DRF-Permission组件源码分析及改编源码

1. 权限组件源码分析

PS:下列源码为了方便理解都进行了简化,只保留了权限相关的代码


由于视图函数中继承了APIView,因此permission_classes可在视图类中进行重写。

注意点:
  • 执行权限校验前,已执行了认证流程。因此此时可通过self.user获取用户对象(认证通过的情况)
    image



2. 实践:编写一个权限类

假设我们在认证通过后,给每个用户对象都加上表示角色的属性role。1代表普通用户, 2代表经理, 3代表BOSS:

import random
from rest_framework.permissions import BasePermission
from rest_framework.request import Request

class UserPermission(BasePermission):
    message = {"code": 1001, "detail": "无权限"}  # 无权限时返回的信息

    def has_permission(self, request, view):
        if request.user.role == 3:
            return True
        return False

class ManagerPermission(BasePermission):
    message = {"code": 1001, "detail": "无权限"}  # 无权限时返回的信息

    def has_permission(self, request, view):
        if request.user.role == 2:
            return True
        return False

class BossPermission(BasePermission):
    message = {"code": 1001, "detail": "无权限"}   # 无权限时返回的信息

    def has_permission(self, request, view):
        if request.user.role == 1:
            return True
        return False



3. 源码改编

  • 将权限校验中的“且”改为“或”关系,即只要有一个权限类通过校验即代表权限校验通过,继续执行后续代码:
# 在视图类中重写源码中的check_permissions方法:
    def check_permissions(self, request):
        no_permission_objects = []  # 未通过校验的权限对象
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                # 只要有一个权限类通过校验则立即停止函数
                return 
            else:
                no_permission_objects.append(permission)
        else:   # 所有权限类都未通过校验
            self.permission_denied(
                request,
                message=getattr(no_permission_objects[0], 'message', None),  
                code=getattr(no_permission_objects[0], 'code', None))
  • 若想要所有视图类能使用该重写的功能,可将该方法单独写成类(MyAPIView),并继承APIView;其他要使用该重写方法的视图不再继承APIView,而是继承MyAPIView
# utils.py
class MyAPIView(APIView):
    # 改写权限,变为"或"关系;
    def check_permissions(self, request):
        no_permission_objects = []  # 未通过校验的权限对象
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                # 只要有一个权限类通过校验则立即停止函数
                return 
            else:
                no_permission_objects.append(permission)
        else:   # 所有权限类都未通过校验
            self.permission_denied(
                request,
                message=getattr(no_permission_objects[0], 'message', None),  
                code=getattr(no_permission_objects[0], 'code', None))

# views.py
class UserView(APIView):  # 继承DRF的APIView,则权限判断为“且”的关系
    # 只有用户有权限
    permission_classes = [UserPermission]

    def get(self, request, pid):
        return Response("hello get")

    def post(self, request, pid):
        return Response({"nihao  post!"})


class OrderView(MyAPIView):  # 用了自己改写的类MyAPIView,则权限判断为“或"的关系
    # 经理和BOSS都有权限
    permission_classes = [BossPermission, ManagerPermission]

    def get(self, request, pid):
        return Response("hello get")

    def post(self, request, pid):
        return Response({"nihao  post!"})
posted @ 2024-10-27 17:08  harry6  阅读(32)  评论(0编辑  收藏  举报