Как работает система permissions в DRF?

1️⃣ Как кратко ответить

В Django REST Framework (DRF) система permissions управляет доступом пользователей к API-эндпоинтам. Она позволяет определить, какие пользователи могут выполнять определенные действия, такие как чтение, создание, обновление или удаление данных. Permissions в DRF реализуются через классы, которые проверяют условия доступа и возвращают True или False. DRF предоставляет встроенные классы permissions, такие как IsAuthenticated и IsAdminUser, а также позволяет создавать кастомные permissions для более сложных сценариев.

2️⃣ Подробное объяснение темы

Система permissions в Django REST Framework (DRF) — это механизм, который контролирует, какие пользователи могут взаимодействовать с вашими API-эндпоинтами и каким образом. Это важная часть безопасности вашего приложения, так как она позволяет ограничить доступ к данным и операциям на основе ролей пользователей или других условий.

Зачем это нужно?

Представьте, что у вас есть API для управления блогом. Вы хотите, чтобы только авторизованные пользователи могли создавать новые посты, а только администраторы могли удалять их. Система permissions позволяет вам легко настроить такие правила доступа.

Как это работает?

В DRF permissions определяются на уровне представлений (views). Каждый раз, когда пользователь делает запрос к API, DRF проверяет, имеет ли пользователь необходимые права доступа для выполнения запрашиваемого действия. Это делается с помощью классов permissions, которые возвращают True или False в зависимости от того, разрешено ли действие.

Встроенные permissions

DRF предоставляет несколько встроенных классов permissions, которые покрывают основные сценарии:

• AllowAny: Разрешает доступ всем пользователям, независимо от их статуса аутентификации.
• IsAuthenticated: Разрешает доступ только аутентифицированным пользователям.
• IsAdminUser: Разрешает доступ только администраторам.
• IsAuthenticatedOrReadOnly: Разрешает доступ к чтению всем пользователям, но только аутентифицированные пользователи могут изменять данные.

Пример использования

Вот пример, как можно использовать permissions в DRF:

from rest_framework.permissions import IsAuthenticated
from rest_framework.views import APIView
from rest_framework.response import Response
​
class MyView(APIView):
    permission_classes = [IsAuthenticated]
​
    def get(self, request):
        return Response({"message": "Hello, authenticated user!"})

В этом примере MyView будет доступен только аутентифицированным пользователям. Если неаутентифицированный пользователь попытается получить доступ к этому эндпоинту, он получит ответ с ошибкой 403 Forbidden.

Кастомные permissions

Иногда встроенных permissions недостаточно, и вам нужно создать свои собственные. Это делается путем создания класса, который наследуется от BasePermission и переопределяет метод has_permission.

Пример кастомного permission, который разрешает доступ только пользователям с определенным email-доменом:

from rest_framework.permissions import BasePermission
​
class IsEmailDomainAllowed(BasePermission):
    def has_permission(self, request, view):
        return request.user.is_authenticated and request.user.email.endswith('@example.com')

Этот permission можно использовать так же, как и встроенные:

class MyCustomView(APIView):
    permission_classes = [IsEmailDomainAllowed]
​
    def get(self, request):
        return Response({"message": "Hello, example.com user!"})

Где применяется?

Система permissions в DRF применяется везде, где необходимо контролировать доступ к API-эндпоинтам. Это может быть полезно в различных приложениях, от простых блогов до сложных корпоративных систем, где требуется гибкое управление доступом на основе ролей и других условий.