第05篇 身份验证和权限

教程 4：身份验证和权限

目前我们的 API 对谁可以编辑或删除代码片段没有任何限制。我们希望有一些更高级的行为，以确保：

• 代码片段始终与创建者相关联。
• 只有经过身份验证的用户才能创建片段。
• 只有片段的创建者可以更新或删除它。
• 未经身份验证的请求应具有完全只读访问权限。

向我们的模型添加信息

我们将对Snippet模型类进行一些更改。首先，让我们添加几个字段。这些字段之一将用于表示创建代码片段的用户。另一个字段将用于存储代码的突出显示的 HTML 表示。

将以下两个字段添加Snippet到models.py.

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)
highlighted = models.TextField()

我们还需要确保在保存模型时，我们使用pygments代码突出显示库填充突出显示的字段。

我们需要一些额外的导入：

from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight

现在我们可以.save()向我们的模型类添加一个方法：

def save(self, *args, **kwargs):
    """
    Use the `pygments` library to create a highlighted HTML
    representation of the code snippet.
    """
    lexer = get_lexer_by_name(self.language)
    linenos = 'table' if self.linenos else False
    options = {'title': self.title} if self.title else {}
    formatter = HtmlFormatter(style=self.style, linenos=linenos,
                              full=True, **options)
    self.highlighted = highlight(self.code, lexer, formatter)
    super().save(*args, **kwargs)

当这一切都完成后，我们需要更新我们的数据库表。通常我们会创建一个数据库迁移来执行此操作，但出于本教程的目的，让我们删除数据库并重新开始。

rm -f db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate

您可能还想创建几个不同的用户，用于测试 API。最快的方法是使用createsuperuser命令。

python manage.py createsuperuser

为我们的用户模型添加端点

现在我们已经有了一些用户可以使用，我们最好将这些用户的表示添加到我们的 API 中。创建一个新的序列化器很容易。补充serializers.py：

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ['id', 'username', 'snippets']

因为在 User 模型上'snippets'是反向关系，所以在使用类的时候默认是不包含的ModelSerializer，所以我们需要为它添加一个显式的字段。

我们还将向views.py. 我们只想对用户表示使用只读视图，因此我们将使用基于类的通用视图ListAPIView。RetrieveAPIView

from django.contrib.auth.models import User


class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

确保还导入UserSerializer类

from snippets.serializers import UserSerializer

最后，我们需要将这些视图添加到 API 中，方法是从 URL conf 中引用它们。将以下内容添加到snippets/urls.py.

path('users/', views.UserList.as_view()),
path('users/<int:pk>/', views.UserDetail.as_view()),

将片段与用户关联

现在，如果我们创建了一个代码片段，就无法将创建该片段的用户与该片段实例相关联。用户不是作为序列化表示的一部分发送的，而是传入请求的属性。

我们处理这个问题的方法是.perform_create()在我们的片段视图上重写一个方法，它允许我们修改实例保存的管理方式，并处理传入请求或请求的 URL 中隐含的任何信息。

在SnippetList视图类上，添加以下方法：

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

我们的序列化程序的create()方法现在将被传递一个额外的'owner'字段，以及来自请求的验证数据。

更新我们的序列化程序

现在片段与创建它们的用户相关联，让我们更新我们的SnippetSerializer以反映这一点。将以下字段添加到序列化程序定义中serializers.py：

owner = serializers.ReadOnlyField(source='owner.username')

注意：确保您还添加'owner',到内部Meta类的字段列表中。

这个领域正在做一些非常有趣的事情。source参数控制用于填充字段的属性，并且可以指向序列化实例上的任何属性。它也可以采用上面显示的点分符号，在这种情况下，它将遍历给定的属性，其方式与 Django 模板语言中使用的方式类似。

我们添加的字段是无类型的ReadOnlyField类，与其他类型的字段不同，例如CharField，BooleanField等...无类型ReadOnlyField始终是只读的，将用于序列化表示，但不会用于更新模型反序列化时的实例。我们也可以CharField(read_only=True)在这里使用。

向视图添加所需的权限

现在代码片段与用户相关联，我们要确保只有经过身份验证的用户才能创建、更新和删除代码片段。

REST 框架包括许多权限类，我们可以使用它们来限制谁可以访问给定视图。在这种情况下，我们正在寻找的是IsAuthenticatedOrReadOnly，它将确保经过身份验证的请求获得读写访问权限，而未经身份验证的请求获得只读访问权限。

首先在views模块中添加如下import

from rest_framework import permissions

然后，将以下属性添加到和视图类中SnippetList。SnippetDetail

permission_classes = [permissions.IsAuthenticatedOrReadOnly]

将登录名添加到可浏览 API

如果您此时打开浏览器并导航到可浏览的 API，您会发现您不再能够创建新的代码片段。为此，我们需要能够以用户身份登录。

我们可以通过编辑项目级urls.py文件中的 URLconf 添加登录视图以用于可浏览的 API。

在文件顶部添加以下导入：

from django.urls import path, include

并且，在文件的末尾，添加一个模式以包含可浏览 API 的登录和注销视图。

urlpatterns += [
    path('api-auth/', include('rest_framework.urls')),
]

'api-auth/'模式部分实际上可以是您想要使用的任何 URL 。

现在，如果您再次打开浏览器并刷新页面，您将在页面右上角看到一个“登录”链接。如果您作为之前创建的用户之一登录，您将能够再次创建代码片段。

创建了一些代码片段后，导航到“/users/”端点，并注意该表示在每个用户的“片段”字段中包含与每个用户关联的片段 ID 列表。

对象级权限

实际上，我们希望任何人都可以看到所有代码片段，但还要确保只有创建代码片段的用户才能更新或删除它。

为此，我们需要创建一个自定义权限。

在片段应用程序中，创建一个新文件，permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Write permissions are only allowed to the owner of the snippet.
        return obj.owner == request.user

现在我们可以通过编辑视图类的permission_classes属性，将自定义权限添加到我们的片段实例端点：SnippetDetail

permission_classes = [permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly]

确保也导入IsOwnerOrReadOnly该类。

from snippets.permissions import IsOwnerOrReadOnly

现在，如果您再次打开浏览器，您会发现“DELETE”和“PUT”操作仅出现在片段实例端点上，前提是您以创建代码片段的同一用户身份登录。

使用 API 进行身份验证

因为我们现在对 API 拥有一组权限，所以如果我们想编辑任何片段，我们需要验证我们对它的请求。我们尚未设置任何身份验证类，因此当前应用默认值，即SessionAuthentication和BasicAuthentication。

当我们通过 Web 浏览器与 API 交互时，我们可以登录，然后浏览器会话将为请求提供所需的身份验证。

如果我们以编程方式与 API 交互，我们需要在每个请求上显式提供身份验证凭据。

如果我们尝试在不进行身份验证的情况下创建一个片段，我们会收到一个错误：

http POST http://127.0.0.1:8000/snippets/ code="print(123)"

{
    "detail": "Authentication credentials were not provided."
}

我们可以通过包含我们之前创建的用户之一的用户名和密码来成功请求。

http -a admin:password123 POST http://127.0.0.1:8000/snippets/ code="print(789)"

{
    "id": 1,
    "owner": "admin",
    "title": "foo",
    "code": "print(789)",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

概括

现在，我们在 Web API 上获得了一组相当细粒度的权限，以及系统用户和他们创建的代码片段的端点。

在本教程的第 5 部分中，我们将了解如何通过为突出显示的片段创建 HTML 端点来将所有内容联系在一起，并通过对系统内的关系使用超链接来提高 API 的凝聚力。