drf 权限认证

Posted huangxuanya

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了drf 权限认证相关的知识,希望对你有一定的参考价值。

复习

"""
视图家族
1、视图类:APIView、GenericAPIView
    APIView:作为drf的基础view;as_view()禁用csrf;dispatch()二次封装request、三大认证、解析、渲染、响应、异常等模块;一堆类属性,可以用来做全局或局部插拔配置
    GenericAPIView:继承APIView;三个方法三个属性(obj,queryset,serializer)

2、视图工具集:mixin五大工具类(六个方法)
    list:群查
    retrieve:单查
    create:单增
    destroy:单删
    update:单整体改
    partial_update:单局部改
    前提:工具类都是由GenericAPIView的子类来继承


3、工具视图:Generic各种子类
    ListAPIView(ListModelMixin, GenericAPIView):继承该类的视图类,只需要提供几个类属性,就可以完成群查,不需要书写get方法
    ListCreateAPIView(ListModelMixin, CreateModelMixin, GenericAPIView)


4、视图集:ViewSet、GenericViewSet
    ViewSetMixin:重写as_view(),可以将请求方法与视图类中的自定义函数名完成映射
        as_view({'get': 'list', 'post': 'my_post'})
        
    GenericViewSet:可以自定义请求映射的Model操作视图集
    
    ViewSet:可以自定义请求映射的任意操作视图集(一般与Model操作不是那么密切相关)
        登陆的post并非新增、短信的验证码(get或post)都和model无关
"""

前期准备

创建django项目,应用名api;

创建数据库,django:1.settings中修改连接mysql配置,2.__init__文件中import pymysql pymysql.install_as_MySQLdb(),测试连接;

settings.py中注册app ‘rest_framework‘ ; 修改LANGUAGE_CODE = ‘zh-hans‘ ,TIME_ZONE = ‘Asia/Shanghai‘ ,USE_TZ = False,配置media路径MEDIA_URL = ‘/media/‘ ,MEDIA_ROOT = os.path.join(BASE_DIR, ‘media‘)

路由分发项目路由re_path(r‘^api/‘, include(‘api.urls‘)), re_path(r‘^media/(?P.*)‘, serve, {‘document_root‘: settings.MEDIA_ROOT}),

路由分发应用api下的创建url.py

根目录下创建utils, 两个文件夹exception.py写自定义异常和response.py写自定义响应

根目录下创建script,写脚本测试文件,

根目录下创建media

三大认证简介

# 基于用户权限访问控制的认证 - RBAC - Role-Based Access Control
# 自己了解:基于auth的认证规则

# Django框架采用的是RBAC认证规则,RBAC认证规则通常会分为 三表规则、五表规则,Django采用的是六表规则

# 三表:用户表、角色表、权限表
# 五表:用户表、角色表、权限表、用户角色关系表、角色权限关系表
# 六表:用户表、角色表、权限表、用户角色关系表、角色权限关系表、用户权限关系表

APIView中的dispatch方法self.initial(request, *args, **kwargs)

技术图片

技术图片

技术图片

技术图片

AbstracUser源码分析

自定义user表继承AbstracUser
1.from django.contrib.auth.models import AbstractUser
  class User(AbstractUser):
          pass
2.settings文件夹中配置
AUTH_USER_MODEL = 'api.User'

点击AbstracUser进入看源码,定位文件
在资源文件models.py中,有基础的三表:Group类,Permission类,User(AbstractUser)
1.先查看Group类:group角色拥有权限

class Group(models.Model):
    # permissions权限,在这里就是角色group拥有的权限
    permissions = models.ManyToManyField( #多对多
        Permission,  #类名
        verbose_name=_('permissions'),
        blank=True,
    )

2.查看User类
class User(AbstractUser): 
    .....
点击AbstractUser
class AbstractUser(AbstractBaseUser, PermissionsMixin):
    .....
点击AbstractBaseUser,。。。
点击PermissionsMixin,最终在这找到了groups,user_permissions
class PermissionsMixin(models.Model):
    """
    Add the fields and methods necessary to support the Group and Permission
    models using the ModelBackend.
    """
    is_superuser = models.BooleanField(
        _('superuser status'),
        default=False,
        help_text=_(
            'Designates that this user has all permissions without '
            'explicitly assigning them.'
        ),
    )
    groups = models.ManyToManyField(
        Group, #类名
        verbose_name=_('groups'),
        blank=True,
        help_text=_( #文本提示
            'The groups this user belongs to. A user will get all permissions '
            'granted to each of their groups.'
        ),
        related_name="user_set", #反向查询的字段
        related_query_name="user",
    )
    #用户权限关系表
    user_permissions = models.ManyToManyField(
        Permission,
        verbose_name=_('user permissions'),
        blank=True,
        help_text=_('Specific permissions for this user.'),
        related_name="user_set", #反向查询字段
        related_query_name="user",
    )

    class Meta:
        abstract = True
#(用户表与角色表的多对多的关键字段在User表中,用户表与权限表的多对多的关键字段在User表中)   
# 用户表:正向查询角色表字段groups,正向查询用户权限表字段user_permissions
#(角色表与权限表的多对多字段在Group表中)
# 角色表:反向查询用户表字段user_set,正向查询角色权限表字段permissions
# 权限表:反向查询用户表字段user_set,反向查询角色表字段group_set

自定义User下的权限六表

models.py

from django.db import models

# Create your models here.


from django.contrib.auth.models import AbstractUser

class User(AbstractUser):
    mobile = models.CharField(max_length=11, unique=True)

    class Meta:
        db_table = 'api_user'
        verbose_name = '用户表'
        verbose_name_plural = verbose_name


    def __str__(self):
        return self.username

到settings.py中注册

# 配置自定义user表
AUTH_USER_MODEL = 'api.User'

注意点:

# 重点:如果自定义User表后,再另一个项目中采用原生User表,完成数据库迁移时,可能失败
# 1)卸载Django重新装
# 2)将django.contrib下面的admin、auth下的数据库迁移记录文件清空


补充:全局配置
class APIView(View):

    # The following policies may be set at either globally, or per-view.
    renderer_classes = api_settings.DEFAULT_RENDERER_CLASSES
    parser_classes = api_settings.DEFAULT_PARSER_CLASSES
    authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
    throttle_classes = api_settings.DEFAULT_THROTTLE_CLASSES
    permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES
    content_negotiation_class = api_settings.DEFAULT_CONTENT_NEGOTIATION_CLASS
    metadata_class = api_settings.DEFAULT_METADATA_CLASS
    versioning_class = api_settings.DEFAULT_VERSIONING_CLASS
    
以上以这个为例renderer_classes=[..]这是自定义类中的局部配置,全局配置就是
点击api_settings,APISettings实例化的对象
api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)
DEFAULTS点击:发现是系统的默认配置,
IMPORT_STRINGS是自己的settings.py的文件路径
点击APISettings:
 def __init__(self, user_settings=None, defaults=None, import_strings=None):产生的实例化

执行数据迁移的俩条命令

python manage.py mekamigrations

python manage.py migrate

技术图片

auth_permission这张表codename就是权限的名字,content_type_id就是属于哪张表的权限 , django_content_type这张表的里的app_label就是应用名,model字段就是对应的一张表

技术图片

技术图片

创建超级用户

Tools中执行命令createsuperuser

数据库中的auth_group添加数据,api_user_groups绑定两者关系

在测试文件t_models.py中进行测试

t_model.py

# django脚本话启动
import os, django
os.environ.setdefault("DJANGO_SETTINGS_MODULE", "dg_proj.settings")
django.setup()

from api import models

user = models.User.objects.first()
# print(user.username)
# print(user.groups.first().name)
# print(user.user_permissions.first().name)



from django.contrib.auth.models import Group
group = Group.objects.first()
# print(group.name)
# print(group.user_set.first().username)
# print(group.permissions.first().name)


from django.contrib.auth.models import Permission
p_16 = Permission.objects.filter(pk=16).first()
# print(p_16.user_set.first().username)
# p_17 = Permission.objects.filter(pk=17).first()
# print(p_17.group_set.first().name)

数据库各表录入数据

源码分析


1)url.py路由re_path(r'^test/$', views.TestAPIView.as_view()),  view.py视图class TestAPIView(APIView):pass   路由访问TestAPIView的as_view()方法,TestAPIView没有,父类APIView获取,as_view()返回csrf_exempt(view)禁用csrf,而view是view = super(APIView, cls).as_view(**initkwargs)调用父类的View的方法,走View中的view,然后到dispatch的时候走回自己的APIView的dispatch方法,三大认证模块 self.initial(request, *args, **kwargs)入口,在此之前request = self.initialize_request(request, *args, **kwargs)已经封装了
APIView的dispatch(self, request, *args, **kwargs)
2)dispath方法内 self.initial(request, *args, **kwargs) 进入三大认证
    # 认证组件:校验用户 - 游客、合法用户、非法用户
    # 游客:代表校验通过,直接进入下一步校验(权限校验)
    # 合法用户:代表校验通过,将用户存储在request.user中,再进入下一步校验(权限校验)
    # 非法用户:代表校验失败,抛出异常,返回403权限异常结果
    self.perform_authentication(request)(认证通过才会走下面的认证)
    
    # 权限组件:校验用户权限 - 必须登录、所有用户、登录读写游客只读、自定义用户角色
    # 认证通过:可以进入下一步校验(频率认证)
    # 认证失败:抛出异常,返回403权限异常结果
    self.check_permissions(request)
    
    # 频率组件:限制视图接口被访问的频率次数 - 限制的条件(IP、id、唯一键)、频率周期时间(s、m、h)、频率的次数(3/s)
    # 没有达到限次:正常访问接口
    # 达到限次:限制时间内不能访问,限制时间达到后,可以重新访问
    self.check_throttles(request)
    
    
3) 点击认证组件self.perform_authentication(request),返回的request.user,request是drf封装的request对象,request.user觉得是登录用户,但是认证的时候没有用户,所以是属性或者是封装成属性方法,然后再资源drf的request.py文件中的Request类中的user(self)方法(self是request的对象,所以是直接拿到前端发来的数据),还要一个user(self,value)这个是设置值,所以user(self)才是获取值
  if not hasattr(self, '_user'):# 判断是否有用户
            with wrap_attributeerrors():
                #没有用户认证出用户
                self._authenticate()
        #有用户直接返回用户 ,如果是游客的话request.user = AnonymousUser,所以也是有值的
        return self._user
    
    
 点击self._authenticate()
    Request类的 方法属性 user 的get方法 => self._authenticate() 完成认证
    # 做认证
    def _authenticate(self):
        # 遍历拿到一个个认证器,进行认证
        # self.authenticators配置的一堆认证类产生的认证类对象组成的 list
        for authenticator in self.authenticators:
            try:
                # 认证器(对象)调用认证方法authenticate(认证类对象self, request请求对象)
                # 返回值:登陆的用户与认证的信息组成的 tuple
                # 该方法被try包裹,代表该方法会抛异常,抛异常就代表认证失败
                user_auth_tuple = authenticator.authenticate(self)
            except exceptions.APIException:
                self._not_authenticated()
                raise

            # 返回值的处理
            if user_auth_tuple is not None:
                self._authenticator = authenticator
                # 如何有返回值,就将 登陆用户 与 登陆认证 分别保存到 request.user、request.auth
                self.user, self.auth = user_auth_tuple
                return
        # 如果返回值user_auth_tuple为空,代表认证通过,但是没有 登陆用户 与 登陆认证信息,代表游客
        self._not_authenticated()
        
点击self.authenticators查看不了,回到APIView中的dispatch方法二次封装request的地方
request = self.initialize_request(request, *args, **kwargs) ,点击进入,
 return Request(
            request,
            parsers=self.get_parsers(),
            #认证产生
            authenticators=self.get_authenticators(),
            negotiator=self.get_content_negotiator(),
            parser_context=parser_context
        )
点击 authenticators=self.get_authenticators()  返回return [auth() for auth in self.authentication_classes]  
authentication_classes可以是局部设置,也可以settings中全局设置

全局设置settings.py
# drf配置
REST_FRAMEWORK = {
    # 认证类配置
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ],
}
找到资源文件authentication文件中的SessionAuthentication类重写的
    def authenticate(self, request):

        # Get the session-based user from the underlying HttpRequest object
        #原生django的request中获取user
        user = getattr(request._request, 'user', None)
        #拿用户,用户如果为空或非活跃状态就返回空,代表游客,不需要csrf校验
        # Unauthenticated, CSRF validation not required
        if not user or not user.is_active:
            return None
        
        #解析出用户,重新启用csrf认证,如果csrf认证失败,就会出现异常,就是非法用户
        self.enforce_csrf(request)

        # CSRF passed with authenticated user
        #csrf认证通过,代表合法用户
        return (user, None)

找到资源文件authentication文件中的BasicAuthentication类重写的
class BasicAuthentication(BaseAuthentication):
    """
    HTTP Basic authentication against username/password.
    """
    www_authenticate_realm = 'api'

    def authenticate(self, request):
        """
        Returns a `User` if a correct username and password have been supplied
        using HTTP Basic authentication.  Otherwise returns `None`.
        """
        #获取认证信息auth是元组
        auth = get_authorization_header(request).split()

        if not auth or auth[0].lower() != b'basic': #二进制
            return None  #代表游客

        if len(auth) == 1: #长度等于一,代表认证信息错误,抛异常
            msg = _('Invalid basic header. No credentials provided.')
            raise exceptions.AuthenticationFailed(msg)
        elif len(auth) > 2:#长度大于二,代表认证信息错误,抛异常
            msg = _('Invalid basic header. Credentials string should not contain spaces.')
            raise exceptions.AuthenticationFailed(msg)

        try:
            #做处理
            auth_parts = base64.b64decode(auth[1]).decode(HTTP_HEADER_ENCODING).partition(':')
        except (TypeError, UnicodeDecodeError, binascii.Error):
            #错误的话就抛异常
            msg = _('Invalid basic header. Credentials not correctly base64 encoded.')
            raise exceptions.AuthenticationFailed(msg)
        #将用户和密码解析出来
        userid, password = auth_parts[0], auth_parts[2]
        #将userid, password, request丢进去
        return self.authenticate_credentials(userid, password, request)
    
    #return self.authenticate_credentials(userid, password, request)
    #将userid, password, request=None传入
def authenticate_credentials(self, userid, password, request=None):
        """
        Authenticate the userid and password against username and password
        with optional request for context.
        """
        credentials = {
            get_user_model().USERNAME_FIELD: userid,
            'password': password
        }
        #获取user
        user = authenticate(request=request, **credentials)
        #如果用户为空抛异常
        if user is None:
            raise exceptions.AuthenticationFailed(_('Invalid username/password.'))
        #用户为非活跃
        if not user.is_active:
            raise exceptions.AuthenticationFailed(_('User inactive or deleted.'))
        #返回合法user
        return (user, None)
    
    

自定义认证类

"""
1) 创建继承BaseAuthentication的认证类
2) 实现authenticate方法
3) 实现体根据认证规则 确定游客、非法用户、合法用户
4) 进行全局或局部配置

认证规则
i.没有认证信息返回None(游客)
ii.有认证信息认证失败抛异常(非法用户)
iii.有认证信息认证成功返回用户与认证信息元组(合法用户)
"""
api / urls.py

from django.urls import re_path
from . import views
urlpatterns = [

re_path(r'^test/$', views.TestAPIView.as_view()),
]
api / views.py
from django.shortcuts import render

# Create your views here.
from rest_framework.views import APIView
from utils.response import APIResponse


class TestAPIView(APIView):
    def get(self, request, *args, **kwargs):
        print(request.user)
        return APIResponse(0, 'test get ok ')
settings.py
# drf配置
REST_FRAMEWORK = {
    # 全局配置异常模块
    'EXCEPTION_HANDLER': 'utils.exception.exception_handler',
    # 认证类配置
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # 'rest_framework.authentication.SessionAuthentication',
        # 'rest_framework.authentication.BasicAuthentication',
        'api.authentications.MyAuthentication',
    ],
   
}
utils/authentications.py
# 自定义认证类

# 1)继承BaseAuthentication类
# 2)重新authenticate(self, request)方法,自定义认证规则
# 3)认证规则基于的条件:
#       没有认证信息返回None(游客)
#       有认证信息认证失败抛异常(非法用户)
#       有认证信息认证成功返回用户与认证信息元组(合法用户)
# 4)完全视图类的全局(settings文件中)或局部(确切的视图类)配置
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from . import models
class MyAuthentication(BaseAuthentication):
    """
    同前台请求头拿认证信息auth(获取认证的字段要与前台约定)
    没有auth是游客,返回None
    有auth进行校验
        失败是非法用户,抛出异常
        成功是合法用户,返回 (用户, 认证信息)
    """
    def authenticate(self, request):
        # 前台在请求头携带认证信息,
        #       且默认规范用 Authorization 字段携带认证信息,
        #       后台固定在请求对象的META字段中 HTTP_AUTHORIZATION 获取
        auth = request.META.get('HTTP_AUTHORIZATION', None)

        # 处理游客
        if auth is None:
            return None

        # 设置一下认证字段小规则(两段式):"auth 认证字符串"
        auth_list = auth.split()

        # 校验合法还是非法用户
        if not (len(auth_list) == 2 and auth_list[0].lower() == 'auth'):
            raise AuthenticationFailed('认证信息有误,非法用户')

        # 合法的用户还需要从auth_list[1]中解析出来
        # 注:假设一种情况,信息为abc.123.xyz,就可以解析出admin用户;实际开发,该逻辑一定是校验用户的正常逻辑
        if auth_list[1] != 'abc.123.xyz':  # 校验失败
            raise AuthenticationFailed('用户校验失败,非法用户')

        user = models.User.objects.filter(username='admin').first()

        if not user:
            raise AuthenticationFailed('用户数据有误,非法用户')
        return (user, None)
# 家庭作业
# 1) 可以采用脚本基于auth组件创建三个普通用户:models.User.objects.create_user()
#       注:直接写出注册接口更好
# 2) 自定义session表:id,u_id,token,为每个用户配置一个固定人认证字符串,可以直接操作数据库
#       注:在注册接口中实现更好
# 3) 自定义认证类,不同的token可以校验出不同的登陆用户

技术图片

权限类源码

APIView中的dispatch方法,然后就是self.initial(request, *args, **kwargs),点击self.check_permissions(request) 
4) 权限组件
    self.check_permissions(request)
    认证细则:
    def check_permissions(self, request):
        # 遍历权限对象列表得到一个个权限对象(权限器),进行权限认证
        for permission in self.get_permissions():
            # 权限类一定有一个has_permission权限方法,用来做权限认证的
            # 参数:权限对象self、请求对象request、视图类对象
            # 返回值:有权限返回True,无权限返回False
            if not permission.has_permission(request, self):
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)

系统权限类

    
# 因为默认全局配置的权限类是AllowAny
# settings.py
REST_FRAMEWORK = {
    # 权限类配置
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
        'rest_framework.permissions.IsAuthenticated',
        'rest_framework.permissions.IsAdminUser',
        'rest_framework.permissions.IsAuthenticatedOrReadOnly',
    ],
}
    
查找permissions.py中的以下四个类
AllowAny,IsAuthenticated,IsAdminUser,IsAuthenticatedOrReadOnly
分析他们各自的功能,在settings文件中配置全局,或视图类中可局部permission_classes = [MyPermission]
"""
1)AllowAny:
    认证规则全部返还True:return True
        游客与登陆用户都有所有权限

2) IsAuthenticated:
    认证规则必须有登陆的合法用户:return bool(request.user and request.user.is_authenticated)
        游客没有任何权限,登陆用户才有权限
    
3) IsAdminUser:
    认证规则必须是后台管理用户:return bool(request.user and request.user.is_staff)
        游客没有任何权限,登陆用户才有权限

4) IsAuthenticatedOrReadOnly
    认证规则必须是只读请求或是合法用户:
        return bool(
            request.method in SAFE_METHODS or
            request.user and
            request.user.is_authenticated
        )
        游客只读,合法用户无限制
"""
    

自定义权限类(在utils文件下创建permissions.py)

"""
1) 创建继承BasePermission的权限类
2) 实现has_permission方法
3) 实现体根据权限规则 确定有无权限
4) 进行全局或局部配置

认证规则
i.满足设置的用户条件,代表有权限,返回True
ii.不满足设置的用户条件,代表有权限,返回False
"""
# utils/permissions.py
from rest_framework.permissions import BasePermission
from django.contrib.auth.models import Group
class MyPermission(BasePermission):
    def has_permission(self, request, view):
        # 只读接口判断
        r1 = request.method in ('GET', 'HEAD', 'OPTIONS')
        # group为有权限的分组
        group = Group.objects.filter(name='管理员').first()
        # groups为当前用户所属的所有分组
        groups = request.user.groups.all()
        r2 = group and groups
        r3 = group in groups
        # 读接口大家都有权限,写接口必须为指定分组下的登陆用户
        return r1 or (r2 and r3)
    
api/urls.py
from django.conf.urls import url
from . import views
urlpatterns = [
    url(r'^test/$', views.TestAPIView.as_view()),
    url(r'^test1/$', views.TestAuthenticatedAPIView.as_view()),
    url(r'^test2/$', views.TestAuthenticatedOrReadOnlyAPIView.as_view()),
    url(r'^test3/$', views.TestAdminOrReadOnlyAPIView.as_view()),
]
settings.py
# drf配置
REST_FRAMEWORK = {
    # 认证类配置
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'api.authentications.MyAuthentication',
    ],
   
}
api/ views.py
from rest_framework.views import APIView
from utils.response import APIResponse



# 只有登录后才能访问
from rest_framework.permissions import IsAuthenticated
class TestAuthenticatedAPIView(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request, *args, **kwargs):
        return APIResponse(0, 'test 登录才能访问的接口 ok')


# 游客只读,登录无限制
from rest_framework.permissions import IsAuthenticatedOrReadOnly
class TestAuthenticatedOrReadOnlyAPIView(APIView):
    permission_classes = [IsAuthenticatedOrReadOnly]

    def get(self, request, *args, **kwargs):
        return APIResponse(0, '读 OK')

    def post(self, request, *args, **kwargs):
        return APIResponse(0, '写 OK')


# 游客只读,登录用户只读,只有登录用户属于 管理员 分组,才可以增删改
from .permissions import MyPermission
class TestAdminOrReadOnlyAPIView(APIView):
    permission_classes = [MyPermission]

    def get(self, request, *args, **kwargs):
        return APIResponse(0, '自定义读 OK')

    def post(self, request, *args, **kwargs):
        return APIResponse(0, '自定义写 OK')

技术图片

技术图片

技术图片

技术图片

以上是关于drf 权限认证的主要内容,如果未能解决你的问题,请参考以下文章

DRF 版本认证权限限制解析器和渲染器

DRF 版本认证权限限制解析器和渲染器

drf-jwt认证组件权限组件频率组件的使用

DRF框架中其他功能:认证权限限流

drf认证权限频率

79- drf三大认证的配置及使用方法