Django rest framework 一个用户登录,另一个用户的accesstoken
我已经为基于令牌的身份验证实现了simpleJWT。我创建了一个简单的hello world测试API 在测试过程中,我使用/rest auth/login/和来生成use/api/token/,这两种方法都可以正常工作 现在,为了进行测试,我使用用户XYZ(拥有helloworld api的访问权限)登录,并使用另一个用户ABC(没有helloworld api的访问权限)生成令牌 所以现在用户XYZ已通过身份验证(ok),但我拥有用户ABC(ok)的令牌 现在,当我使用为使用ABC生成的令牌调用API时,我能够访问helloworld API,即使用户ABC没有API的权限!!因为已经登录了具有权限的用户XYZ 问题是,当多个用户使用该站点时,情况总是如此。如何解决?下面还提供了一些代码片段: 我的设置被剪掉了Django rest framework 一个用户登录,另一个用户的accesstoken,django-rest-framework,django-rest-framework-simplejwt,Django Rest Framework,Django Rest Framework Simplejwt,我已经为基于令牌的身份验证实现了simpleJWT。我创建了一个简单的hello world测试API 在测试过程中,我使用/rest auth/login/和来生成use/api/token/,这两种方法都可以正常工作 现在,为了进行测试,我使用用户XYZ(拥有helloworld api的访问权限)登录,并使用另一个用户ABC(没有helloworld api的访问权限)生成令牌 所以现在用户XYZ已通过身份验证(ok),但我拥有用户ABC(ok)的令牌 现在,当我使用为使用ABC生成的令牌
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
),
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_simplejwt.authentication.JWTAuthentication',
),
}
代码基本上是为用户进行身份验证的装饰器,如下所示
def user_is_ADM(fun_c):
@wraps(fun_c)
def wrapped(request, *args, **kwargs):
# 1 = ADM
if(request.user and request.user.is_authenticated) : <--- here is the issue
user_data = UserProfile.objects.get(user_id = request.user.id)
# user profile as as a user type
u = user_data.user_type
if u == 1:
return fun_c(request, *args, **kwargs)
else:
raise PermissionDenied
return wrapped
签出此文档(自定义权限) 设置常规权限设置时(已验证)。 它实际上是在验证用户,而不是在任何时候验证他们的权限
class IsAuthenticated(BasePermission):
"""
Allows access only to authenticated users.
"""
def has_permission(self, request, view):
return bool(request.user and request.user.is_authenticated)
如果基本的管理员和用户身份验证还不够。您可以实现自定义权限
from rest_framework import permissions
class CustomerAccessPermission(permissions.BasePermission):
"""
extracted from the documentation
"""
message = 'Adding customers not allowed.'
def has_permission(self, request, view):
"""
add authentication logic and return a boolean value
"""
# ...
# return bool()
在视图中
from rest_framework.views import APIView
from modulename.permissions import CustomerAccessPermission
class ExampleView(APIView):
"""
...
"""
permission_classes = (CustomerAccessPermission,)
def get(self, request, format=None):
"""
...
"""
下面是一个具有django身份验证权限的示例
from typing import Tuple
from rest_framework.permissions import BasePermission
class CustomPermission(BasePermission):
"""
...
"""
list_permissions: Tuple[str] = (
'modelname.view_modelname',
'modelname.add_modelname',
'modelname.change_modelname',
'modelname.delete_modelname',
)
def has_permission(self, request, view) -> bool:
return bool(
request.user.has_perms(self.list_permissions)
or
request.user and request.user.is_staff
or
request.user and request.user.is_superuser
)
总结
一般来说,关于语法,您不会看到任何更改,您必须在视图中导入您的权限或decorator,区别在于运行时和django评估权限的方式
from typing import Tuple
from rest_framework.permissions import BasePermission
class CustomPermission(BasePermission):
"""
...
"""
list_permissions: Tuple[str] = (
'modelname.view_modelname',
'modelname.add_modelname',
'modelname.change_modelname',
'modelname.delete_modelname',
)
def has_permission(self, request, view) -> bool:
return bool(
request.user.has_perms(self.list_permissions)
or
request.user and request.user.is_staff
or
request.user and request.user.is_superuser
)
记住,decorator只不过是表示func(func())的一种概括方式。
因此,您应该始终评估视图并调用由装饰程序修改的方法
相反,此框架中的权限始终定义为权限类列表。在执行视图主体之前,将验证列表中的每个权限。如果任何权限验证失败,将生成异常。拒绝许可或例外。将生成未经验证的异常,并且不会执行视图的主体。(有关完整的解释,请参阅文档)
您应该评估哪种方法最适合您的情况(性能、语法等)
但我必须再次在permission.py中添加与decorator相同的修改逻辑(我已经为decorator的新版本编辑了我的问题)。使用decorator验证与权限相同的东西有什么区别?请详细说明或指导/解释更新答案,我希望我的解释对您有所帮助。但是如何为用户分配权限?我建议阅读此文档。它包含了一个很好的解释和例子,你可以运行。用户有分配权限的方法(myuser.user\u permissions.set([permission\u instances\u list])。django为每个模型生成默认权限(查看、更改、删除、创建)。您还可以在组级别(myuser.groups.set([group\u instances\u list])工作
# you can set your permission in the general settings to avoid importing into each file
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'modulename.permissions.CustomPermission',
),
# ...
}