DRF-Permission组件源码分析及改编源码

文章DRF-Permission组件源码分析及改编源码分享给大家，欢迎收藏Python资料网，专注分享技术知识

1. 权限组件源码分析

PS：下列源码为了方便理解都进行了简化，只保留了权限相关的代码

由于视图函数中继承了APIView，因此permission_classes可在视图类中进行重写。

注意点：

• 执行权限校验前，已执行了认证流程。因此此时可通过self.user获取用户对象（认证通过的情况）
  

2. 实践：编写一个权限类

假设我们在认证通过后，给每个用户对象都加上表示角色的属性role。1代表普通用户， 2代表经理， 3代表BOSS：

import random
from rest_framework.permissions import BasePermission
from rest_framework.request import Request

class UserPermission(BasePermission):
    message = {"code": 1001, "detail": "无权限"}  # 无权限时返回的信息

    def has_permission(self, request, view):
        if request.user.role == 3:
            return True
        return False

class ManagerPermission(BasePermission):
    message = {"code": 1001, "detail": "无权限"}  # 无权限时返回的信息

    def has_permission(self, request, view):
        if request.user.role == 2:
            return True
        return False

class BossPermission(BasePermission):
    message = {"code": 1001, "detail": "无权限"}   # 无权限时返回的信息

    def has_permission(self, request, view):
        if request.user.role == 1:
            return True
        return False

3. 源码改编

• 将权限校验中的“且”改为“或”关系，即只要有一个权限类通过校验即代表权限校验通过，继续执行后续代码：

# 在视图类中重写源码中的check_permissions方法：
    def check_permissions(self, request):
        no_permission_objects = []  # 未通过校验的权限对象
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                # 只要有一个权限类通过校验则立即停止函数
                return 
            else:
                no_permission_objects.append(permission)
        else:   # 所有权限类都未通过校验
            self.permission_denied(
                request,
                message=getattr(no_permission_objects[0], 'message', None),  
                code=getattr(no_permission_objects[0], 'code', None))

• 若想要所有视图类能使用该重写的功能，可将该方法单独写成类（MyAPIView），并继承APIView；其他要使用该重写方法的视图不再继承APIView，而是继承MyAPIView

# utils.py
class MyAPIView(APIView):
    # 改写权限，变为"或"关系；
    def check_permissions(self, request):
        no_permission_objects = []  # 未通过校验的权限对象
        for permission in self.get_permissions():
            if permission.has_permission(request, self):
                # 只要有一个权限类通过校验则立即停止函数
                return 
            else:
                no_permission_objects.append(permission)
        else:   # 所有权限类都未通过校验
            self.permission_denied(
                request,
                message=getattr(no_permission_objects[0], 'message', None),  
                code=getattr(no_permission_objects[0], 'code', None))

# views.py
class UserView(APIView):  # 继承DRF的APIView，则权限判断为“且”的关系
    # 只有用户有权限
    permission_classes = [UserPermission]

    def get(self, request, pid):
        return Response("hello get")

    def post(self, request, pid):
        return Response({"nihao  post!"})


class OrderView(MyAPIView):  # 用了自己改写的类MyAPIView，则权限判断为“或"的关系
    # 经理和BOSS都有权限
    permission_classes = [BossPermission, ManagerPermission]

    def get(self, request, pid):
        return Response("hello get")

    def post(self, request, pid):
        return Response({"nihao  post!"})

版权声明：本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系邮箱：jacktools123@163.com进行投诉反馈，一经查实，立即删除！