使用DjangoModelPermissions()来保护你的DjangoREST框架API

Django REST Framework（简称DRF）是一个用于创建Web APIs的强大框架。它提供了许多强大的功能，包括身份验证，授权和访问控制等。在DRF中，可以使用Django的内置权限系统来保护API的访问。

Django的内置权限系统提供了三种不同的权限级别，分别是无权限（Any）、只读权限（Read）和完全权限（Write）。这些权限级别与HTTP方法（GET、POST、PUT、DELETE等）相关联，并用于控制用户对API的访问。

为了使用Django的Model级别权限保护API，首先需要在settings.py文件中设置'DEFAULT_PERMISSION_CLASSES'。将权限类设置为'django.rest_framework.permissions.DjangoModelPermissions'，如下所示：

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.DjangoModelPermissions'
    ],
    ...
}

在上述代码中，我们将'DEFAULT_PERMISSION_CLASSES'设置为'DjangoModelPermissions'，这意味着API视图将使用模型级别的权限来保护。

接下来，我们需要为每个API视图指定需求的权限级别。可以使用装饰器@permission_classes或permission_classes属性来指定。例如：

from rest_framework.decorators import permission_classes
from rest_framework.permissions import IsAuthenticated, IsAdminUser
from rest_framework.views import APIView

@permission_classes([IsAuthenticated])
class ExampleView(APIView):
    ...

在上述例子中，我们使用permission_classes装饰器将IsAuthenticated权限类应用于ExampleView视图。这意味着只有已经通过身份验证的用户才能访问该视图。

除了IsAuthenticated外，Django REST Framework还提供了其他一些内置的权限类，例如IsAdminUser、IsAuthenticatedOrReadOnly和AllowAny等。

此外，我们还可以使用permission_classes属性来指定一组权限类。例如：

class ExampleView(APIView):
    permission_classes = [IsAuthenticated, IsAdminUser]
    ...

在上述例子中，我们将IsAuthenticated和IsAdminUser权限类应用于ExampleView视图。这意味着只有已经通过身份验证且是管理员用户才能访问该视图。

总结起来，使用Django的Model级别权限可以很容易地保护你的Django REST Framework API。首先，在settings.py文件中设置'DEFAULT_PERMISSION_CLASSES'为'DjangoModelPermissions'。然后，在每个API视图中使用@permission_classes装饰器或permission_classes属性指定所需的权限级别。这样就能确保只有具有正确权限的用户才能访问API。