国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

DRF | 針對指定的接口設置權限

用戶83 / 1643人閱讀

摘要:描述針對同一個,對不同的接口設置不同的權限看了源碼通過源碼可以發現,每次請求進來,都要做認證,權限驗證和限流驗證。

描述

針對同一個 view,對不同的接口設置不同的權限

看了 DRF views 源碼:

def initial(self, request, *args, **kwargs):
    """
    Runs anything that needs to occur prior to calling the method handler.
    """
    self.format_kwarg = self.get_format_suffix(**kwargs)

    # Perform content negotiation and store the accepted info on the request
    neg = self.perform_content_negotiation(request)
    request.accepted_renderer, request.accepted_media_type = neg

    # Determine the API version, if versioning is in use.
    version, scheme = self.determine_version(request, *args, **kwargs)
    request.version, request.versioning_scheme = version, scheme

    # Ensure that the incoming request is permitted
    self.perform_authentication(request)
    self.check_permissions(request)
    self.check_throttles(request)

通過源碼可以發現,每次請求進來,都要做認證,權限驗證和限流驗證。如果所有接口都需要權限,這直接在視圖類中直接設置 permission_classes 即可;如果針對業務中部分接口需要權限,其他不需要權限的場景,這樣一刀切的方式是行不通的,因為進來的請求會被權限打回去,針對部分接口需要權限的場景,可能需要變通一下。

1 場景如下:例如個人博客

例如有個分類模型

class Category(models.Model):
    name = models.CharField("名稱", max_length=30)
    created = models.DateTimeField("生成時間", auto_now_add=True)

    def __str__(self):
        return self.name

如果使用 DRF 的 viewset

class CategoryViewSet(viewsets.ModelViewSet):
    queryset = Category.objects.all()
    serializer_class = CategorySerializer

DRF 會自動生成六個方法,具體就不說了,對于個人博客來說,獲取列表以及詳情是不需要設置權限的,但是對于更新,創建,刪除時需要做權限驗證的,那么問題來了,我該怎么做好權限驗證,這里我假使獲取詳情需要管理員權限,其他方法都不需要權限驗證

2 變通方式 方法 1:自定義裝飾器

寫包裝權限的裝飾器

from functools import update_wrapper

def wrap_permission(*permissions, validate_permission=True):
    """custom permissions for special route"""
    def decorator(func):
        def wrapper(self, request, *args, **kwargs):
            self.permission_classes = permissions
            if validate_permission:
                self.check_permissions(request)
            return func(self, request, *args, **kwargs)
        return update_wrapper(wrapper, func)
    return decorator

自定義權限類

from rest_framework.permissions import IsAdminUser

class IsVbAdminUser(IsAdminUser):
    """
    Allows access only to admin users.
    """
    def has_object_permission(self, request, view, obj):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        return self.has_permission(request, view)

然后在 viewset 中,例如獲取詳情接口,這樣用,

@wrap_permission(IsVbAdminUser)
def retrieve(self, request, *args, **kwargs):

如果直接請求,就會下面錯誤

"error_message": "Authentication credentials were not provided."

后面在 DRF 的裝飾器中找到 permission_classes

def permission_classes(permission_classes):
    def decorator(func):
        func.permission_classes = permission_classes
        return func
    return decorator

這個默認的業務還需要定制,根據自己業務需要了

方法2:使用 detail_route 或者 list_route
@detail_route(
    url_path="test",
    permission_classes=(IsVbAdminUser, ),
)
def test(self, request, *args, **kwargs):

這樣耍的原因,在看了 DRF route 源代碼,發現

method_kwargs = getattr(viewset, methodname).kwargs
initkwargs = route.initkwargs.copy()
initkwargs.update(method_kwargs)

是不是很好玩

對于自定義路由,使用這種方法,還是蠻方便的。

方法 3:重新定義 initial 方法

重寫 initial 方法,根據方法定義不同的權限類

添加 permission_classes_map 類屬性

permission_classes_map 定義接口和權限的映射,用法如下:

permission_classes_map = {
    方法名: 權限類列表
}

此為特定接口的權限檢測,例如如果視圖中包含 create 方法,同時在又在視圖中設置了全局性的 permission_classes,
但是想為 create 定義不同于全局的權限,所以這里可以這樣設置,示例如下:

permission_classes_map = {
    "create": [CustomPermission]
}
permission_classes_map = {}

def initial(self, request, *args, **kwargs):
    """重新定義此方法,添加靈活配置權限映射"""
    if request.method.lower() in self.http_method_names:
        handler = getattr(self, request.method.lower(), self.http_method_not_allowed)
    else:
        handler = self.http_method_not_allowed

    if hasattr(handler, "__name__"):
        handler_name = handler.__name__
    elif hasattr(handler, "__func__"):
        handler_name = handler.__func__.__name__
    else:
        handler_name = None

    if handler_name and handler_name in self.permission_classes_map:
        if isinstance(self.permission_classes_map.get(handler_name), (tuple, list)):
            self.permission_classes = self.permission_classes_map.get(handler_name)
    return super(CommonWithSignViewSet, self).initial(request, *args, **kwargs)
方法 4:使用不同的視圖

把需要權限驗證的和不需要權限驗證的視圖分開,寫兩個視圖,但是這樣做會冗余部分代碼

3 小結

我在以往的經歷中,如果是針對默認的路由需要加權限驗證,我會使用方法 1,對于自定義路由,我會使用方法 2,當然也可以反過來思考,設置全局的權限驗證,如果那個方法不需要權限驗證,使用裝飾器把權限設置為空即可,隨便怎么折騰

前兩種方法盡量不要再視圖屬性中設置 permission_classes,這樣的處理有點奇葩,個人可以針對 DRF 處理流程,進行包裝,看業務需要。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/44331.html

相關文章

  • DRF | 針對指定接口設置權限

    摘要:描述針對同一個,對不同的接口設置不同的權限看了源碼通過源碼可以發現,每次請求進來,都要做認證,權限驗證和限流驗證。 描述 針對同一個 view,對不同的接口設置不同的權限 看了 DRF views 源碼: def initial(self, request, *args, **kwargs): Runs anything that needs to occur pr...

    TANKING 評論0 收藏0
  • DRF | 針對指定接口設置權限

    摘要:描述針對同一個,對不同的接口設置不同的權限看了源碼通過源碼可以發現,每次請求進來,都要做認證,權限驗證和限流驗證。 描述 針對同一個 view,對不同的接口設置不同的權限 看了 DRF views 源碼: def initial(self, request, *args, **kwargs): Runs anything that needs to occur pr...

    gplane 評論0 收藏0
  • Django-緩存

    摘要:自帶了一個健壯的緩存系統來保存動態頁面,避免每次請求都重新計算。緩存中的和方法是很常見的。盡量放在第一個繼承的類設置過期時間根據自己需求加緩存。目前這個緩存使用的是內存。 概述:對于中等流量的網站來說,盡可能的減少開銷是非常必要的。緩存數據就是為了保存那些需要很多計算資源的結果,這樣的話就不必在下次重復消耗計算資源。獲取數據的數據的時候就是去緩存中拿,拿到了直接返回,沒拿到就去數據庫中...

    aervon 評論0 收藏0
  • 記錄django-rest-framework處理微信支付notify_url遇到問題

    摘要:微信支付統一下單接口,有一個叫的參數,作用我就照搬官方文檔異步接收微信支付結果通知的回調地址,通知必須為外網可訪問的,不能攜帶參數。 最近在做一個小程序,小程序有涉及到微信支付,說來慚愧,還是第一次自己動手去做微信支付這一塊的實現,所以過程中遇到了很多人都會踩的坑(例如mmp的微信支付各種key各種id要在哪里找,很難找),這次使用django來開發,接口部分用django-rest-...

    NicolasHe 評論0 收藏0

發表評論

0條評論

用戶83

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<