请求获得读写访问,未经验证的请求获得只读访问。

from rest_framework import permissions

然后同时在SnippetList视图和SnippetDetail视图中添加以下的属性

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登录接口

如果您打开浏览器并转到可浏览的API,您会发现您无法再创建新的代码段。 为此,我们需要能够以用户身份登录。

我们可以通过编辑我们项目下的urls.py文件中的URLconf来添加一个登录视图,以便与可浏览的API一起使用。

from django.conf.urls import include

urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

现在,如果您再次打开浏览器并刷新页面,您将在页面右上角看到一个“登录”链接。 如果您以之前创建的用户之一身份登录,则可以再次创建代码段。

创建几个snippet后,路由跳转到/users/,并注意该表示包括每个用户的“代码段”字段中与每个用户相关联的snippet的ID列表。

对象级权限

实际上,我们希望所有的snippet对任何人都是可见的,但也要确保的是,只有创建snippet的人才能够去增删改它

所以我们需要一个自定义的权限来满足我们的要求

我们在snippetsAPP中增加一个新文件permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    自定义权限,只允许对象的所有者编辑它
    """

    def has_object_permission(self, request, view, obj):
        # 查看的权限对所有请求开放
        # 所以我们永远开放 GET, HEAD or OPTIONS 请求
        if request.method in permissions.SAFE_METHODS:
            return True

        # 写的请求只对对象的创建者开放
        return obj.owner == request.user

我们现在将我们的自定义权限加入到SnippetDetail视图中。

from snippets.permissions import IsOwnerOrReadOnly

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

如果你再次打开浏览器,你会发现如果你是以创建snippet的同一用户身份登录,你才能看到DELETEPUT操作。

使用API进行身份验证

由于我们现在对API有一组权限,因此如果我们要编辑任何snippet,我们需要验证我们对它的请求。 我们没有设置任何认证类,因此,目前应用默认值,即SessionAuthenticationBasicAuthentication

当我们通过Web浏览器与API交互时,我们可以登录,然后浏览器会话将为请求提供所需的身份验证。

如果我们以编程方式与API进行交互,我们需要在每个请求中显式提供身份验证凭据。

如果我们尝试创建一个未验证的代码段,我们会收到一条错误。

http POST http://127.0.0.1:8000/snippets/ code="print 123"

{
    "detail": "Authentication credentials were not provided."
}

我们可以通过包括我们之前创建的用户之一的用户名和密码来成功请求。

http -a tom:password123 POST http://127.0.0.1:8000/snippets/ code="print 789"

{
    "id": 5,
    "owner": "tom",
    "title": "foo",
    "code": "print 789",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

总结

我们通过本章的学习了解了REST Framew相当简便的权限控制。

下一步

我们在下一章中将为系统中的关系使用超链接来提高API的内聚性,研究如果将所有的内容关联到一起。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,633评论 18 139
  • 4 创建一个社交网站 在上一章中,你学习了如何创建站点地图和订阅,并且为博客应用构建了一个搜索引擎。在这一章中,你...
    lakerszhy阅读 2,168评论 0 7
  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,808评论 25 707
  • Django: csrf防御机制 csrf攻击过程 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登...
    lijun_m阅读 1,053评论 0 0
  • 文章来源:http://www.kissyu.org/2016/10/06/深入理解Java%20try-with...
    极乐君阅读 4,818评论 0 2