[auth] django의 permission

카테고리 없음

[auth] django의 permission

sgaeng 2024. 10. 8. 07:45

DRF의 Permission System의 종류

참고 : https://www.django-rest-framework.org/api-guide/permissions/#api-reference

AllowAny (디폴트 전역 설정)

인증 여부에 상관없이 모든 요청에 대해 뷰 호출 허용
공개 API와 같은 경우에 사용됩니다.

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.permissions import AllowAny

class PublicAPIView(APIView):
    permission_classes = [AllowAny]

    def get(self, request):
        # 공개 API에서 반환할 데이터
        data = {
            "message": "Welcome to the public API!"
        }
        return Response(data)

2. IsAuthenticated

인증된 요청에 한해서 뷰 호출 허용 (로그인이 되어있어야만 접근 허용)
사용자 정보와 같은 개인적인 데이터에 접근할 때 사용

class PrivateAPIView(APIView):
    permission_classes = [IsAuthenticated]

    def get(self, request):
        # 인증된 사용자에게 반환할 개인 정보
        data = {
            "message": "Welcome to the private API!",
            "user": request.user.username
        }
        return Response(data)

3. IsAdminUser

관리자 권한이 있는 사용자만 접근 가능, is_staff 속성이 True인 사용자만 허용
관리 대시보드나 특정 관리 작업에 사용함

4. IsAuthenticatedOrReadOnly

인증된 사용자에게는 모든 권한을 부여하고, 인증되지 않은 사용자에게는 읽기 전용 접근 허용
공개적인 데이터는 읽을 수 있지만, 작성하거나 수정할 수는 없는 경우에 유용

그 외에도 DRF에서 기본적으로 제공하는 것은

DjangoModelPermissons

DjangoModelPermissionsOrAnonReadOnly

DjangoObjectPermissons

도 있지만 사실 위의 3가지는 잘 사용하지 않는다

차라리 BasePermission 를 직접 상속 받아서 커스텀 해서 사용하는 것이 좋다

참고: https://www.django-rest-framework.org/api-guide/permissions/#custom-permissions

permission을 커스텀 하는 방법은 아래와 같다

class AlarmPermission(permissions.BasePermission):
    def has_permission(self, request, view):
        return super().has_permission(request, view)

    def has_object_permission(self, request, view, obj):
        return super().has_object_permission(request, view, obj)

위와 같은 형태가 기본이다.

여기에서 내가 원하는대로 유효성 검증해주면 된다.

True이면 해당 API 접근이 허용

False이면 접근 불가 이다.

has_permission() 과 has_object_permission() 의 차이점

POST (생성): has_permission만 호출.
PUT/PATCH (수정): has_permission과 has_object_permission 모두 호출.
DELETE (삭제): has_permission과 has_object_permission 모두 호출.

class Permission(permissions.BasePermission):
    def has_permission(self, request, view):
				return super().has_permission(request, view)

    def has_object_permission(self, request, view, obj):
        return super().has_object_permission(request, view, obj)

has_permission()

end-point에서: {id}를 받지 않는 메서드
- LIST GET
- POST
- 예외) detail GET

has_object_permission()

end-point에서: {id}를 받는 메서드
- PUT / PATCH
- DELETE