Django rest Framework(DRF)源码解析——权限

二.权限

权限实现的原理是通过对用户的信息进行判断,来判断是否有权限的。
很多时候我们通过对用户进行认证后,认证后的用户会有权限之分,如
是否是VIP,对系统资源的访问也要区分权限。我们可以自定义一个权
限类,权限类里面定义一个方法,通过返回true或者是false来使用
户是否有权访问某个视图。在视图里面只需要进行配置permission_classes就行。
这样对某些系统视图进行配置即可

2.1     check_permissions函数
"""
Check if the request should be permitted.
Raises an appropriate exception if the request is not permitted.
"""
检查请求是否被授权,如果请求不被允许抛出一个合适的异常
会循环遍历所有配置权限里面的has_permission函数,如果返回的都是true,则不会走此函数下面的报错逻辑,如果报错走下面这个函数
2.2     permission_denied函数
"""
If request is not permitted, determine what kind of exception to raise.
"""
如果报错会返回里面的message值的报错信息
所以我们可以在自定义的视图类里面自定义message的值,来返回自定义的message报错信息。
2.3     get_permissions函数
"""
Instantiates and returns the list of permissions that this view requires.
"""
返回视图需要的权限列表
此函数类似于认证里的get_authenticators函数。先从自定义的视图里面读取permission_classes值,没有则读取setting里面配置的
DEFAULT_PERMISSION_CLASSES。所以可以修改此项,进行全局配置权限类
2.4     has_permission函数
"""
Return `True` if permission is granted, `False` otherwise.
"""
此函数是权限类里面的函数,是执行权限逻辑的地方,返回true的话代表有权限
2.5     系统权限类
2.5.1 BasePermission
"""
A base class from which all permission classes should inherit.
"""
其他所有类都应该继承此类
  2.5.1.1 has_permission函数
  2.5.1.2 has_object_permission函数
"""
Return `True` if permission is granted, `False` otherwise.
"""
 2.5.2 AllowAny
"""
Allow any access.
This isn't strictly required, since you could use an empty
permission_classes list, but it's useful because it makes the intention
more explicit.
"""
所有用户有权限。这样不严格,你可以使用permission_classes为一个空列表,这样能使某个函数表达所有用户都能访问的意图更明显。
 
继承了BasePerssion类,里面重写了has_permission函数,永远返回的都是true。
2.5.3 IsAuthenticated
"""
Allows access only to authenticated users.
"""
仅允许验证通过的用户有权限
 

要学会如何写自定义的权限类,很多时候我们会面临系统的权限类不满足我们的情况。
写权限类应该先继承BasePermisson类,把自定义的权限类放在view.py外,比如
utils.py下,然后进行DRF配置DEFAULT_PERMISSION_CLASSES为我们自己的路径
 
 
posted @ 2021-05-07 18:55  落秋巴  阅读(92)  评论(0编辑  收藏  举报