drf 对象级权限

Django REST Framework（DRF）提供了对象级别权限（Object-level permissions）来控制特定对象的访问权限。

简单来说：通过视图类中的self.get_object(pk)得到一个obj对象(视图对象)，在与request.user对象(请求对象)进行比较，来判断该用户是否有权限。

def retrieve(self, request, pk):obj = self.get_object(pk)  #获取视图对象self.check_object_permissions(request, obj) #调用权限的has_object_permission方法，来判断是否有权限

用途：因为要使用到self.get_object(pk)方法，当然也可以重写一个该方法，但该方法仅限于:获取单个对象(retrieve)，删除单个对象(destroy)，更新单个对象(update)

自动实现对象级权限

model.py
class User(model.Model):username = models.CharField("用户名", max_length=32)password = models.CharField('密码', max_length=32)email = models.EmailField('邮箱', max_length=32, blank=True)phone = models.CharField("手机号", max_length=11, blank=True)created = models.DateTimeField("创建时间", auto_now_add=True)updated = models.DateTimeField("更新时间", auto_now=True)class getArticlePermissions(BasePermission):def has_object_permission(self, request, view, obj):try:return obj.user == request.userexcept:return obj == request.userclass UserView(GenericAPIView):queryset = User.objects.all() #这里一定要用户模型serializer_class = categoryModelSerializerpermission_classes = [getArticlePermissions,]def get(self,request,pk):pass#说明，因为GenericAPIView中有queryset方法，而get_object(pk)方法有能得到一个对象，就可以自动的调用self.check_object_permissions(request, obj)，进而实现对象级权限，但这种有很强的局限性
1. 视图要包含queryset属性
2. queryset = 对象模型
3. 仅限于获取pk属性的方法，一般是单个对象 (put,delete,get)
4. pk的值一定只能跟queryset有关，pk是对象的id

自定义对象级权限

当调用.get_object()时，由REST框架的通用视图运行对象级权限检测。如果你正在编写自己的视图并希望强制执行对象级权限检测，或者你想在通用视图中重写get_object方法，那么你需要在检索对象的时候显式调用视图上的.check_object_permissions(request, obj)方法。

class getArticlePermissions(BasePermission):def has_object_permission(self, request, view, obj):try:return obj.user == request.userexcept:return obj == request.userclass articleView(GenericViewSet, mixins.ListModelMixin, mixins.UpdateModelMixin, mixins.CreateModelMixin,mixins.DestroyModelMixin, mixins.RetrieveModelMixin):queryset = Category.objects.all()serializer_class = categoryModelSerializerpermission_classes = [IsAuthenticated, getArticlePermissions]def retrieve(self, request, pk=None, *args, **kwargs):user = request.user  #获取请求对象print(user)if user: #判断请求对象是否有值try:obj = Category.objects.filter(user=user, pk=pk).first() #获取视图对象except:return Response({"message": "失败"}) self.check_object_permissions(request, obj)  #调用权限的has_object_permission进行对象级权限校验serializer = categoryModelSerializer(instance=obj) #序列化return Response(serializer.data)return Response({"status_code": 500, "message": "违法登录"})

注意

​ 如果你的用户对象是自定义对象的话，并且又创建了超级用户，这样的话就有两个模型类

​ 并且你配置了如下设置

    'DEFAULT_AUTHENTICATION_CLASSES': (...'rest_framework.authentication.SessionAuthentication','rest_framework.authentication.BasicAuthentication'...),则你在未登录的情况下，request.user会是你的超级用户，而不是匿名对象，而造成的一切的因素是你配置了'rest_framework.authentication.SessionAuthentication',只需要将它注释即可