rest_framework.decorators在Python中实现API权限控制

在Django Rest Framework中，可以使用@api_view装饰器和permission_classes属性来实现API权限控制。 @api_view装饰器用于将视图函数转换为APIView类的实例，并执行一些预处理操作，如请求解析和响应渲染。permission_classes属性用于指定哪些权限类应用于视图。

以下是一个简单的API权限控制的例子：

from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response

@api_view(['GET'])
@permission_classes([IsAuthenticated])
def protected_api(request):
    user = request.user
    data = {'message': f'Access allowed for {user.username}'}
    return Response(data)

在上述示例中，@api_view(['GET'])装饰器将视图函数protected_api转换为APIView类的实例，并将HTTP请求限制为GET方法。

@permission_classes([IsAuthenticated])装饰器指定仅允许已经通过身份验证的用户访问该API。IsAuthenticated是Django Rest Framework提供的一个内置权限类，用于验证用户是否通过身份验证。

在视图函数中，通过request.user可以获得当前请求的用户对象。在此示例中，通过向返回的响应添加一个消息来指示用户是否有权访问该API。

对于未通过身份验证的用户，当向该API发送请求时，将会收到一个HTTP 401 Unauthorized的响应。

此外，Django Rest Framework还提供了其他一些内置的权限类，如IsAdminUser（仅允许管理员访问）和AllowAny（允许任何用户访问）等。

下面是一个使用IsAdminUser权限类实现的例子：

from rest_framework.decorators import api_view, permission_classes
from rest_framework.permissions import IsAdminUser
from rest_framework.response import Response

@api_view(['POST'])
@permission_classes([IsAdminUser])
def create_user(request):
    data = {'message': 'Only admins can create users'}
    return Response(data)

在上述示例中，仅当通过身份验证的用户具有管理员权限时，才允许访问create_user API。对于非管理员用户来说，当向该API发送请求时，将会收到一个HTTP 403 Forbidden的响应。

使用@api_view装饰器和permission_classes属性，可以灵活地在Django Rest Framework中实现API权限控制，以满足不同的需求。