摘要:另外一個(gè)字段用于儲(chǔ)存突出顯示的代碼的表示形式�。這將確保認(rèn)證用戶擁有讀寫權(quán)限,而未認(rèn)證用戶只有讀的權(quán)限��。唯一的限制是必須是��。
官網(wǎng)地址
目前���,我們的API沒有對如 edit 或者 delect做出任何限制�。我們希望有一些更加高級(jí)的功能能夠做到:
Code snippets 應(yīng)該永遠(yuǎn)和創(chuàng)建者相關(guān)
只有認(rèn)證的用戶才能夠創(chuàng)建snippets
只有創(chuàng)建者才能更新或者刪除他的snippet
沒有認(rèn)真的用戶應(yīng)該只能讀
向我們的model添加內(nèi)容
我們對我們的code snippets models做一些修改����。首先,我們添加幾個(gè)字段��。其中一個(gè)字段用于表示code snippet的創(chuàng)建者。另外一個(gè)字段用于儲(chǔ)存突出顯示的代碼的HTML表示形式����。
添加下列兩個(gè)字段到 models.py文件中的Snippetmodel。
owner = models.ForeignKey("auth.User",related_name="snippets",on_delete=models.CASADE)
highlighted = models.TextField()
我們也需要確保��,當(dāng)這個(gè)model被保存的時(shí)候�����,我們使用pygments代碼高亮庫來填充我們的highlighted字段�����。
我們需要導(dǎo)入一些東西:
from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight
然后我們需要為我們的Snippetmodel添加.save()方法
def save(self,*args,**kwargs):
"""
使用"pygments"庫來創(chuàng)建高亮HTML代碼的表示
"""
lexer = get_lexer_by_name(self.language)
linenos = self.linenos and "table" or False
options = self.title and {"title": self.title} or {}
formatter = HtmlFormatter(style=self.style, linenos=linenos,
full=True, **options)
self.highlighted = highlight(self.code, lexer, formatter)
super(Snippet, self).save(*args, **kwargs)
當(dāng)所有都昨晚之后�,我們需要更新我們的數(shù)據(jù)庫。通常��,為了實(shí)現(xiàn)這一點(diǎn)���,我們會(huì)創(chuàng)建數(shù)據(jù)遷移文件(migration),但是本教程用于教學(xué)���,所以我們直接刪除數(shù)據(jù)庫并重新創(chuàng)建。
rm -f db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate
你也可以創(chuàng)建幾個(gè)不同的用戶來測試我們的API�����。最快的方式就是使用createsuperuser命令。
python manage.py createsuperuser
為我們的User models 添加終端
現(xiàn)在�����,我們有一些可用的用戶了����。我們最好為我們的API添加用戶代理����。
from django.contrib.auth.models import User
class UserSerializer(serializer.ModelSerializer):
snippets = serializer.PrimaryKeyRelatedField(many=True,queryset=Snippet.objects.all())
class Meta:
model = User
fields = {"id","username","snippets"}
因?yàn)?b>snippets是Usermodels 的反向關(guān)系,在默認(rèn)的ModelSerializerclass中��,并不會(huì)包含這種關(guān)系�,所以我們需要添加一個(gè)明確的字段來表示這個(gè)關(guān)系。
我們還需要添加一些view在views.py文件中�。我們希望我們的用戶表示為只讀視圖。所以我們使用ListAPIView和RetrieveAPIView通用class-based views.
from django.contrib.auth.models import User
from snippets.Serializers import UserSerializer
class UserList(generics.ListAPIView):
queryset = User.objects.all()
serializer_class = UserSerializer
class UserDetail(generics.RetrieveAPIView):
queryset = User.object.all()
serializer_class = UserSerializer
最后�����,我們需要添加我們的視圖到API中�����,添加以下的patterns到urls.py文件中:
url(r"^users/$", views.UserList.as_view()),
url(r"^users/(?P[0-9]+)/$", views.UserDetail.as_view()),
關(guān)聯(lián)User和Snippets
現(xiàn)在,如果我們創(chuàng)建一個(gè)code snippet,我們無法將創(chuàng)建的snippet和創(chuàng)建者關(guān)聯(lián)起來,User數(shù)據(jù)不是作為序列化的一部分發(fā)送的����,而是作為request的一個(gè)屬性.我們處理這個(gè)問題的方法是,在我們的snippet views中重寫.perform_create()方法,這允許我們修改實(shí)例保存的方式,處理任何傳入請求和請求url中的參數(shù)�����。
在SnippetListview class中�����,添加如下方法:
def perform_create(self,serializer):
serializer.save(owner=self.request.user)
我們的create()序列化方法將會(huì)從request中驗(yàn)證通過的數(shù)據(jù)里添加額外的owner字段�����。
更新我們的serializer
現(xiàn)在����,我們的snippet已經(jīng)和他的創(chuàng)建者關(guān)聯(lián)了。讓我們來更新SnippetSerializer來體現(xiàn)這個(gè)關(guān)聯(lián)����。添加以下的字段在我們的serializers.py文件中:
owner = serializers.ReadOnlyField(source="owner.username")
注意:確保你的Meta class的fields中添加了"owner"
這個(gè)字段做了一個(gè)很有趣的事���。這個(gè)source參數(shù)控制哪一個(gè)屬性用于填充字段,并且可以指向這個(gè)序列化實(shí)例上的任何屬性�����,它也可以使用.來訪問屬性下的屬性�����,這類似于django的模板語言.
這個(gè)字段我們也能夠添加ReadOnlyFieldclass,來不同于其他字段����,如CharField,BooleanField等...ReadOnlyField永遠(yuǎn)只能讀����,并且使用序列化表示,但是當(dāng)我們反序列化時(shí)����,不能更新模塊。我們也能夠使用CharField(read_only=True)
為我們的視圖添加必要的權(quán)限
現(xiàn)在�����,我們的code snippets 已經(jīng)和users關(guān)聯(lián),我們希望確保只有認(rèn)證的用戶才能夠創(chuàng)建,更新和刪除code snippets�。
REST framework包含了幾種permission class,我們可以使用這些類來限制哪些人有權(quán)限使用這些view.在這個(gè)案例中��,我們需要的是IsAuthenticateOrReadOnly����。這將確保認(rèn)證用戶擁有讀寫權(quán)限,而未認(rèn)證用戶只有讀的權(quán)限��。
首先��,添加以下的內(nèi)容到views模塊��。
from rest_framework import permissions
然后��,添加以下的屬性到SnippetList和SnippetDetailview classes
permission_classes = (permissions.IsAuthenticatedOrReadOnly,)
在我們的Browsable API中添加登錄
如果你打開瀏覽器并導(dǎo)航到browsable API����,你發(fā)現(xiàn)你沒有登錄,不能夠創(chuàng)建新的code snippets.為了做到這一點(diǎn)��,我們需要用戶能夠登錄���。
我們能夠在我們的browsable API中添加login view�,來編寫我們的項(xiàng)目級(jí)urls.py文件(根urls.py文件)。
添加以下內(nèi)容到文件中:
from django.conf.urls import include
然后���,添加login和logout view在我們的browsable API.
urlpatterns += [
url(r"^api-auth/",include("rest_framework.urls",namespace="rest_framework")),
]
事實(shí)上�,r"^api-auth/"部分���,你可以使用任何你想用的url���。唯一的限制是namespace必須是rest_framework。在django1.9+中���,REST framework將設(shè)置namespace,所以你可以把這個(gè)限制排除在外�。
現(xiàn)在,如果你再一次打開瀏覽器并刷新頁面����,你將會(huì)看到頁面的右上角看到登錄鏈接。
創(chuàng)建了一些code snippets后�,導(dǎo)航到"users/",在每個(gè)user的snippets字段中���,都會(huì)顯示相對應(yīng)的code snippets��。
Object級(jí)別的權(quán)限
我們希望所有用戶都能看到所有code snippets����,但是只有創(chuàng)建者能夠修改或者刪除他的code snippets.
為了實(shí)現(xiàn)這個(gè)功能,我們需要?jiǎng)?chuàng)建一個(gè)自定義的permission.
在snippets app 中����,創(chuàng)建一個(gè)新文件permissions.py:
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
"""
自定義permission 保證只有所有者能夠編寫。
"""
def has_object_permission(self,request,view,obj):
#任何請求都擁有讀權(quán)限
#所以我們永遠(yuǎn)允許GET,HEAD,OPTIONS requests
if request.method in permissions.SAFE_METHODS:
return True
return obj.owner == request.user
現(xiàn)在�����,我們將我們自定義的permission添加到snippetDetailview class中:
permission_classes = (permissions.IsAuthenticateOrReadOnly,IsOwnerOrReadOnly)
API認(rèn)證
因?yàn)槲覀儸F(xiàn)在為我們的API設(shè)置了permission����,如果我們需要寫任何snippets,我們需要認(rèn)證我們的請求���。我們還沒有設(shè)置任何身份認(rèn)證�����,所以默認(rèn)的認(rèn)證是sessionAuthentication和BasucAuthentication.當(dāng)我們通過瀏覽器與API交互時(shí)���,我們可以登錄�,然后瀏覽器的session將會(huì)為我們的請求提供身份認(rèn)證���。如果我們以編程的方式于API進(jìn)行交互����,我們需要在每個(gè)請求上顯式地提供身份驗(yàn)證憑證�。
如果我們嘗試創(chuàng)建一個(gè)snippet,就會(huì)得到一個(gè)錯(cuò)誤:
http POST http://127.0.0.1:8000/snippets/ code="print 123"
{
"detail": "Authentication credentials were not provided."
}
我們可以包含我們的賬戶名密碼來請求創(chuàng)建:
http -a tom:password123 POST http://127.0.0.1:8000/snippets/ code="print 789"
{
"id": 1,
"owner": "tom",
"title": "foo",
"code": "print 789",
"linenos": false,
"language": "python",
"style": "friendly"
}
