使用DjangoModelPermissions()实现基于模型的权限验证

Django提供了很多权限验证方法，其中一种是基于模型的权限验证。这种验证方法可以确保只有拥有特定权限的用户才能执行特定的操作。

使用DjangoModelPermissions()类可以轻松地实现基于模型的权限验证。该类继承自Django REST framework的BasePermission类，并结合Django的权限系统来确定用户是否具有执行特定操作的权限。

下面是一个使用DjangoModelPermissions()类的示例：

首先，需要在settings.py文件中进行一些配置。在INSTALLED_APPS中添加'django.contrib.auth'和'rest_framework.authtoken'：

INSTALLED_APPS = [
    ...
    'django.contrib.auth',
    'rest_framework.authtoken',
    ...
]

然后，在settings.py中设置AUTHENTICATION_BACKENDS并为DEFAULT_PERMISSION_CLASSES指定权限类：

AUTHENTICATION_BACKENDS = [
    'django.contrib.auth.backends.ModelBackend',
]

接下来，在views.py文件中定义一个视图类，该类继承自rest_framework的generics类：

from rest_framework import generics, permissions
from .models import MyModel
from .serializers import MyModelSerializer

class MyModelView(generics.ListCreateAPIView):
    queryset = MyModel.objects.all()
    serializer_class = MyModelSerializer
    permission_classes = [permissions.DjangoModelPermissions]

在上面的示例中，我们使用了generics.ListCreateAPIView来处理GET和POST请求，您可以根据实际需求选择其他视图类。

在serializers.py中，定义用于序列化和反序列化的序列化器类：

from rest_framework import serializers
from .models import MyModel

class MyModelSerializer(serializers.ModelSerializer):
    class Meta:
        model = MyModel
        fields = '__all__'

在上面的示例中，我们使用了ModelSerializer类，您可以根据实际需求选择其他序列化器类。

现在，我们已经定义了一个基于模型的视图和序列化器。然后，我们可以使用以下命令来启动服务器：

python manage.py runserver

现在，我们可以使用curl命令或其他HTTP客户端来测试API。

首先，我们需要获取访问令牌：

curl -X POST -d "username=admin&password=123456" http://localhost:8000/api-token-auth/

上面的命令将返回一个JSON响应，其中包含一个访问令牌。在后续的请求中，我们需要使用该令牌来验证身份。

接下来，我们可以尝试通过GET方法获取MyModel的实例列表：

curl -H "Authorization: Token <your_access_token>" http://localhost:8000/mymodel/

您需要替换<your_access_token>为实际的访问令牌。

如果您指定的用户具有查看MyModel实例的权限，该请求将返回一个包含该模型实例的JSON响应。

除了GET请求外，您还可以尝试通过POST、PUT或DELETE方法创建、更新或删除MyModel实例。但前提是指定的用户具有相应的权限。

通过使用DjangoModelPermissions()类，您可以轻松地实现基于模型的权限验证，并确保只有具有特定权限的用户才能执行特定操作。