建设摩托车专卖店谷歌seo快速排名优化方法
drf 对象级权限
Django REST Framework(DRF)提供了对象级别权限(Object-level permissions)来控制特定对象的访问权限。
简单来说:通过视图类中的self.get_object(pk)得到一个obj对象(视图对象),在与request.user对象(请求对象)进行比较,来判断该用户是否有权限。
def retrieve(self, request, pk):obj = self.get_object(pk) #获取视图对象self.check_object_permissions(request, obj) #调用权限的has_object_permission方法,来判断是否有权限
用途:因为要使用到self.get_object(pk)方法,当然也可以重写一个该方法,但该方法仅限于:获取单个对象(retrieve),删除单个对象(destroy),更新单个对象(update)
自动实现对象级权限
model.py
class User(model.Model):username = models.CharField("用户名", max_length=32)password = models.CharField('密码', max_length=32)email = models.EmailField('邮箱', max_length=32, blank=True)phone = models.CharField("手机号", max_length=11, blank=True)created = models.DateTimeField("创建时间", auto_now_add=True)updated = models.DateTimeField("更新时间", auto_now=True)class getArticlePermissions(BasePermission):def has_object_permission(self, request, view, obj):try:return obj.user == request.userexcept:return obj == request.userclass UserView(GenericAPIView):queryset = User.objects.all() #这里一定要用户模型serializer_class = categoryModelSerializerpermission_classes = [getArticlePermissions,]def get(self,request,pk):pass#说明,因为GenericAPIView中有queryset方法,而get_object(pk)方法有能得到一个对象,就可以自动的调用self.check_object_permissions(request, obj),进而实现对象级权限,但这种有很强的局限性
1. 视图要包含queryset属性
2. queryset = 对象模型
3. 仅限于获取pk属性的方法,一般是单个对象 (put,delete,get)
4. pk的值一定只能跟queryset有关,pk是对象的id自定义对象级权限
当调用.get_object()时,由REST框架的通用视图运行对象级权限检测。如果你正在编写自己的视图并希望强制执行对象级权限检测,或者你想在通用视图中重写get_object方法,那么你需要在检索对象的时候显式调用视图上的.check_object_permissions(request, obj)方法。
class getArticlePermissions(BasePermission):def has_object_permission(self, request, view, obj):try:return obj.user == request.userexcept:return obj == request.userclass articleView(GenericViewSet, mixins.ListModelMixin, mixins.UpdateModelMixin, mixins.CreateModelMixin,mixins.DestroyModelMixin, mixins.RetrieveModelMixin):queryset = Category.objects.all()serializer_class = categoryModelSerializerpermission_classes = [IsAuthenticated, getArticlePermissions]def retrieve(self, request, pk=None, *args, **kwargs):user = request.user #获取请求对象print(user)if user: #判断请求对象是否有值try:obj = Category.objects.filter(user=user, pk=pk).first() #获取视图对象except:return Response({"message": "失败"}) self.check_object_permissions(request, obj) #调用权限的has_object_permission进行对象级权限校验serializer = categoryModelSerializer(instance=obj) #序列化return Response(serializer.data)return Response({"status_code": 500, "message": "违法登录"})
注意
如果你的用户对象是自定义对象的话,并且又创建了超级用户,这样的话就有两个模型类
并且你配置了如下设置
'DEFAULT_AUTHENTICATION_CLASSES': (...'rest_framework.authentication.SessionAuthentication','rest_framework.authentication.BasicAuthentication'...),则你在未登录的情况下,request.user会是你的超级用户,而不是匿名对象,而造成的一切的因素是你配置了'rest_framework.authentication.SessionAuthentication',只需要将它注释即可