一、认证
身份验证是将传入请求与一组标识凭据(如请求来自的用户或签名时使用的令牌)关联的机制。然后,权限和限制策略可以使用这些凭据来确定是否应允许请求。
REST 框架提供了几种开箱即用的身份验证方案,还允许您实现自定义方案。
身份验证始终在视图的开头、权限和限制检查发生之前以及允许任何其他代码继续之前运行。
该属性通常设置为包的类的实例。request.usercontrib.authUser
该属性用于任何其他身份验证信息,例如,它可用于表示用于对请求进行签名的身份验证令牌。request.auth
1.全局认证
可以使用该设置全局设置默认身份验证:DEFAULT_AUTHENTICATION_CLASSES
REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuthentication', ] }
2.视图认证
from rest_framework.authentication import SessionAuthentication, BasicAuthentication from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response from rest_framework.views import APIView class ExampleView(APIView): authentication_classes = [SessionAuthentication, BasicAuthentication] permission_classes = [IsAuthenticated] def get(self, request, format=None): content = { 'user': str(request.user), # `django.contrib.auth.User` instance. 'auth': str(request.auth), # None } return Response(content)
3.装饰器认证
@api_view(['GET']) @authentication_classes([SessionAuthentication, BasicAuthentication]) @permission_classes([IsAuthenticated]) def example_view(request, format=None): content = { 'user': str(request.user), # `django.contrib.auth.User` instance. 'auth': str(request.auth), # None } return Response(content)
二、权限
与身份验证和限制一起,权限确定是应授予还是拒绝请求访问权限。
权限检查始终在视图的开头运行,然后才允许任何其他代码继续。权限检查通常使用 and 属性中的身份验证信息来确定是否应允许传入的请求。request.userrequest.auth
权限用于授予或拒绝不同类别的用户对 API 不同部分的访问权限。
最简单的权限样式是允许任何经过身份验证的用户访问,并拒绝任何未经身份验证的用户访问。这对应于 REST 框架中的类。IsAuthenticated
稍微不那么严格的权限样式是允许对经过身份验证的用户进行完全访问,但允许对未经身份验证的用户进行只读访问。这对应于 REST 框架中的类。IsAuthenticatedOrReadOnly
1.全局权限
可以使用该设置全局设置默认权限策略:DEFAULT_PERMISSION_CLASSES
REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': [ 'rest_framework.permissions.IsAuthenticated', ] }
如果未指定,则此设置默认为允许无限制访问:
'DEFAULT_PERMISSION_CLASSES': [ 'rest_framework.permissions.AllowAny', ]
2.视图权限
from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response from rest_framework.views import APIView class ExampleView(APIView): permission_classes = [IsAuthenticated] def get(self, request, format=None): content = { 'status': 'request was permitted' } return Response(content
3.装饰器权限
from rest_framework.decorators import api_view, permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) def example_view(request, format=None): content = { 'status': 'request was permitted' } return Response(content)
4.组合权限
当您通过 class 属性或修饰器设置新的权限类时,您是在告诉视图忽略 settings.py 文件中设置的默认列表。
如果它们继承自 ,则可以使用标准的 Python 按位运算符组成权限。例如
from rest_framework.decorators import api_view, permission_classes from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response @api_view(['GET']) @permission_classes([IsAuthenticated]) def example_view(request, format=None): content = { 'status': 'request was permitted' } return Response(content)
