第四章 身份验证和权限

写在前面：
本文翻译于django rest framework官方文档，由于网上大多数django rest framework中文翻译文档都有较为多的删减行为，笔者在学习的时候就觉得不是太方便，故笔者将官方文档较为完善的为大家翻译下，仅供大家学习参考。

由于笔者文笔有限，若有写得不当之处，敬请各位同仁指出；若涉及到侵权，请联系笔者，笔者将立即删除。

目前，我们的API没有对谁可以编辑或删除代码段的任何限制。 我们希望有一些更高级的行为，以确保：

1. 代码段始终与创建者相关联。
2. 只有经过身份验证的用户才能创建代码段。
3. 只有代码段的创建者可以更新或删除它。
4. 未经身份验证的请求应具有完全只读访问权限。

向我们的模型中添加一些信息

我们将对Snippet模型做一些修改。首先，我们添加一个字段。

我们将一个字段添加到models.py的Snippet模型中

owner = models.ForeignKey('auth.User', related_name='snippets', on_delete=models.CASCADE)

我们把这些都完成之后，我们需要更新下我们的数据库表。

为我们的用户模型添加关联的字段

我们的Snippet模型与User模型是外键关联的，所以我们可以创建一个用户的序列化在serializers.py

from django.contrib.auth.models import User

class UserSerializer(serializers.ModelSerializer):
    snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())

    class Meta:
        model = User
        fields = ('id', 'username', 'snippets')

因为Snippets这个字段在User模型中是一个反向的关系，所以在使用ModelSerializer类的时候不会被默认包含，我们需要为他添加一个显式字段。

我们还会在views.py里添加几个视图，我们只想对用户表示使用只读视图，所以我们使用ListAPIView和RetrieveAPIView通用基于类的视图

from django.contrib.auth.models import User
from snippets.serializers import UserSerializer

class UserList(generics.ListAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

class UserDetail(generics.RetrieveAPIView):
    queryset = User.objects.all()
    serializer_class = UserSerializer

最后，我们需要将这些视图添加到API中，从URL conf中引用他们，我们向urls.py文件中添加以下内容

url(r'^users/$', views.UserList.as_view()),
url(r'^users/(?P<pk>[0-9]+)/$', views.UserDetail.as_view()),

将Snippets与Users相关联

现在，党我们创建一个snippet的时候，我们无法将其与用户关联，用户不作为序列化表示的一部分发送，而是在传入的请求的属性中

我们处理的方式是在我们的视图上覆盖一个perform_create()方法，允许我们修改如何管理实例保存，并处理在传入请求或请求的URL中隐含任何信息。
我们在SnippetList视图中做一些修改

def perform_create(self, serializer):
    serializer.save(owner=self.request.user)

这个方法将传递一个附加的owner字段，以及请求中已验证的数据

更新我们的序列化程序

现在，snippet将与创建它们的用户相关联，让我们更新我们的SnippetSerializer来反映。 将以下字段添加到serializers.py中的序列化程序定义中：

owner = serializers.ReadOnlyField(source='owner.username')

同时你也要将owner这个字段添加到Meta类的fields当中。

source参数控制哪个属性用于填充字段，并且可以指向序列化实例上的任何属性

我们添加的字段是无类型的ReadOnlyField类，与其他类型的字段，例如CharField，BooleanField等相反。无类型的ReadOnlyField始终是只读的，将用于序列化表示，但不会 用于在反序列化时更新模型实例。 我们也可以在这里使用CharField(read_only = True)，也可以达到同样的效果。

向视图中添加一些必要的权限

现在我们的snippets与users相关联了，但我们还需要确保仅仅是验证过的用户才有权限去对snippet进行增删改。

REST Framework为我们提供了许多的permission类，我们可以使用它们来限制访问某个视图的用户。在我们目前的情况下，我们将使用IsAuthenticatedOrReadOnly，这将确保已验证的请求获得读写访问，未经验证的请求获得只读访问。

from rest_framework import permissions

然后同时在SnippetList视图和SnippetDetail视图中添加以下的属性

permission_classes = (permissions.IsAuthenticatedOrReadOnly,)

添加登录接口

如果您打开浏览器并转到可浏览的API，您会发现您无法再创建新的代码段。 为此，我们需要能够以用户身份登录。

我们可以通过编辑我们项目下的urls.py文件中的URLconf来添加一个登录视图，以便与可浏览的API一起使用。

from django.conf.urls import include

urlpatterns += [
    url(r'^api-auth/', include('rest_framework.urls',
                               namespace='rest_framework')),
]

现在，如果您再次打开浏览器并刷新页面，您将在页面右上角看到一个“登录”链接。 如果您以之前创建的用户之一身份登录，则可以再次创建代码段。

创建几个snippet后，路由跳转到/users/，并注意该表示包括每个用户的“代码段”字段中与每个用户相关联的snippet的ID列表。

对象级权限

实际上，我们希望所有的snippet对任何人都是可见的，但也要确保的是，只有创建snippet的人才能够去增删改它

所以我们需要一个自定义的权限来满足我们的要求

我们在snippetsAPP中增加一个新文件permissions.py

from rest_framework import permissions


class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    自定义权限，只允许对象的所有者编辑它
    """

    def has_object_permission(self, request, view, obj):
        # 查看的权限对所有请求开放
        # 所以我们永远开放 GET, HEAD or OPTIONS 请求
        if request.method in permissions.SAFE_METHODS:
            return True

        # 写的请求只对对象的创建者开放
        return obj.owner == request.user

我们现在将我们的自定义权限加入到SnippetDetail视图中。

from snippets.permissions import IsOwnerOrReadOnly

permission_classes = (permissions.IsAuthenticatedOrReadOnly,
                      IsOwnerOrReadOnly,)

如果你再次打开浏览器，你会发现如果你是以创建snippet的同一用户身份登录，你才能看到DELETE和PUT操作。

使用API进行身份验证

由于我们现在对API有一组权限，因此如果我们要编辑任何snippet，我们需要验证我们对它的请求。 我们没有设置任何认证类，因此，目前应用默认值，即SessionAuthentication和BasicAuthentication。

当我们通过Web浏览器与API交互时，我们可以登录，然后浏览器会话将为请求提供所需的身份验证。

如果我们以编程方式与API进行交互，我们需要在每个请求中显式提供身份验证凭据。

如果我们尝试创建一个未验证的代码段，我们会收到一条错误。

http POST http://127.0.0.1:8000/snippets/ code="print 123"

{
    "detail": "Authentication credentials were not provided."
}

我们可以通过包括我们之前创建的用户之一的用户名和密码来成功请求。

http -a tom:password123 POST http://127.0.0.1:8000/snippets/ code="print 789"

{
    "id": 5,
    "owner": "tom",
    "title": "foo",
    "code": "print 789",
    "linenos": false,
    "language": "python",
    "style": "friendly"
}

总结

我们通过本章的学习了解了REST Framew相当简便的权限控制。

下一步

我们在下一章中将为系统中的关系使用超链接来提高API的内聚性，研究如果将所有的内容关联到一起。