认证于权限

• drf认证组件
• 在主应用的settings中配置，此时的认证和权限是全局的，若部分视图不需要权限于认证处理只需要将类名置空即可

• """drf配置信息"""
  REST_FRAMEWORK = {
      #循环认证，一旦认证成功则不会往下再去认证
      'DEFAULT_AUTHENTICATION_CLASSES': [
          'Restful_api.authentication.CustomerDefinedAuthentication',  # 自定义认证
          'rest_framework.authentication.SessionAuthentication',#session认证
          'rest_framework.authentication.BasicAuthentication',#基础认证
  
      ],
      # 'DEFAULT_PERMISSION_CLASSES': [
      #     'rest_framework.permissions.IsAuthenticated',
      # ],
  }

   

• 认证（Authentication）
  DRF也提供了多种认证类，用于验证用户的身份。常用的认证类包括：

  SessionAuthentication：使用Django的session机制进行认证，适用于web应用。
  TokenAuthentication：使用token进行认证，适用于移动应用等无状态应用。
  BasicAuthentication：使用HTTP基本认证进行认证。
  JSONWebTokenAuthentication：使用JSON Web Token进行认证，支持跨域认证。

• 认证和自定义认证

• from django.contrib.auth import get_user_model
  from rest_framework.authentication import BaseAuthentication
  
  
  class CustomerDefinedAuthentication(BaseAuthentication):
      def authenticate(self, request):
          """自定义认证方法:名字必须为 authenticate"""
          user = request.query_params.get("user")  # 获取请求参数中的user参数
          pwd = request.query_params.get("pwd")  # 获取请求参数中的pwd参数
          if user != "root" or pwd != "root":
              return None
          # 获取当前系统中用户表对应的用户模型信息
          user = get_user_model().objects.first()
          return (user, None)

   

• from django.shortcuts import render
  from rest_framework.views import APIView
  from rest_framework.response import Response
  from rest_framework.authentication import SessionAuthentication, BaseAuthentication  # drf自带认证
  from Restful_api.authentication import CustomerDefinedAuthentication  # 导入我们自定义认证
  
  
  class HomeAPIView(APIView):
      # 使用内部认证组件,或者是自定义组件
      # authentication_classes = [SessionAuthentication, BaseAuthentication]
      # authentication_classes = [CustomerDefinedAuthentication]
  
      def get(self, request):
          """单独设置认证:session认证"""
          print(request.user)
          if request.user.id is None:
              return Response("未登录用户:游客")
          else:
              return Response(f"已登录用户{request.user}")
  
  

• 权限（Permission）
  DRF提供了多种权限类，用于限制用户访问API的权限。常用的权限类包括：

  AllowAny：允许任何人访问API。
  IsAuthenticated：只允许已登录的用户访问API。
  IsAdminUser：只允许管理员用户访问API。
  IsAuthenticatedOrReadOnly：未登录用户只能查看API，已登录用户可以进行修改操作。
  DjangoModelPermissions：根据Django模型的权限进行控制，例如Django中的add、change、delete权限。
  DjangoObjectPermissions：根据Django模型实例的权限进行控制。

• 权限和自定义权限

• from rest_framework.permissions import BasePermission
  
  
  class IsOwner(BasePermission):
      """自定义权限可用于全局配置或者局部配置
          返回True 允许访问
      """
      message = "只有该对象创建者才有资格访问"
  
      def has_permission(self, request, view):
          """视图权限
          """
          role = request.query_params.get("role")
          return role == "one_name"
  
      def has_object_permission(self, request, view, obj):
          """模型权限"""
          return obj.owner == request.user

   

•  

  class HomeAPIView(APIView):
      # authentication_classes = [SessionAuthentication, BaseAuthentication]#内部认证
      # authentication_classes = [CustomerDefinedAuthentication]#自定义认证
  
      # permission_classes = [IsRootPermission]#自定义权限
      permission_classes = [IsAuthenticated]  # 为空则取消权限的识别
  
      def get(self, request):
          """单独设置认证:session认证"""
          print(request.user)
          if request.user.id is None:
              return Response("未登录用户:游客")
          else:
              return Response(f"已登录用户{request.user}")

   

• 目录解释:在主应用下创建 一下python文件 写自定义认证和权限的代码
• 

   

   

• 全局配置时导入方式：均一致，按照setting中导入即可