06 drf源码剖析之权限

Posted 2021-03-24 liubing8

目录

• 06 drf源码剖析之权限
  • 1. 权限简述
  • 2. 权限使用
  • 3.源码剖析
  • 4. 总结

06 drf源码剖析之权限

1. 权限简述

• 权限与身份验证和限制一起，决定了是否应授予请求访问权限。
• 权限检查始终在视图的最开始处运行，然后再允许执行其他任何代码。权限检查通常会使用request.user和request.auth属性中的身份验证信息来确定是否应允许传入请求。
• 权限用于授予或拒绝不同类别的用户对API不同部分的访问。

2. 权限使用

• 自定义权限认证类

  from rest_framework.permissions import BasePermission
  from rest_framework import exceptions
  
  class MyPermission(BasePermission):
      message = {'code': 10001, 'error': '你没权限'}
      def has_permission(self, request, view):
          """
          Return `True` if permission is granted, `False` otherwise.
          """
          if request.user:
              return True
  
          # raise exceptions.PermissionDenied({'code': 10001, 'error': '你没权限'})
          return False
  
      def has_object_permission(self, request, view, obj):
          """
          Return `True` if permission is granted, `False` otherwise.
          """
          return False

• 在需要权限认证的类中加permission_classes

  class OrderView(APIView):
      permission_classes = [MyPermission,]
      def get(self,request,*args,**kwargs):
          return Response('order')
  
  
  class UserView(APIView):
      permission_classes = [MyPermission, ]
      def get(self,request,*args,**kwargs):
          return Response('user')

3.源码剖析

• 请求过来先执行dispatch方法

  class APIView(View):
      permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES
  
      def dispatch(self, request, *args, **kwargs):
          # 封装request对象...
          self.initial(request, *args, **kwargs)
          # 通过反射执行视图中的方法...

• initial方法过渡

    def initial(self, request, *args, **kwargs):
          # 版本的处理...
          # 认证...       
          # 权限判断
          self.check_permissions(request)
  
          self.check_throttles(request) # 节流...

• check_permissions方法，依次对权限类对象认证权限

  def check_permissions(self, request):
      # [对象,对象，]
      for permission in self.get_permissions():
          if not permission.has_permission(request, self):
              self.permission_denied(request, message=getattr(permission, 'message', None))

• get_permissions方法，将权限类实例化成对象列表

  def get_permissions(self):
      return [permission() for permission in self.permission_classes]

• 执行自定义权限类的has_permission方法，判断有无权限

  class MyPermission(BasePermission):
      def has_permission(self, request, view):
          if request.user:
              return True
          return False

4. 总结

1. 当用户请求过来时，先执行dispatch方法，通过initial方法执行check_permissions方法
2. 找到权限的所有类并实例化成对象列表
3. 循环该实例化对象列表，执行每个对象的has_permission方法
4. 返回True和False进行权限的认证，可定制错误信息