Django rest framework权限(一)：理论部分
- 自定义权限

Django rest framework权限(一)：理论部分

AllowAny> 此权限将允许用户的任何访问，与没有设置的效果一样。

IsAuthenticated> 如果你使用的是django.contrib.auth.models.User，或扩展自该类，那么这个还是很适合使用的。在views中使用auth.authenticate(username=username,password=password)就可以进行授权了。

IsAdminUser> 如果user.is_staff == True，那么用户的操作就会被允许，否则被拒绝。所以这个能够做到特定用户的访问权限控制。当然，也要使用django.contrib.auth.models.User类才行。

IsAuthenticatedOrReadOnly> 如果已经授权，或只是执行只读操作，那么将会被允许。

只读操作包括：GET,HEAD,OPTIONS

DjangoModelPermissions
DjangoModelPermissionsOrAnonReadOnly
DjangoObjectPermissions

自定义权限

自定义权限类可以继承自上面的所有的类，但是最好还是继承自BasePermission,重写两个方法：

has_permission(self, request, view)：

这个是views范围的权限

has_object_permission(self, request, view, obj)：

这个是对象范围的权限，通常用于验证对象是否属于提交的用户

例如下面的例子：

from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
    def has_permission(self, request, view):
        if request.method in permissions.SAFE_METHODS:
            return True
        return request.session.get('user_id') is not None
def has_object_permission(self, request, view, obj):
    # Read permissions are allowed to any request,
    # so we'll always allow GET, HEAD or OPTIONS requests.
    if request.method in permissions.SAFE_METHODS:
        return True
    return obj.owner.id == request.session.get('user_id')

在用户提交博客的时候，上面的has_permission方法就会起作用，如果没有登录，那么会返回False，拒绝提交。

而has_object_permission在用户修改，删除博客的时候会起作用，如果修改的博客不属于该用户，那么会被拒绝。