DRF内置权限组件permissions

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

• 在执行视图的dispatch()方法前，会先进行视图访问权限的判断
• 在通过get_object()获取具体对象时，会进行模型对象访问权限的判断

在settings.py中设置DRF内置的权限组件的配置信息：

DRF提供了四种权限划分

REST_FRAMEWORK = {
...
'DEFAULT_PERMISSION_CLASSES': (

# 一、默认用户对所有的业务都有操作权限，即没有权限限制（未指明时默认的权限）
'rest_framework.permissions.AllowAny',

# 二、仅通过认证的用户才可以访问项目中的接口
'rest_framework.permissions.IsAuthenticated',

# 三、仅管理员用户（可以通过admin创建一个用户进行测试）
'rest_framework.permissions.IsAdminUser',

# 四、未认证的用户只有查权限，经过认证的用户才有增删改的权限
'rest_framework.permissions.IsAuthenticatedOrReadOnly',

),

}

以上这种全局配置方式，表示用户在访问项目中的所有接口时都有权限限制。

当然，我们可以进行局部配置，在指定的类视图中通过

permission_classes

permission_classes = [IsAuthenticated, ]

from rest_framework.views import APIView
from rest_framework.permissions import IsAuthenticated

class ExampleView(APIView):

permission_classes = [IsAuthenticated,]

自定义权限管理类

如需自定义权限，需继承

rest_framework.permissions.BasePermission

• .has_permission(self, request, view)

  是否可以访问视图， view表示当前视图对象

• .has_object_permission(self, request, view, obj)

  是否可以访问数据对象， view表示当前视图， obj为数据对象

例如：

在当前子应用下的utils文件夹中，创建一个权限文件permissions.py中声明自定义权限类:

from rest_framework.permissions import BasePermission

class IsXiaoMingPermission(BasePermission):

def has_permission(self, request, view):

print(request)  # 局部配置下的打印结果：<rest_framework.request.Request object at 0x112041c50>

print(view)     # 局部配置下的打印结果：<four.views.StudentViewSet object at 0x111f8a110>

if( request.user.username == "xiaoming" ):

return True

全局配置

用户在访问项目中的所有接口时都有

IsXiaoMingPermission

REST_FRAMEWORK = {
...
'DEFAULT_PERMISSION_CLASSES': (
'four.utils.permissions.IsXiaoMingPermission',
)
...
}

局部配置

from four.utils.permissions import IsXiaoMingPermission

class StudentViewSet(ModelViewSet):
queryset = Student.objects.all()
serializer_class = StudentSerializer

permission_classes = [IsXiaoMingPermission,]