Django REST Framework-权限

Django REST Framework（DRF）为开发人员提供了一种灵活的权限系统，该系统可让您轻松地在API中管理和保护敏感数据。权限系统基于“允许访问的用户”和“访问用户的操作”进行配置，使您可以完全控制API的访问级别。

在DRF中，权限是通过Permission类实现的，Permission类是一个抽象类，定义了几种方法来控制API的访问权限。Permission类还提供了几种默认的权限类型，包括：AllowAny，IsAuthenticated，IsAdminUser，和IsAuthenticatedOrReadOnly。

1. AllowAny AllowAny是默认的权限类，不需要任何认证即可访问API视图。该权限非常适合用于公共API，如新闻或博客文章的阅读视图。
2. IsAuthenticated IsAuthenticated是指要求用户已通过身份验证才能访问API视图。如果用户未经过身份验证，则DRF将返回一个HTTP 401 Unauthorized响应。该权限非常适合用于需要对数据进行更改或创建的视图。
3. IsAdminUser IsAdminUser是指只有超级用户才能访问API视图。如果用户不是超级用户，则DRF将返回一个HTTP 403 Forbidden响应。该权限非常适合用于管理API，例如用户管理或其他管理任务。
4. IsAuthenticatedOrReadOnly IsAuthenticatedOrReadOnly是指只有已经通过身份验证的用户可以创建、更新或删除数据。如果用户未经过身份验证，则只允许读取数据。这是一种比较常见的权限类型，适用于需要保护数据但允许读取的情况。

除了以上这些默认的权限类型，DRF还提供了一些自定义权限类，使您可以更好地控制API的访问级别。这些自定义权限类需要继承Permission类，并根据需要覆盖其中的方法。

下面是一个简单的示例，演示如何使用DRF中的权限系统：

from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response
from rest_framework.views import APIView

class MyView(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request, format=None):
        content = {
            'user': str(request.user),  # 由身份验证提供的用户
            'auth': str(request.auth),  # 由身份验证提供的凭据
        }
        return Response(content)

在上面的示例中，我们使用了IsAuthenticated权限，这意味着只有通过身份验证的用户才能访问MyView视图。如果未通过身份验证，DRF将返回一个HTTP 401 Unauthorized响应。在get方法中，我们还演示了如何使用request对象获取已通过身份验证的用户和凭据。