DjangoModelPermissions()：保护你的DjangoREST框架API免受未经授权的访问

DjangoREST框架是一个强大的工具，用于开发Web API。然而，保护API免受未经授权的访问是非常重要的。Django提供了多种权限类来确保只有授权的用户能够访问API视图或执行特定操作。

其中之一是DjangoModelPermissions，它基于对象级别的权限控制。这意味着它允许你对每个模型进行权限设置，从而控制哪些用户能够执行特定的操作，如查看、创建、更新或删除对象。

要使用DjangoModelPermissions，首先需要在settings.py文件中启用它。在INSTALLED_APPS中添加'rest_framework.authtoken'，并在REST_FRAMEWORK中的DEFAULT_PERMISSION_CLASSES中添加'django.contrib.auth.models.Permission'。然后，将以下代码添加到您的视图集中：

from rest_framework.permissions import DjangoModelPermissions

class MyViewSet(viewsets.ModelViewSet):
    permission_classes = [DjangoModelPermissions]
    queryset = MyModel.objects.all()
    serializer_class = MySerializer

在上面的代码中，我们将DjangoModelPermissions添加到permissions_classes列表中。这将启用基于模型的权限控制。

现在，我们需要定义模型级别的权限。在Django中，可以在模型的Meta类中定义权限。

class MyModel(models.Model):
    # fields
    
    class Meta:
        permissions = [
            ("view_mymodel", "Can view MyModel"),
            ("add_mymodel", "Can add MyModel"),
            ("change_mymodel", "Can change MyModel"),
            ("delete_mymodel", "Can delete MyModel"),
        ]

在上面的代码中，我们为MyModel定义了四个不同的权限级别。这些权限级别分别是view_mymodel、add_mymodel、change_mymodel和delete_mymodel。你可以按照你自己的需求定义权限级别的名称。

一旦我们定义了模型级别的权限，DjangoModelPermissions将根据当前用户的权限决定操作是否被允许。例如，如果一个用户没有添加权限，他们将无法使用POST请求创建新的MyModel对象。

请注意，在使用DjangoModelPermissions之前，必须为每个用户分配适当的权限。这可以在Django的管理员界面中完成，或者通过使用Django的auth模块中的组和权限模型来完成。

总结一下，DjangoModelPermissions是DjangoREST框架中用于保护API免受未经授权的访问的一个重要权限类。它基于对象级别的权限控制，允许你对每个模型设置特定的权限。通过结合模型级别的权限和DjangoModelPermissions，你可以轻松地控制哪些用户可以执行特定的操作，以增强你的API的安全性。