使用DjangoModelPermissions()限制对DjangoREST框架API的访问权限

DjangoModelPermissions()是Django REST framework中内置的一个访问权限类，它提供了基于模型的对象级别的权限控制。使用这个权限类可以轻松地限制用户对API的访问权限。

以下是一个使用DjangoModelPermissions()的例子：

首先，假设我们有一个名为Blog的模型，它用于存储博客的文章。我们想要限制用户只能对博客进行查看和编辑操作。

1. 在你的项目的settings.py文件中，添加以下设置：

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',
        'rest_framework.permissions.DjangoModelPermissions'
    ],
}

这里我们将IsAuthenticated（用户必须经过身份验证）和DjangoModelPermissions添加到了DEFAULT_PERMISSION_CLASSES设置中。

2. 在你的项目的urls.py文件中，配置API路由：

from django.urls import include, path
from rest_framework import routers
from blog.views import BlogViewSet

router = routers.DefaultRouter()
router.register(r'blogs', BlogViewSet)

urlpatterns = [
    path('', include(router.urls)),
]

这里我们使用了Django REST framework的routers模块来自动生成博客API的URLs，并将其包含到项目的URL配置中。

3. 在你的项目中的views.py文件中，创建BlogViewSet视图类：

from rest_framework import viewsets
from rest_framework.permissions import DjangoModelPermissions
from blog.models import Blog
from blog.serializers import BlogSerializer

class BlogViewSet(viewsets.ModelViewSet):
    queryset = Blog.objects.all()
    serializer_class = BlogSerializer
    permission_classes = [DjangoModelPermissions]

在这个视图类中，我们设置了queryset为所有的博客对象，并指定serializer_class为一个用于序列化和反序列化博客对象的序列化器。然后，我们将permission_classes设置为[DjangoModelPermissions]来启用基于模型的对象级别访问权限。

现在，当用户访问/blogs API时，他们将需要进行身份验证，否则将会收到401 Unauthorized的响应。一旦用户被验证，他们将只能对具有适当的权限的博客对象进行查看和编辑操作。

通过上述设置，我们可以限制用户只能对博客进行查看和编辑操作。如果用户没有具备相应的权限，他们将收到403 Forbidden的响应。

总结：

- DjangoModelPermissions()是Django REST framework中内置的一个访问权限类，用于基于模型的对象级别的权限控制。

- 在settings.py中配置DEFAULT_PERMISSION_CLASSES来启用DjangoModelPermissions，同时可以加上其他的权限类。

- 在视图类中将permission_classes设置为[DjangoModelPermissions]，来应用模型级别的权限控制。

- DjangoModelPermissions将根据模型的权限来控制用户对API的访问权限。

希望这个例子能帮助你理解如何使用DjangoModelPermissions()来限制对Django REST framework API的访问权限。