用户收藏属于用户操作的功能,所以我们将在user_operation中进行操作
(1)新建一个配套的Serializers.py(对UserFav进行序列化操作)
#user_operation/serializers.py
from rest_framework import serializers
from .models import UserFav
from rest_framework.validators import UniqueTogetherValidator
class UserFavSerializers(serializers.ModelSerializer):
# 获取当前登录的用户
user = serializers.HiddenField(
default=serializers.CurrentUserDefault()
)
class Meta:
model = UserFav
# validate实现唯一联合,一个商品只能收藏一次
validators = [
UniqueTogetherValidator(
queryset=UserFav.objects.all(),
fields=('user', 'goods'),
# message的信息可以自定义
message = "已经收藏"
)
]
# 收藏的时候需要返回商品的id,因为取消收藏的时候必须知道商品的id是多少
fields = ('user','goods','id')
(2)收藏的接口既要继承viewset,添加收藏create,删除收藏destroy,收藏列表list
#user_operation/views.py
from rest_framework import mixins,viewsets
from .models import UserFav
from .serializers import UserFavSerializers
from rest_framework.permissions import IsAuthenticated
class UserFavViewSet(mixins.CreateModelMixin,mixins.ListModelMixin,mixins.DestroyModelMixin, viewsets.GenericViewSet):
"""
用户收藏
"""
queryset = UserFav.objects.all()
permission_classes = (IsAuthenticated,)
serializer_class = UserFavSerializers
(3)配置用户收藏的URL
#urls.py
router.register(r'userfavs', UserFavViewSet, base_name="userfavs")
(4)访问地址:http://127.0.0.1:8000/userfavs/
未登录截图
登陆收藏三个商品,查看已收藏列表截图
重复收藏提示“已经收藏”
(5)drf的权限认证
这样看起来已经完成了用户添加、删除收藏的功能。但还需要保证用户只能删除自己的收藏。
“auth” 和 “permission”是两种东西。auth是用来做用户验证的,permission是用来做权限判断的。
AllowAny 将允许不受限制的访问
IsAuthenticated 将允许登陆用户进行访问
IsAdminUser 将允许管理员进行访问(user.is_staff是True)
IsAuthenticatedOrReadOnly将允许匿名用户具有读取权限,身份验证的用户具有写入权限
首先,判断是否登陆(在#user_operation/views.py已体现)
from rest_framework.permissions import IsAuthenticated
permission_classes = (IsAuthenticated,)
其次,判断是否IsOwnerOrReadOnly
django rest framwork官网已给出例子
class IsOwnerOrReadOnly(permissions.BasePermission):
"""
Object-level permission to only allow owners of an object to edit it.
对象级别权限只允许对象的所有者进行编辑
Assumes the model instance has an `owner` attribute.
假设模型实例有一个“owner”属性。
"""
def has_object_permission(self, request, view, obj):
# Read permissions are allowed to any request,
#对任何请求都允许读取权限
# so we'll always allow GET, HEAD or OPTIONS requests.
#所以我们总是允许GET, HEAD or OPTIONS请求。
if request.method in permissions.SAFE_METHODS:
return True
# Instance must have an attribute named `owner`.
#实例必须有一个名为“owner”的属性。
return obj.owner == request.user
在utils中新建permissions,然后粘贴上面的IsOwnerOrReadOnly,并将“owner”改成“user”,这是我们自定义的permissions。
# utils/permissions.py
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
"""
Object-level permission to only allow owners of an object to edit it.
Assumes the model instance has an `owner` attribute.
"""
def has_object_permission(self, request, view, obj):
# Read permissions are allowed to any request,
# so we'll always allow GET, HEAD or OPTIONS requests.
if request.method in permissions.SAFE_METHODS:
return True
# Instance must have an attribute named `owner`.
#obj相当于数据库中的model,这里要把owner改为我们数据库中的user
return obj.user == request.user
自定义的permission类IsOwnerOrReadOnly继承了我们的BasePermission。
方法has_object_permission,是否有对象权限。会检测我们从数据库中拿出来的obj的user是否等于request.user
views中添加该自定义的权限认证类
permission_classes = (IsAuthenticated,IsOwnerOrReadOnly)
这样在做删除的时候就会验证权限。
重载get_queryset方法
只能查看当前登录用户的收藏,不会获取所有用户的收藏。因此我们要重载get_queryset方法
def get_queryset(self):
#只能查看当前登录用户的收藏,不会获取所有用户的收藏
return UserFav.objects.filter(user=self.request.user)
token认证配置到view中
使用其他工具时(postman)输入用户名密码也可以进行登录,是因为我们配置了多种auth类。
token的认证一般配置到view中,而不是配置到全局中。
前端的每一个request请求都加入我们的token的话,token过期了,当用户访问goods列表页等不需要token认证的页面也会拿不到数据。
将setting中的 'rest_framework_jwt.authentication.JSONWebTokenAuthentication',删除掉。
然后在具体的view中来import以及进行配置
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
authentication_classes = (JSONWebTokenAuthentication, )
此时在我们的api控制台以及无法使用登录进入userfav了,是因为我们的类内auth并不包含session auth
from rest_framework.authentication import SessionAuthentication
#auth使用来做用户认证的
authentication_classes = (JSONWebTokenAuthentication,SessionAuthentication)
user_operaton/views.py中的代码
# user_operaton/views.py
from rest_framework import viewsets
from rest_framework import mixins
from .models import UserFav
from .serializers import UserFavSerializer
from rest_framework.permissions import IsAuthenticated
from utils.permissions import IsOwnerOrReadOnly
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework.authentication import SessionAuthentication
class UserFavViewset(viewsets.GenericViewSet, mixins.ListModelMixin, mixins.CreateModelMixin, mixins.DestroyModelMixin):
'''
用户收藏
'''
serializer_class = UserFavSerializer
#permission是用来做权限判断的
# IsAuthenticated:必须登录用户;IsOwnerOrReadOnly:必须是当前登录的用户
permission_classes = (IsAuthenticated,IsOwnerOrReadOnly)
#auth使用来做用户认证的
authentication_classes = (JSONWebTokenAuthentication,SessionAuthentication)
#搜索的字段
lookup_field = 'goods_id'
def get_queryset(self):
#只能查看当前登录用户的收藏,不会获取所有用户的收藏
return UserFav.objects.filter(user=self.request.user)
说明:
<1>只有登录用户才可以收藏
<2>用户只能获取自己的收藏,不能获取所有用户的收藏
<3>JSONWebTokenAuthentication认证不应该全局配置,因为用户获取商品信息或者其它页面的时候并不需要此认证,所以这个认证只要局部中添加就可以
<4>删除settings中的
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
(5)API参考
GenericAPIView
此类扩展了REST框架的APIView类,为标准列表和详细信息视图添加了常用的行为。
提供的每个具体通用视图是通过GenericAPIView与一个或多个mixin类组合而构建的。
属性
基本设置:
以下属性控制基本视图行为。
-
queryset- 应该用于从此视图返回对象的查询集。通常,您必须设置此属性,或覆盖该get_queryset()方法。如果要覆盖视图方法,则必须调用get_queryset()而不是直接访问此属性,因为queryset将进行一次评估,并且将为所有后续请求缓存这些结果。 -
serializer_class- 应该用于验证和反序列化输入以及序列化输出的序列化程序类。通常,您必须设置此属性,或覆盖该get_serializer_class()方法。 -
lookup_field- 应用于执行单个模型实例的对象查找的模型字段。默认为'pk'。请注意,使用超链接的API时,您需要确保双方的API意见和串行类设置查找字段,如果你需要使用一个自定义值。 -
lookup_url_kwarg- 应该用于对象查找的URL关键字参数。URL conf应包含与此值对应的关键字参数。如果未设置,则默认使用相同的值lookup_field。
分页:
与列表视图一起使用时,以下属性用于控制分页。
-
pagination_class- 分页列表结果时应使用的分页类。默认为与DEFAULT_PAGINATION_CLASS设置相同的值,即'rest_framework.pagination.PageNumberPagination'。设置pagination_class=None将禁用此视图上的分页。
过滤:
-
filter_backends- 应该用于过滤查询集的过滤器后端类列表。默认值与DEFAULT_FILTER_BACKENDS设置相同。
方法
基本方法:
get_queryset(self)
返回应该用于列表视图的查询集,该查询集应该用作详细视图中查找的基础。默认返回queryset属性指定的查询集。
应始终使用此方法而不是self.queryset直接访问,因为self.queryset只进行一次评估,并为所有后续请求缓存这些结果。
可以重写以提供动态行为,例如返回查询集,该查询集特定于发出请求的用户。
例如:
def get_queryset(self):
user = self.request.user
return user.accounts.all()
get_object(self)
返回应该用于详细视图的对象实例。默认使用lookup_field参数来过滤基本查询集。
可以重写以提供更复杂的行为,例如基于多个URL kwarg的对象查找。
例如:
def get_object(self):
queryset = self.get_queryset()
filter = {}
for field in self.multiple_lookup_fields:
filter[field] = self.kwargs[field]
obj = get_object_or_404(queryset, **filter)
self.check_object_permissions(self.request, obj)
return obj
请注意,如果您的API不包含任何对象级别权限,您可以选择性地排除self.check_object_permissions,并简单地从get_object_or_404查找中返回该对象。
filter_queryset(self, queryset)
给定一个查询集,使用正在使用的任何过滤后端过滤它,返回一个新的查询集。
例如:
def filter_queryset(self, queryset):
filter_backends = (CategoryFilter,)
if 'geo_route' in self.request.query_params:
filter_backends = (GeoRouteFilter, CategoryFilter)
elif 'geo_point' in self.request.query_params:
filter_backends = (GeoPointFilter, CategoryFilter)
for backend in list(filter_backends):
queryset = backend().filter_queryset(self.request, queryset, view=self)
return queryset
get_serializer_class(self)
返回应该用于序列化程序的类。默认返回serializer_class属性。
可以重写以提供动态行为,例如使用不同的序列化程序进行读写操作,或者为不同类型的用户提供不同的序列化程序。
例如:
def get_serializer_class(self):
if self.request.user.is_staff:
return FullAccountSerializer
return BasicAccountSerializer
保存和删除挂钩:
mixin类提供了以下方法,并提供了对象保存或删除行为的轻松覆盖。
-
perform_create(self, serializer)-CreateModelMixin保存新对象实例时调用。 -
perform_update(self, serializer)-UpdateModelMixin保存现有对象实例时调用。 -
perform_destroy(self, instance)-DestroyModelMixin删除对象实例时调用。
这些挂钩对于设置请求中隐含的属性特别有用,但不是请求数据的一部分。例如,您可以根据请求用户或基于URL关键字参数在对象上设置属性。
def perform_create(self, serializer):
serializer.save(user=self.request.user)
这些覆盖点对于添加在保存对象之前或之后发生的行为(例如通过电子邮件发送确认或记录更新)也特别有用。
def perform_update(self, serializer):
instance = serializer.save()
send_email_confirmation(user=self.request.user, modified=instance)
你也可以使用这些钩子来提供额外的验证,通过提高ValidationError()。如果您需要在数据库保存点应用某些验证逻辑,这可能很有用。例如:
def perform_create(self, serializer):
queryset = SignupRequest.objects.filter(user=self.request.user)
if queryset.exists():
raise ValidationError('You have already signed up')
serializer.save(user=self.request.user)
注意:这些方法取代旧式的2.x版pre_save,post_save,pre_delete和post_delete方法,这将不再可用。
其他方法:
您通常不需要覆盖以下方法,但如果您正在使用编写自定义视图,则可能需要调用它们GenericAPIView。
-
get_serializer_context(self)- 返回包含应提供给序列化程序的任何额外上下文的字典。默认为包括'request','view'和'format'钥匙。 -
get_serializer(self, instance=None, data=None, many=False, partial=False)- 返回一个序列化程序实例。 -
get_paginated_response(self, data)- 返回分页样式Response对象。 -
paginate_queryset(self, queryset)- 如果需要,可以分页查询集,返回页面对象,或者None如果没有为此视图配置分页。 -
filter_queryset(self, queryset)- 给定一个查询集,使用正在使用的过滤后端进行过滤,返回一个新的查询集。
