权限Permissions

Posted hzls

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了权限Permissions相关的知识,希望对你有一定的参考价值。

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

  • 在执行视图的dispatch()方法前,会先进行视图访问权限的判断

  • 在通过get_object()获取具体对象时,会进行模型对象访问权限的判断

使用

可以在配置文件中设置默认的权限管理类,如

REST_FRAMEWORK = 
  ‘DEFAULT_PERMISSION_CLASSES: (
  rest_framework.permissions.IsAuthenticated,
  )

 

如果未指明,则采用如下默认配置:

DEFAULT_PERMISSION_CLASSES: (
  rest_framework.permissions.AllowAny,
)

 

也可以在具体的视图中通过permission_classes属性来设置,如

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = (IsAuthenticated)
    .....

提供的权限

  AllowAny 允许所有用户

  IsAuthenticated 仅通过认证的用户

  IsAdminUser 仅管理员用户

  IsAuthenticatedOrReadOny 已经登录认证的用户可以对数据进行增删改操作,没有登录认证的只能查看数据

举例

from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.generics import RetrieveAPIView

class BookDetailView(RetrieveAPIView):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsAuthenticated]

 

自定义权限

如需自定义权限,需继承rest_framework.permissions.BasePermission父类,并实现以下两个任何一个方法或全部

  • .has_permission(self, request, view)

    是否可以访问视图, view表示当前视图对象

  • .has_object_permission(self, request, view, obj)

    是否可以访问数据对象, view表示当前视图, obj为数据对象

例如:

class MyPermission(BasePermission):
    def has_object_permission(self, request, view, obj):
        """控制对obj对象的访问权限,此案例决绝所有对对象的访问"""
        return False

class BookInfoViewSet(ModelViewSet):
    queryset = BookInfo.objects.all()
    serializer_class = BookInfoSerializer
    permission_classes = [IsAuthenticated, MyPermission]

 

以上是关于权限Permissions的主要内容,如果未能解决你的问题,请参考以下文章

共享权限和NTFS权限的关系

Linux之权限设置(默认权限隐藏权限及特殊权限)

Linux权限管理---特殊权限

php权限管理如何实现

共享权限和NTFS权限的关系

NTFS权限和共享权限有何区别?