Django-restframework05 用户认证和权限管理

1. 目的

• 实例对象始终与创建者相关联
• 只有通过身份验证的用户可以创建实例
• 只有对象的创建者能够更新和删除该对象
• 未认证用户应该只有只读权限

2. 数据库中字段的on update 和 on delete参数

• 数据库外键定义的可选项，用来设置当主键表中的被参考列的数据发生变化时，外键表中响应字段的变化规则。update则是主键表中被参考字段的值更新，delete是指在主键表中删除一条记录
• on_update 和 on_delete的值有四个：DO_NOTHING ， SET_NULL ， SET_DEFAULT ，CASCADE，PROTECT
• no action 表示不做任何操作
• set null 表示在外件表中将相应字段设置为null
• ser default 表示设置默认值
• cascade 表示级联操作，如果主键表中被参考字段更新，外键表中也更新，主键表中的记录被删除，外键表中该行也相应删除

3. 删除原数据库和迁移记录

rm -f tmp.db db.sqlite3rm -r snippets/migrations

4.添加用户控制入口

• 首先在模型文件中设置关联外键

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)    highlighted = models.TextField()

• 设置文本高亮，重写保存方法

 def save(self, *args, **kwargs):        """        利用pygments，创建高亮的html文本呈现code块        """        lexer = get_lexer_by_name(self.language)        linenos = self.linenos and 'table' or False        options = self.title and {'title': self.title} or {}        formatter = HtmlFormatter(style=self.style, linenos=linenos,                                  full=True, **options)        self.highlighted = highlight(self.code, lexer, formatter)        super(Snippet, self).save(*args, **kwargs)

5. 设置断点

1. 在serializers.py中添加UserSerializer

from django.contrib.auth.models import Userclass UserSerializer(serializers.ModelSerializer):    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())    class Meta:        model = User        fields = ('id', 'username', 'snippets')        # snippets为反向引用，不会被默认包含，所以需要添加显示字段

1. 在views.py中使用只读属性

from django.contrib.auth.models import Userfrom snippets.serializers import UserSerializerclass UserList(generics.ListAPIView):    queryset = User.objects.all()    serializer_class = UserSerializerclass UserDetail(generics.RetrieveAPIView):    queryset = User.objects.all()    serializer_class = UserSerializer

1. 添加url

url(r'^users/$', views.UserList.as_view()),url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

1. 连接Snippets和Users

# 通过重写perform_create()方法def perform_create(self, serializer):    serializer.save(owner=self.request.user)

6. 更新serializer

添加一行，另外在meta类中也要添加’owner’字段

# 只被用于序列化呈现，而不会被用于更新模型实例owner = serializers.ReadOnlyField(source='owner.username')

7.为我们的视图函数添加权限认证

• IsAuthenticatedOrReadOnly： 确保认证用户拥有读写权限，匿名用户只读

from rest_framework import permissions# 在SnippetList and SnippetDetail视图函数类中添加permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

8. 添加登录窗口url,rest_framework自带

urlpatterns += [    # 前面正则表达式，可以随便怎么写，但是namespace,必须要是'rest_framework'    url(r'^api-auth/', include('rest_framework.urls',                               namespace='rest_framework')),]

9. 用户权限内等级管理

• 在app中创建permissions.py

from rest_framework import permissionsclass IsOwnerOrReadOnly(permissions.BasePermission):    """    设置权限只允许创建者编辑    """    def has_object_permission(self, request, view, obj):        # Read permissions are allowed to any request,        # so we'll always allow GET, HEAD or OPTIONS requests.        # 为不同的请求设置权限，GET, HEAD or OPTIONS 为安全请求        if request.method in permissions.SAFE_METHODS:            return True        # Write permissions are only allowed to the owner of the snippet.        # 写权限只有代码拥有者有，判断拥有者和请求者是否是同一个用户        return obj.owner == request.user

• 然后在SnippetDetail视图类中，设置权限类

from snippets.permissions import IsOwnerOrReadOnlypermission_classes = (permissions.IsAuthenticatedOrReadOnly,                      IsOwnerOrReadOnly,)

10. 用户认证

（SessionAuthentication and BasicAuthentication）