Django REST FrameWork中文教程4:验证和权限

目前,我们的API对谁可以编辑或删除代码段没有任何限制。我们想要一些更高级的行为,以确保:

  • 代码段始终与创建者相关联。

  • 只有身份验证的用户可以创建片段。

  • 只有片段的创建者可以更新或删除它。

  • 未经身份验证的请求应具有完全只读访问权限。

将信息添加到我们的模型

我们将对我们的Snippet模型类进行一些更改。首先,我们添加几个字段。其中一个字段将用于表示创建代码段的用户。另一个字段将用于存储代码的突出显示的HTML表示。

将以下两个字段添加到Snippet模型中models.py

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

我们还需要确保在保存模型时,使用pygments代码突出显示库填充突出显示的字段。

我们需要一些额外的导入:

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

现在我们可以.save()在我们的模型类中添加一个方法:

def save(self, *args, **kwargs):
    """
    Use the `pygments` library to create a highlighted HTML
    representation of the code snippet.
    """
    lexer = get_lexer_by_name(self.language)
    linenos = self.linenos and 'table' or False
    options = self.title and {'title': self.title} or {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos,
                              full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super(Snippet, self).save(*args, **kwargs)

完成这些工作后,我们需要更新我们的数据库表。通常我们将创建一个数据库迁移,为了做到这一点,但是为了本教程的目的,我们只需删除数据库并重新开始

rm -f tmp.db db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate

您可能还需要创建几个不同的用户,以用于测试API。执行此操作的最快方法是使用createsuperuser命令。

python manage.py createsuperuser

为我们的用户模型添加端点

现在我们有一些用户可以使用,我们最好将这些用户的表示添加到我们的API中。创建一个新的serializer很容易。在serializers.py添加:

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

因为在User模型上'snippets'是一个反向关系,所以在使用ModelSerializer该类时它不会被默认包含,所以我们需要为它添加一个显式字段。

我们还会添加几个视图views.py。我们希望只使用只读视图为用户表示,所以我们将使用ListAPIViewRetrieveAPIView通用的基于类的意见。

from django.contrib.auth.models import User

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

确保也导入UserSerializer

from snippets.serializers import UserSerializer

最后,我们需要通过从URL conf引用它们将这些视图添加到API中。将以下内容添加到其中的模式中urls.py

url(r'^users/$'>, views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$'>, views.UserDetail.as_view()),

将片段与用户关联

现在,如果我们创建了一个代码片段,那么将无法将创建该代码段的用户与代码段实例相关联。用户不是作为序列化表示的一部分发送的,而是传入请求的属性。

我们处理的方式是覆盖.perform_create()我们的代码片段视图上的方法,这样我们可以修改实例保存的管理方式,并处理传入请求或请求的URL中隐含的任何信息。

SnippetList视图类中,添加以下方法:

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

create()我们的串行器的方法现在将被传递一个附加'owner'字段,以及请求中验证的数据。

更新我们的serializer

现在,这些片段与创建它们的用户相关联,我们更新我们SnippetSerializer来反映这一点。将以下字段添加到序列化器定义中serializers.py

owner = serializers.ReadOnlyField(source='owner.username')

注意:确保您还添加'owner',到内部Meta类的字段列表。

这个领域正在做一些很有趣的事情。的source哪个属性参数控制用于填充的字段,并且可以在对串行化实例的任何属性点。它也可以采用上面显示的点划线,在这种情况下,它将以与Django模板语言一起使用的相似方式遍历给定的属性。

我们添加了字段是类型化ReadOnlyField类,相对于其他类型的字段,如CharFieldBooleanField等...类型化ReadOnlyField始终是只读的,并且将用于序列化表示形式,但不会被用于更新模型他们被反序列化的实例。我们也可以CharField(read_only=True)在这里使用。

添加视图所需的权限

现在,代码片段与用户相关联,我们希望确保只有经过身份验证的用户才能创建,更新和删除代码段。

REST框架包括许多权限类,我们可以使用它们来限制谁可以访问给定的视图。在这种情况下,我们正在寻找的是IsAuthenticatedOrReadOnly,这将确保经过身份验证的请求获得读写访问权限,未经身份验证的请求将获得只读访问权限。

首先在视图模块中添加以下导入

from rest_framework import permissions

接着,下面的属性添加到SnippetListSnippetDetail视图类。

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登录到Browsable API

如果您打开浏览器并导航到目前可浏览的API,那么您将发现无法再创建新的代码段。为了做到这一点,我们需要能够以用户身份登录。

我们可以通过编辑项目级urls.py文件中的URLconf来添加可浏览API使用的登录视图。

在文件顶部添加以下导入:

from django.conf.urls import include

并且,在文件末尾,添加一个模式以包括可浏览的API的登录和注销视图。

urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

r'^api-auth/'模式的一部分实际上可以是您要使用的任何URL。唯一的限制是所包含的URL必须使用'rest_framework'命名空间。在Django 1.9+中,REST框架将设置命名空间,因此您可以将其删除。

现在,如果再次打开浏览器并刷新页面,您将在页面右上角看到一个“登录”链接。如果您以您之前创建的用户身份登录,则可以再次创建代码段。

创建几个代码片段后,导航到“/ users /”端点,并注意到该表示包含每个用户的“片段”字段中与每个用户相关联的代码段的列表。

对象级权限

我们希望所有的代码片段都可以被任何人看到,但也要确保只有创建代码段的用户才能更新或删除它。

要做到这一点,我们将需要创建一个自定义权限。

在片段应用中,创建一个新文件, permissions.py

from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        return obj.owner == request.user

现在,我们可以通过编辑视图类中的permission_classes属性将该自定义权限添加到我们的代码段实例端点SnippetDetail

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

确保也导入IsOwnerOrReadOnly类。

from snippets.permissions import IsOwnerOrReadOnly

现在,如果再次打开浏览器,您会发现如果您以与创建代码段相同的用户身份登录,“DELETE”和“PUT”操作只会显示在代码段实例端点上。

使用API进行身份验证

因为我们现在有一组API的权限,如果我们要编辑任何片段,我们需要验证我们的请求。我们还没有设置任何身份验证类,所以默认值现在被应用,哪些是SessionAuthenticationBasicAuthentication

当我们通过Web浏览器与API进行交互时,我们可以登录,然后浏览器会话将为请求提供所需的身份验证。

如果我们以编程方式与API交互,我们需要在每个请求上显式提供身份验证凭据。

如果我们尝试创建一个没有验证的代码段,我们会收到一个错误:

http POST http://127.0.0.1:8000/snippets/ code="print 123"

{
    "detail": "Authentication credentials were not provided."
}

我们可以通过包括我们之前创建的一个用户的用户名和密码来成功提出请求。

http -a tom:password123 POST http://127.0.0.1:8000/snippets/ code="print 789"

{
    "id": 1,
    "owner": "tom",
    "title": "foo",
    "code": "print 789",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

概要

我们现在已经在我们的Web API上获得了一个相当精细的权限,并为系统的用户和他们创建的代码段提供了终点。

在本教程的第5部分中,我们将介绍如何通过为突出显示的片段创建一个HTML端点来将所有内容联结在一起,并通过为系统中的关系使用超链接来提高API的凝聚力。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,142评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,298评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,068评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,081评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,099评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,071评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,990评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,832评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,274评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,488评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,649评论 1 347
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,378评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,979评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,625评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,643评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,545评论 2 352

推荐阅读更多精彩内容