DjangoModelPermissions()：在DjangoREST框架中实现模型级别的访问控制

在Django REST框架中，使用DjangoModelPermissions类可以实现模型级别的访问控制。该类是Django REST框架提供的默认权限类之一，它通过与Django模型实例的权限关联来控制对模型的访问。它可以用于控制对单个模型或多个模型的访问权限。

使用DjangoModelPermissions类前，首先需要将其配置为Django REST框架的默认权限类。在settings.py文件中，找到REST_FRAMEWORK设置，并将'DEFAULT_PERMISSION_CLASSES'中的默认权限类设置为'DjangoModelPermissions'，如下所示：

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.DjangoModelPermissions',
    ],
    ...
}

接下来，我们可以将DjangoModelPermissions类应用于视图或视图集。在视图中使用该权限类，可以通过设置'permission_classes'属性来指定使用的权限类。例如，我们有一个名为'BookViewSet'的视图集，用于管理图书模型的资源：

from rest_framework import viewsets, permissions
from .models import Book
from .serializers import BookSerializer

class BookViewSet(viewsets.ModelViewSet):
    queryset = Book.objects.all()
    serializer_class = BookSerializer
    permission_classes = [permissions.DjangoModelPermissions]

在上述示例中，我们将DjangoModelPermissions类应用于'BookViewSet'视图集。这意味着只有具有相应权限的用户才能访问该视图集中的图书模型资源。

DjangoModelPermissions类将会自动检查当前用户的权限，并根据其设置，返回相应的结果。该类通过验证用户是否具有读取（GET）、创建（POST）、更新（PUT、PATCH）和删除（DELETE）模型实例的权限来控制访问。

例如，如果一个用户尝试访问上述视图集并执行GET请求，DjangoModelPermissions类会检查用户是否具有读取图书模型实例的权限。如果用户具有读取权限，请求将被允许继续执行。否则，将返回一个403禁止访问的响应。

此外，DjangoModelPermissions类还可以与其他权限类结合使用，以实现更复杂的访问控制。例如，可以将DjangoModelPermissions类与IsAuthenticatedOrReadOnly权限类结合使用，以允许未经身份验证的用户只读访问资源。

from rest_framework.permissions import IsAuthenticatedOrReadOnly

class BookViewSet(viewsets.ModelViewSet):
    queryset = Book.objects.all()
    serializer_class = BookSerializer
    permission_classes = [permissions.DjangoModelPermissions, IsAuthenticatedOrReadOnly]

在上述示例中，如果一个未经身份验证的用户尝试进行写操作（POST、PUT、PATCH或DELETE请求），DjangoModelPermissions类将检查用户是否具有相应的模型实例权限。由于用户未经身份验证，因此他们将只允许进行只读操作（GET请求），而不允许写操作。

总结来说，DjangoModelPermissions类提供了一种方便的方式来实现模型级别的访问控制。它通过验证用户是否具有相应的许可权限来控制对模型实例的访问，并与其他权限类结合使用实现更复杂的访问控制需求。