Django Rest Framework源码剖析(二)-----权限

在已经介绍了django rest framework 对于认证的源码流程，以及实现过程，当用户经过认证之后下一步就是涉及到权限的问题。比如订单的业务只能VIP才能查看，所以这时候需要对权限进行控制。下面将介绍DRF的权限控制源码剖析。

二、基本使用这里继续使用之前的示例，加入相应的权限，这里先介绍使用示例，然后在分析权限源码

1.在django 项目下新建立目录utils，并建立permissions.py，添加权限控制：

= request.user.user_type == 1: True

2.在订单视图中使用

utils.permissions = [Authentication,] permission_classes = [MyPremission,] get(self,*args,** ret = {:1000,:,: JsonResponse(ret,safe=True)

urls.py

django.conf.urls django.contrib app01 urlpatterns = [

url(r</span><span style="color: #800000;"&gt;'</span><span style="color: #800000;"&gt;^api/v1/auth</span><span style="color: #800000;"&gt;'</span><span style="color: #000000;"&gt;,views.AuthView.as_view()),url(r</span><span style="color: #800000;"&gt;'</span><span style="color: #800000;"&gt;^api/v1/order</span><span style="color: #800000;"&gt;'</span><span style="color: #000000;"&gt;,views.OrderView.as_view()),]</span></pre>

models.py

django.db class UserInfo(models.Model):
user_type_choice = (
(1,"普通用户"),(2,"会员"),)
user_type = models.IntegerField(choices=user_type_choice)
username = models.CharField(max_length=32,unique=True)
password = models.CharField(max_length=64)

class UserToken(models.Model):
user = models.OneToOneField(to=UserInfo)
token = models.CharField(max_length=64)

3.验证：订单业务同样使用user_type=1的用户进行验证，这里使用工具postman发送请求验证，结果如下：证明我们的权限生效了。

三、权限源码剖析1.同样请求到达视图时候，先执行APIView的dispatch方法，以下源码是我们在已经解读过了：

dispatch()

dispatch(self,**== request = self.initialize_request(request,**== self.default_response_headers

    <span style="color: #0000ff;"&gt;try</span><span style="color: #000000;"&gt;:
        </span><span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt;2.认证</span>
        self.initial(request,**<span style="color: #000000;"&gt;kwargs)

        </span><span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt; Get the appropriate handler method</span>
        <span style="color: #0000ff;"&gt;if</span> request.method.lower() <span style="color: #0000ff;"&gt;in</span><span style="color: #000000;"&gt; self.http_method_names:
            handler </span>=<span style="color: #000000;"&gt; getattr(self,request.method.lower(),self.http_method_not_allowed)
        </span><span style="color: #0000ff;"&gt;else</span><span style="color: #000000;"&gt;:
            handler </span>=<span style="color: #000000;"&gt; self.http_method_not_allowed

        response </span>= handler(request,**<span style="color: #000000;"&gt;kwargs)

    </span><span style="color: #0000ff;"&gt;except</span><span style="color: #000000;"&gt; Exception as exc:
        response </span>=<span style="color: #000000;"&gt; self.handle_exception(exc)

    self.response </span>= self.finalize_response(request,response,**<span style="color: #000000;"&gt;kwargs)
    </span><span style="color: #0000ff;"&gt;return</span> self.response</pre>

2.执行inital方法，initial方法中执行perform_authentication则开始进行认证

initial(self,**= self.get_format_suffix(**

    </span><span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt; Perform content negotiation and store the accepted info on the request</span>
    neg =<span style="color: #000000;"&gt; self.perform_content_negotiation(request)
    request.accepted_renderer,request.accepted_media_type </span>=<span style="color: #000000;"&gt; neg

    </span><span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt; Determine the API version,if versioning is in use.</span>
    version,scheme = self.determine_version(request,**<span style="color: #000000;"&gt;kwargs)
    request.version,request.versioning_scheme </span>=<span style="color: #000000;"&gt; version,scheme

    </span><span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt; Ensure that the incoming request is permitted</span>
    <span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt;4.实现认证</span>

self.perform_authentication(request)
#5.权限判断
 self.check_permissions(request)
self.check_throttles(request)

3.当执行完perform_authentication方法认证通过时候，这时候就进入了本篇文章主题--权限(check_permissions方法)，下面是check_permissions方法源码：

permission self.permission_denied( request,message=getattr(permission, )

4.从上源码中我们可以看出，perform_authentication方法中循环get_permissions结果，并逐一判断权限，所以需要分析get_permissions方法返回结果，以下是get_permissions方法源码：

[permission() permission self.permission_classes]

5.get_permissions方法中寻找权限类是通过self.permission_class字段寻找，和认证类一样默认该字段在全局也有配置，如果我们视图类中已经定义，则使用我们自己定义的类。

</span><span style="color: #008000;"&gt;#</span><span style="color: #008000;"&gt; The following policies may be set at either globally,or per-view.</span>
renderer_classes =<span style="color: #000000;"&gt; api_settings.DEFAULT_RENDERER_CLASSES
parser_classes </span>=<span style="color: #000000;"&gt; api_settings.DEFAULT_PARSER_CLASSES
authentication_classes </span>=<span style="color: #000000;"&gt; api_settings.DEFAULT_AUTHENTICATION_CLASSES
throttle_classes </span>=<span style="color: #000000;"&gt; api_settings.DEFAULT_THROTTLE_CLASSES

permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES #权限控制
content_negotiation_class = api_settings.DEFAULT_CONTENT_NEGOTIATION_CLASS
metadata_class = api_settings.DEFAULT_METADATA_CLASS
versioning_class = api_settings.DEFAULT_VERSIONING_CLASS

6.承接check_permissions方法，当认证类中的has_permission()方法返回false时(也就是认证不通过)，则执行self.permission_denied(),以下是self.permission_denied()源码：

permission_denied(self,message= request.authenticators exceptions.PermissionDenied(detail=message)

7.认证不通过，则至此django rest framework的权限源码到此结束，相对于认证源码简单一些。

四、内置权限验证类django rest framework 提供了内置的权限验证类，其本质都是定义has_permission()方法对权限进行验证：

##允许所有
class AllowAny(BasePermission)

##基于django的认证权限，官方示例
class IsAuthenticated(BasePermission):

##基于django admin权限控制
class IsAdminUser(BasePermission)

##也是基于django admin
class IsAuthenticatedOrReadOnly(BasePermission)
.....

五、总结1.使用方法：

继承BasePermission类(推荐)
重写has_permission方法
has_permission方法返回True表示有权访问，False无权访问

2.配置：

REST_FRAMEWORK = :[##单一视图使用,为空代表不做权限验证
permission_classes = [MyPremission,]

###优先级
单一视图>全局配置

Django Rest Framework源码剖析(二)-----权限

相关推荐