服务端相关 / 10 认证与权限

认证与权限

在完成 RESTful Web API 搭建之后,似乎主要工作已经完成。大家仔细想想,还有没遗漏什么?对了,现在的接口任何人都可以访问,试想,一个任何人都能够访问的师生管理系统,如果被别有用心的人利用,岂不是会造成一定的隐患?再看周围的一些系统,是不是大多都需要登陆后才能使用,而另外一些系统,不同的用户登陆,操作权限又不同,那这些又是如何实现的呢。这一小节,我们就来介绍在 Django REST framework 中如何实现 RESTful Web API 的认证和权限分配。

1.认证功能的使用

通常,我们可以在设置文件中配置全局默认的认证方案,一旦配置,全局默认采用配置的认证方案

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.BasicAuthentication',   # 基本认证
        'rest_framework.authentication.SessionAuthentication',  # session认证
    )
}

另外,我们也可以为不同的视图分别指定不同的认证方案,此时可在视图中通过 authentication_classes指定:

from rest_framework.authentication import SessionAuthentication, BasicAuthentication
from rest_framework.views import APIView

class ExampleView(APIView):
    authentication_classes = (SessionAuthentication, BasicAuthentication)
    ...

认证成功,即可获取接口内容,而认证失败,通常会有两种可能的返回值:

  • 401 Unauthorized 未认证;

  • 403 Permission Denied 权限被禁止(配合权限使用)。

2.权限功能的使用

权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。

我们可以在配置文件中设置默认的权限管理类,一旦配置,全局默认采用配置的认证方案:

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    )
}

如果在全局设置文件中没有配置权限,则采用默认的配置:

'DEFAULT_PERMISSION_CLASSES': (
   'rest_framework.permissions.AllowAny',
)

与认证类似,也可以在视图中通过 permission_classes 属性来设置权限类,如

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView

class ExampleView(APIView):
    permission_classes = (IsAuthenticated,)
    ...

3. Django Rest framework为我们提供的权限:

  • AllowAny:允许所有用户;
  • IsAuthenticated:仅通过认证的用户;
  • IsAdminUser:仅管理员用户;
  • IsAuthenticatedOrReadOnly:认证的用户可以完全操作(增删改查),否则只能读取(查)。

4. 举例

设定如下认证类和权限类,用户只有登录,才可访问 StudentDetailVie 视图提供的接口:

from rest_framework.authentication import SessionAuthentication
from rest_framework.permissions import IsAuthenticated
from rest_framework.generics import RetrieveAPIView
from AppDemo.models import StudentsModel
from AppDemo.serializers import StudentsSerializer

class StudentDetailView(RetrieveAPIView):
    queryset = StudentsModel.objects.all()
    serializer_class = StudentsSerializer
    authentication_classes = [SessionAuthentication]
    permission_classes = [IsAuthenticated]

5. 自定义权限

有时,Django Rest framework 为我们提供的权限无法满足实际需求,我们需要自定义权限,此时只需继承 rest_framework.permissions.BasePermission,并重写以下两个方法:

  • .has_permission(self, request, view)

    是否可以访问视图, view表示当前视图对象

  • .has_object_permission(self, request, view, obj)

    是否可以访问数据对象, view表示当前视图, obj为数据对象

例如:

class CustomPermission(BasePermission):
    def has_object_permission(self, request, view, obj):
        """控制对obj对象的访问权限,我们此时返回False,拒绝任何人的请求"""
        return False

class StudentViewSet(ModelViewSet):
    queryset = StudentsModel.objects.all()
    serializer_class = StudentsSerializer
    permission_classes = [IsAuthenticated, MyPermission]

6. 小结

数据安全是系统的核心要求,因而只有通过认证的用户才能获取关键数据,另外,不同类型数据的敏感程度不同,因而要为不同的认证用户划分可以访问的数据。本节向大家介绍的认证和权限,几乎是构建 API 时一定会用到的,大家要深入理解其中的原理, 才能在使用中融会贯通,得心应手地运用。