快捷導(dǎo)航

Django-Rest-Framework 權(quán)限管理源碼淺析(小結(jié))

更新時間：2018年11月12日 13:56:11 作者：行行出bug

這篇文章主要介紹了Django-Rest-Framework 權(quán)限管理源碼淺析(小結(jié))，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

在django的views中不論是用類方式還是用裝飾器方式來使用rest框架，django_rest_frame實現(xiàn)權(quán)限管理都需要兩個東西的配合: authentication_classes 和 permission_classes

# 方式1: 裝飾器
from rest_framework.decorators import api_view, authentication_classes, permission_classes
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import AllowAny
from rest_framework.response import Response


@api_view(["GET", ])
@permission_classes([AllowAny,])
@authentication_classes([SessionAuthentication, BasicAuthentication])
def test_example(request):
 content = {
   'user': unicode(request.user), # `django.contrib.auth.User` instance.
   'auth': unicode(request.auth), # None
  }
  return Response(content)

# ------------------------------------------------------------
# 方式2: 類
from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.permissions import AllowAny
from rest_framework.response import Response
from rest_framework.views import APIView

class ExampleView(APIView):
 authentication_classes = (SessionAuthentication, BasicAuthentication)
 permission_classes = (AllowAny,)

 def get(self, request, format=None):
  content = {
   'user': unicode(request.user), # `django.contrib.auth.User` instance.
   'auth': unicode(request.auth), # None
  }
  return Response(content)

上面給出的是權(quán)限配置的默認(rèn)方案，寫和不寫沒有區(qū)別。 rest框架有自己的settings文件 ，最原始的默認(rèn)值都可以在里面找到:

說道rest的settings文件，要覆蓋其中的默認(rèn)行為，特別是權(quán)限認(rèn)證行為，我們只需要在 項目settings文件

中指定你自己的類即可:

REST_FRAMEWORK = {
 ...
 'DEFAULT_AUTHENTICATION_CLASSES': (
  'your_authentication_class_path',
 ),
 ...
}

在rest的settings文件中，獲取屬性時，會優(yōu)先加載項目的settings文件中的設(shè)置，如果項目中沒有的，才加載自己的默認(rèn)設(shè)置:

初始化api_settings對象

api_settings = APISettings(None, DEFAULTS, IMPORT_STRINGS)

APISettings 類中獲取屬性時優(yōu)先獲取項目的settings文件中 REST_FRAMEWORK 對象的值，沒有的再找自己的默認(rèn)值

@property
def user_settings(self):
 if not hasattr(self, '_user_settings'):
  # _user_settings默認(rèn)為加載項目settings文件中的REST_FRAMEWORK對象
  self._user_settings = getattr(settings, 'REST_FRAMEWORK', {})
 return self._user_settings

def __getattr__(self, attr):
 if attr not in self.defaults:
  raise AttributeError("Invalid API setting: '%s'" % attr)

 try:
  # Check if present in user settings
  # 優(yōu)先加載user_settings，即項目的settings文件，沒有就用默認(rèn)
  val = self.user_settings[attr]
 except KeyError:
  # Fall back to defaults
  val = self.defaults[attr]

 # Coerce import strings into classes
 if attr in self.import_strings:
  val = perform_import(val, attr)

 # Cache the result
 self._cached_attrs.add(attr)
 setattr(self, attr, val)
 return val

在rest中settings中，能自動檢測 項目settings 的改變，并重新加載自己的配置文件:

權(quán)限管理原理淺析

rest框架是如何使用 authentication_classes 和 permission_classes ，并將二者配合起來進(jìn)行權(quán)限管理的呢？

使用類方式實現(xiàn)的時候，我們都會直接或間接的使用到rest框架中的APIVIEW，在 urls.py 中使用該類的 as_view 方法來構(gòu)建router

# views.py
from rest_framework.views import APIView
from rest_framework.permissions import IsAuthenticated


class ExampleAPIView(APIView):
 permission_classes = (IsAuthenticated,)
 ...
 
# -----------------------------
from django.conf.urls import url, include

from .views import ExampleAPIView

urlpatterns = [
 url(r'^example/(?P<example_id>[-\w]+)/examples/?$',
  ExampleAPIView.as_view()),
]

在我們調(diào)用 APIVIEW.as_view() 的時候，該類會調(diào)用父類的同名方法：

父類的同名方法中，調(diào)用了dispatch方法：

rest 重寫了該方法，在該方法中對requset做了一次服務(wù)端初始化(加入驗證信息等)處理

調(diào)用權(quán)限管理

在權(quán)限管理中會使用默認(rèn)的或是你指定的權(quán)限認(rèn)證進(jìn)行驗證: 這里只是做驗證并存儲驗證結(jié)果 ，這里操作完后authentication_classes的作用就完成了。驗證結(jié)果會在后面指定的 permission_classes 中使用！

def get_authenticators(self):
  """
  Instantiates and returns the list of authenticators that this view can use.
  """
  return [auth() for auth in self.authentication_classes]

通過指定的permission_classes確定是否有當(dāng)前接口的訪問權(quán)限:

class IsAuthenticatedOrReadOnly(BasePermission):
 """
 The request is authenticated as a user, or is a read-only request.
 """

 def has_permission(self, request, view):
  return (
   request.method in SAFE_METHODS or
   request.user and
   request.user.is_authenticated
  )

最后，不管有沒有使用permission_classes來決定是否能訪問，默認(rèn)的或是你自己指定的authentication_classes都會執(zhí)行并將權(quán)限結(jié)果放在request中！

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: