django drf 权限permission

https://www.django-rest-framework.org/api-guide/permissions/#custom-permissions

from django.shortcuts import render

from rest_framework import mixins,viewsets
from .serializers import UserFavSerializer
from .models import UserFav
from rest_framework.permissions import IsAuthenticated
# Create your views here.
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Object-level permission to only allow owners of an object to edit it.
    Assumes the model instance has an `owner` attribute.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we‘ll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Instance must have an attribute named `owner`.
        return obj.user == request.user

class UserFavSetview(mixins.CreateModelMixin,mixins.ListModelMixin,
                     mixins.DestroyModelMixin,viewsets.GenericViewSet):
    permission_classes = (IsAuthenticated,IsOwnerOrReadOnly) #需登陆和需要是拥有者
    serializer_class = UserFavSerializer
    # queryset = UserFav.objects.all()
    def get_queryset(self):
        return UserFav.objects.filter(user=self.request.user)

PS：可以在view中配置authtication_classes，来指明特定的接口需要授权

原文地址：https://www.cnblogs.com/chenyishi/p/10661903.html

时间： 2024-10-08 11:45:45

django drf 权限permission的相关文章

2.4.3、Django用户权限控制

上面已经实现了登录和注销功能,但是还没起作用. 我们需要在每个视图函数里加上限制@login_required 如下: from django.contrib.auth.decorators import login_required ... ... @login_required def data_daka(request): all = class.objects.all() ... ... login_required实现了如下功能: 如果用户没有登录, 重定向到/accounts/log

DRF 权限的流程

DRF 权限的流程 django rest framework,入口是 dispatch,然后依次 --->>封装请求--->>处理版本--->>>认证--->>>权限--->>>限制访问频率 (1)auth需要通过token唯一标识来认证 (2)通过auth认证后得到,用户user信息,但是没有admin的权限权限用来做进一步做职责的划分代码 class MyPermission(object): message = '无

Android权限Permission详解

android.permission.EXPAND_STATUS_BAR 允许一个程序扩展收缩在状态栏,Android开发网提示应该是一个类似Windows Mobile中的托盘程序 android.permission.FACTORY_TEST 作为一个工厂测试程序,运行在root用户 android.permission.INSTALL_PACKAGES 允许一个程序安装packages android.permission.INTERNAL_SYSTEM_WINDOW 允许打开窗口使用系统

Android自定义权限permission

Android是一种特权分隔的操作系统,在Android上运行的每个应用程序都具有各自独立的系统标识(Linux用户ID和组ID).系统各部分有不同的身份标识.因此,Linux上运行的各个应用程序相互独立且与系统无关. Android的"权限许可"机制通过限定特定的进程能够执行的指定操作和限定对每一个资源点对点的访问的URI许可来提供附加细粒度的安全功能. 由于内核让每个应用程序运行在独立的沙盒中,应用程序必须通过声明所需要而沙盒没有提供的权限来明确的分配资源和数据.Android没有

应用商城下载apk 安装包解析错误没有权限 Permission denied Android - failed to open zip archive

1.错误提示: 03-31 16:48:43.740: INFO/ActivityManager(59): Start proc com.android.packageinstaller for activity com.android.packageinstaller/.PackageInstallerActivity: pid=620 uid=10026 gids={} 03-31 16:48:44.749: WARN/zipro(620): Unable to open zip '/dat

Android 自定义权限 (<permission> <uses-permission>)

在android系统的安全模型中,应用程序在默认的情况下不可以执行任何对其他应用程序,系统或者用户带来负面影响的操作.如果应用需要执行某些操作,就需要声明使用这个操作对应的权限. (在manifest文件中添加<uses-permission>标记) android 系统提供了一系列这样的权限,具体可以查看android 权限,另外,android系统在新的版本中会增加一些permission,可以查看android 版本信息. 当然,app也可以自定义属于自己的permission 或属于

Django DRF：过滤&搜索&排序功能

过滤功能利用的是第三方包 django_filters,搜索我排序利用的是 Django DRF 提供的 filters 示例代码如下: from rest_framework import filters # 搜索和排序功能 # 注意:这两个是 DRF 提供的功能 from django_filters.rest_framework import DjangoFilterBackend # DjangoFilterBackend 是精确(查找)过滤,即字段值必须要完全一样才能匹配成功 imp

django的权限6表和 content_type

django的权限6表和 content_type 权限6表我们之前做数据库表迁移的时候都会生成一大堆表,现在可以讲一下其中有些表是干什么的了. 先讲一下最开始的3表,有用User表,用来存用户的一大堆属性的,然后角色表,和权限表.每个用户都会有对应的角色,每个角色都有对应的权限,一个用户可以有多个角色,一个角色也可以有多个权限,所以就造成了外键字段有多个值,不符合数据库三大范式的设计.所以引出了6表. 第二排的第一张表和第三张表很容易理解,但是中间那张表的意义不太一样,他是直接用户和权限的关

django drf 动态权限配置和动态seriaizer_class配置

可以通过重写get_permissions方法和get_serializers_class方法来实现动态的配置权限和序列化 VIewDemo class RegUserSet(mixins.CreateModelMixin,mixins.RetrieveModelMixin,viewsets.GenericViewSet): serializer_class = RegUserSerializer # permission_classes = () # queryset = User.objec