面试题答案
一键面试常用权限控制方式
- 基于用户角色:不同角色(如管理员、普通用户)具有不同的权限,以此限制对API接口的访问。例如,管理员可以访问所有接口进行数据的增删改查,普通用户可能只能读取部分数据。
- 基于用户认证状态:已认证用户和未认证用户具有不同权限,比如已认证用户可以访问特定接口修改自己的信息,未认证用户只能访问公开的接口获取基本信息。
- 基于对象级别的权限:不仅基于用户角色和认证状态,还针对具体的数据对象进行权限控制。比如,一篇文章的作者可以对该文章进行编辑,其他用户只有查看权限。
在Django REST framework中实现基于用户角色限制访问API接口的具体步骤
- 安装和配置Django REST framework:
在项目的pip install djangorestframeworksettings.py中添加'rest_framework'到INSTALLED_APPS。 - 定义用户角色和权限:
- 在
models.py中定义角色相关模型(如果项目中还没有角色模型),例如:
from django.db import models from django.contrib.auth.models import User class Role(models.Model): name = models.CharField(max_length=50) users = models.ManyToManyField(User, related_name='roles') def __str__(self): return self.name- 定义权限,可以在
models.py中使用django.contrib.auth.models.Permission相关功能,或者自定义权限逻辑。例如,定义一个权限判断是否是管理员角色:
def is_admin(user): return user.roles.filter(name='admin').exists() - 在
- 创建权限类:
在
rest_framework.permissions.py所在目录(通常在项目应用内)创建自定义权限类,例如:from rest_framework import permissions class RoleBasedPermission(permissions.BasePermission): def has_permission(self, request, view): if request.user.is_superuser: return True if request.user.is_authenticated: if is_admin(request.user): return True # 这里可以添加更多针对不同角色的权限判断逻辑 return False return False - 在视图中应用权限类:
- 在视图类中使用刚刚定义的权限类,例如:
from rest_framework.views import APIView from rest_framework.response import Response from.permissions import RoleBasedPermission class MyAPIView(APIView): permission_classes = [RoleBasedPermission] def get(self, request): return Response({"message": "This is a protected API"}) - 配置URL:
将视图对应的URL配置到项目的
urls.py中,例如:from django.urls import path from.views import MyAPIView urlpatterns = [ path('myapi/', MyAPIView.as_view(), name='myapi'), ]
这样就实现了基于用户角色在Django REST framework中对API接口的权限控制。