drf内容简介
1. drf 入门规范
2. 序列化组件----(最重要)
3. 请求与响应
4. 视图组件----(重要)
5. 路由组件
6. 认证、权限、频率----(重要)
7. 过滤、排序、分页、全局异常处理
8. 接口文档
9. jwt认证
10. 权限:ACL、RBAC
drf入门规范
前后端开发模式
前后端混合开发模式:
前后端分离开发模式:后端只负责写接口(5个接口)
API接口
四大特点:
请求地址(url):长得像返回数据的URL链接
请求方式:get、post、put、patch、delete
请求参数:地址的参数、请求体中的参数
响应结果:返回数据
写了接口给谁用?前端(Web、app),提供给第三方调用
接口测试工具----postman
发送http请求工具
get请求可以在请求体中携带数据
get请求和post请求有什么区别?
1. 数据传递方式:
- GET请求:用于从服务器获取数据,将参数附加在URL的查询字符串中。这些参数通常以键值对的形式出现,例如:`http://example.com/resource?param1=value1¶m2=value2`。GET请求的数据通常可见,因为它们附加在URL上,而且有长度限制。
- POST请求:用于向服务器提交数据,将数据包含在请求体中。这意味着数据不会显示在URL中,而是以更隐私的方式传递给服务器。POST请求没有固定的数据长度限制。
2. 数据安全性:
- GET请求:因为数据附加在URL中,所以不适合传递敏感信息,因为这些数据容易被拦截或暴露在日志文件中。GET请求更适合用于无副作用的请求,如搜索查询。
- POST请求:由于数据在请求体中,相对较安全,适合传递敏感信息,如登录凭据或表单数据。但仍然需要使用HTTPS协议来保护数据的传输过程。
3. 数据缓存:
- GET请求:可以被缓存,因为它们通常用于获取不会频繁更改的数据,如静态资源(图片、CSS、JavaScript等)。
- POST请求:通常不会被缓存,因为它们可能会引发服务器上的副作用,如数据库写入或状态更改。
4. 数据量:
- GET请求:由于数据附加在URL中,受到URL长度的限制,通常用于传递较小的数据。
- POST请求:由于数据包含在请求体中,可以传递较大的数据量。
5. 可见性和书签:
- GET请求:因为参数在URL中可见,所以可以轻松地将URL保存为书签或通过分享链接来传递参数。
- POST请求:由于数据不可见,不适合保存为书签或传递参数。
总的来说,GET请求用于获取数据,数据附加在URL中,通常用于无副作用的操作,而POST请求用于向服务器提交数据,数据包含在请求体中,适合传递敏感信息和较大的数据量。选择使用哪种请求方法取决于具体的需求和安全考虑。
请求编码格式:
urlencoded:key=value&key=value===》后端django===》request.POST取出数据
form-data:数据和文件混到一起===》后端django===》request.FILES取出文件 ,request.POST取出数据
Json:{name:lqz,age:19}-----》后端django--》request.body---->装饰器
-collections创建,保存导出
接口规范:restful规范
1. 数据的安全保障
URL链接一般都采用 https 协议传输,它比http安全
2. 接口特征表现
URL中带api标识
-https://api.baidu.com/books/
-https://www.baidu.com/api/books/
3. 多数据版本共存
URL中带版本信息
https://api.baidu.com/v1/books
https://www.baidu.com/api/v2/books
4. 数据即是资源,均使用名词
接口一般都是完成前后端数据的交互,交互的数据我们称之为资源
-
一般提倡用资源的复数形式,在url链接中奖励不要出现操作资源的动词,错误示范:https://api.baidu.com/delete-user
-
特殊的接口可以出现动词,因为这些接口一般没有一个明确的资源,或是动词就是接口的核心含义
5. 资源操作由请求方式决定(method)
操作资源一般都会涉及到增删改查,我们提供请求方式来标识增删改查动作
https://api.baidu.com/books - get请求:获取所有书
https://api.baidu.com/books/1 - get请求:获取主键为1的书
https://api.baidu.com/books - post请求:新增一本书书
https://api.baidu.com/books/1 - put请求:整体修改主键为1的书
https://api.baidu.com/books/1 - patch请求:局部修改主键为1的书
https://api.baidu.com/books/1- delete请求:删除主键为1的书
6. 过滤,通过在URL上传参的形式传递搜索条件
https://api.example.com/v1/zoos?limit=10:指定返回记录的数量
https://api.example.com/v1/zoos?offset=10:指定返回记录的开始位置
https://api.example.com/v1/zoos?page=2&per_page=100:指定第几页,以及每页的记录数
https://api.example.com/v1/zoos?sortby=name&order=asc:指定返回结果按照哪个属性排序,以及排序顺序
https://api.example.com/v1/zoos?animal_type_id=1:指定筛选条件
7. 响应状态码
http响应状态码:1xx、2xx、3xx、4xx、5xx
趣味图解HTTP状态码的含义:https://www.sohu.com/a/278045231_120014184
-404和403 和 405
-301和302
-1xx表示请求正在处理---》前端一般看不到
-2xx 表示请求处理成功--》经常看到
-201和200有什么区别
-3xx:重定向
-4xx:客户端错误
-5xx:服务端出错
成功都返回200,而在响应体中带状态码----》code:不同公司就不一样
{
"code": 101,
"msg": "用户名或密码错误"
}
-补充一:mysql 错误操作都会有个 数字(10060) 文字解释
-补充二:
-https://open.weibo.com/wiki/Error_code
8. 错误处理,应返回错误信息
{
"code": 101,
"msg": "用户名或密码错误"
}
9. 返回结果,针对不同操作,服务器向用户返回的结果应该符合以下规范
GET /collection:返回资源对象的列表(数组)
GET /collection/resource:返回单个资源对象
POST /collection:返回新生成的资源对象
PUT /collection/resource:返回完整的资源对象
PATCH /collection/resource:返回完整的资源对象
DELETE /collection/resource:返回一个空文档
10. 需要URL请求的资源需要访问资源的请求链接(响应中带链接)
序列化合反序列化
-序列化:把我们识别的数据转成对方识别的数据:字典,列表---》转成json格式字符串的过程
-反序列化:别人提供给我们数据转成我们识别的格式---》json格式字符串---》字典,对象。。
drf:django框架上的一个app,方便我们快速编写符合restful规范的接口
快速编写5个接口
cbv源码分析
cbv:基于类的视图------》使用类编写---》在类中写跟请求方式同名的方法----》路由配置:类名.as_view()
请求过来,什么请求就会执行跟请求方式同名的方法
APIView的执行流程
-执行视图类中跟请求方式同名的方法
-去除了csrf认证
-包装了新的request
-执行了三大认证
-处理了全局异常
-视图类的对象 self.request
序列化组件
序列化组件的作用
1 可以序列化--》qs对象,单个对象
2 反序列化--》前端传入的json格式数据---》保存到数据库
3 反序列化的校验:字段自己,局部钩子,全局钩子
快速使用
-写个类,继承Serializer
-在类中写字段
-在视图类中:实例化得到序列化类的对象:多条,和单条
-序列化:序列化类的对象.data retrun Response(ser.data)
常用字段类
-跟models中之前学过的有对应关系
-ListField DictField --->序列化和反序列化都会用
字段参数
-限制反序列化校验字段自己规则的
-read_only write_only:控制字段只做序列化或反序列化的,如果不写就是
使用序列化类做反序列化
# 伪代码
# -新增
ser=BookSerializer(data=request.data)
ser.is_valid(raise_exception=True)# --->只要校验不通过,直接抛异常
ser.save() # 继承Serializer,需要在序列化类中重写create方法,完成新增
# 序列化类中重写create方法
def create(self, validated_data):
# validated_data 前端传入,校验过后的数据
# 新增一个对象
return 新增的对象 # 后续再视图类中只要调用ser.data,这里必须返回
# -修改
ser=BookSerializer(instance='要修改的对象',data=request.data)
ser.is_valid(raise_exception=True)# --->只要校验不通过,直接抛异常
ser.save() # 继承Serializer,需要在序列化类中重写update方法,完成修改
# 序列化类中重写update
def update(self, instance, validated_data):
# instance 要修改的对象,哪里来的?BookSerializer(instance=要修改的对象的id,data=request.data)
# validated_data:校验过后数据
res=Book.objects.filter(pk=instance).update(**validated_data)
return res # 返回的res最后干啥了?只要在 视图类中 调用ser.data,他会根据这个返回值做序列化
反序列化校验
-字段自己
-局部钩子--》序列化类中写 validate_字段名 传参数
-全局钩子---》序列化类中写 validate 传参数,字典
-登录接口
定制返回格式
-source:1 改名 2 跨表查 3 拿表模型中的方法
-SerializerMethodField:在序列化类中写
-publish=serializers.SerializerMethodField(read_only)
-配合一个 get_username(self,obj)的方法,返回什么,这个字段就是什么
-在表模型中写:方法
publish=serializers.DictField()
-只能做序列化用了,反序列化得单独用---》需要使用read_only和write_only控制
ModelSerializer的使用
class Meta:
model=表名
fields=[需要序列化或反序列化的字段,表中没有也要写]
extra_kwargs={} # 传入字段参数
重写字段
大部分情况下不需要写create和update了
局部,全局钩子跟之前一模一样
视图组件
# 1 两个视图基类
APIVIew
-类属性
renderer_classes = api_settings.DEFAULT_RENDERER_CLASSES
parser_classes = api_settings.DEFAULT_PARSER_CLASSES
authentication_classes = api_settings.DEFAULT_AUTHENTICATION_CLASSES
throttle_classes = api_settings.DEFAULT_THROTTLE_CLASSES
permission_classes = api_settings.DEFAULT_PERMISSION_CLASSES
GenericAPIView:要使用序列化类,数据库打交道,就可以继承它
-queryset = None
-serializer_class = None
-lookup_field = 'pk'
-filter_backends = api_settings.DEFAULT_FILTER_BACKENDS
-pagination_class = api_settings.DEFAULT_PAGINATION_CLASS
-get_queryset(self) #获取所有要序列化的数据,在里面拿到qs对象后要 .all()
-get_object # 获取单个对象
-get_serializer()--->内部调用了get_serializer_class--》最终返回序列化类的对象,传入要传的参数---》instance ,data many
-filter_queryset---》给ListModelMixin用了--》把配置的filter_backends 依次执行完成过滤
# 5个视图扩展类 =不是视图类,需要搭配GenericAPIView
ListModelMixin,
CreateModelMixin,
UpdateModelMixin,
DestroyModelMixin,
RetrieveModelMixin
一个视图类中写四个接口--》必须借助于ViewSetMixin
class BookView(ViewSetMixin,GenericAPIView,ListModelMixin,CreateModelMixin,RetrieveModelMixin,DestroyModelMixin):
queryset = None
serializer_class = None
# 6 9个视图子类
# 7 视图集
-ModelViewSet:重写方法实现你想要的功能
-ReadOnlyModelViewSet
-ViewSetMixin:路由写法变了
-ViewSet:ViewSetMixin+APIView
-GenericViewSet:ViewSetMixin+GenericAPIView
请求与响应
# 请求:
-请求源码:request对象
-request.data
-request.query_params
-跟之前一样
-request._request
-__getattr__
-请求能解析编码格式:parser_classes
-局部使用
-全局使用
# 响应
-响应Response 源码
-data:响应体的内容,序列化后的数据给了他
-headers:响应头 django原生响应头 响应对象['xx']=xxx
-status:响应状态码
-响应编码格式--》浏览器,postman,看到的样子
-局部和全局配置
# 写了个视图类 获取所有接口
class BookView(ViewSetMixin,GenericAPIView,ListModelMixin):
queryset = None
serializer_class = None
def list(self,request,*args,**kwargs):
res=super().list(request,*args,**kwargs)
res.data # {code:100,msg:成功,data:[{},{}]}
return Response({code:100,msg:成功,data:res.data})
路由组件
# 1 只要继承ViewSetMixin及其子类,路由写法就变了
-方式一:映射方式
视图类.as_view({'get':'lqz'})
-方式二:自动生成
-SimpleRouter DefaultRouter
# 2 action装饰器:methods detail
认证权限频率组件
# 认证的使用
1 写个类,继承BaseAuthentication
2 重写autenticate
3 取出用户传入的 token ---》通过token能知道是谁
4 认证通过取出用户,认证失败,抛出异常
5 return 查到的对象,token---》后续再request.user中就是当时返回的第一个值
6 视图类中配置
7 全局配置
# 权限类
1 写个类,继承BasePermission
2 has_permission
3 判断用户的权限
acl 权限,取出当前用户所有权限,判断当次请求是否在权限中
rbac,根据当前用户取出所有角色,通过角色取出所有权限,去个重,判断是否在权限中
4 有权限返回True,没有返回False
5 视图类中配置
6 全局配置
# 频率类
1 写个类,继承SimpleRatethrottle
2 重写get_cache_key 返回值 唯一的 ip,userid
3 类属性 scope='字符串'
4 配置文件配置
'DEFAULT_THROTTLE_RATES': {
'字符串': '3/m',
},
5 视图类中配置
6 全局配置
# 权限---》认证---》频率
# 为什么我们写了 权限类,配置行,它就会执行权限控制?
-APIView 的dispatch中执行了3大认证---》
def dispatch(self, request, *args, **kwargs):
self.initial(request, *args, **kwargs) # 三大认证
- self.initial 需要从根上
def initial(self, request, *args, **kwargs):
self.perform_authentication(request)
self.check_permissions(request) # 权限类的执行位置
self.check_throttles(request)
-self.check_permissions(request)
def check_permissions(self, request):
for permission in self.get_permissions(): # 你配置在视图类上一个个权限类的对象列表 [权限对象1,权限对象2]
if not permission.has_permission(request, self): # self,是视图类的对象,因为在APIView中
self.permission_denied(
request,
message=getattr(permission, 'message', None),
code=getattr(permission, 'code', None)
)
- def get_permissions(self):
return [permission() for permission in self.permission_classes]
# 认证类源码---》难
-APIView 的dispatch中执行了3大认证---》
def dispatch(self, request, *args, **kwargs):
self.initial(request, *args, **kwargs) # 三大认证
- self.initial 需要从根上
def initial(self, request, *args, **kwargs):
self.perform_authentication(request)# 认证类的执行位置
self.check_permissions(request)
self.check_throttles(request)
- def perform_authentication(self, request):
request.user
-去Request类中找user---》方法包装成了数据属性
@property
def user(self):
if not hasattr(self, '_user'):
with wrap_attributeerrors():
self._authenticate()
return self._user
-去Request类中找self._authenticate()
def _authenticate(self):
for authenticator in self.authenticators: # 配置在视图类上一个个认证类的对象列表
try:
# 调用认证类对象的authenticate方法,传入 self,是request对象
user_auth_tuple = authenticator.authenticate(self) # 当前登录用户,token
except exceptions.APIException:
self._not_authenticated()
raise
if user_auth_tuple is not None:
self._authenticator = authenticator
#self就是request对象,后续 request.user就是认证类返回的第一个参数
self.user, self.auth = user_auth_tuple # 解压赋值
return
self._not_authenticated()
-认证类可以配置多个,但是如果有一个返回了,后续的就不走了
-self.authenticators 是request对象的属性,是在Request实例化的时候传入的,它什么时候实例化的,包装新的Reqeust时传入的---》APIView的dispatch--》
频率源码分析
# 1 频率源码
-APIView----disaptch---》self.initial(request, *args, **kwargs)---》416行:self.check_throttles(request)----》352行 check_throttles
def check_throttles(self, request):
# self.get_throttles()就是咱们配置在视图类上频率类的对象列表[频率类对象,]
for throttle in self.get_throttles():
# 执行频率类对象的allow_request,传了2个,返回True或False
if not throttle.allow_request(request, self):
# 反会给前端失败,显示还剩多长时间能再访问
throttle_durations.append(throttle.wait())
# 2 频率类要写
1 写一个类,继承,BaseThrottle
2 在类中重写:allow_request方法,传入 3个参数
3 在allow_request写限制逻辑,如果还能访问--》返回True
4 如果超了次数,就不能访问,返回False
5 局部配置在视图类上
6 全局配置在配置文件中
# 3 我们在drf中写的时候,不需要继承 BaseThrottle,继承了SimpleRateThrottle,重写get_cache_key
-我们猜测:一定是 SimpleRateThrottle帮咱们写了咱们需要写的
# 4 自定义频率类,实现一分钟只能访问三次的控制:
# (1)取出访问者ip
# (2)判断当前ip不在访问字典里,添加进去,并且直接返回True,表示第一次访问,在字典里,继续往下走
# (3)循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,把这种数据pop掉,这样列表中只有60s以内的访问时间,
# (4)判断,当列表小于3,说明一分钟以内访问不足三次,把当前时间插入到列表第一个位置,返回True,顺利通过
# (5)当大于等于3,说明一分钟内访问超过三次,返回False验证失败
#5 SimpleRateThrottle 源码分析
- SimpleRateThrottle内部一定有:allow_request---》
def allow_request(self, request, view):
# 咱们没写,以后咱们可以在频率类中直接写
# rate='3/m' 以后不用写scope了,就会按一分钟访问3次现在
if self.rate is None:
return True
# 取出:重写的get_cache_key返回的值,咱们返回了访问者ip
self.key = self.get_cache_key(request, view)
if self.key is None:
return True
# 根据当前访问者ip,取出 这个人的访问时间列表 [访问时间1,访问2,访问3,访问4]
self.history = self.cache.get(self.key, [])
# 取出当前时间
self.now = self.timer()
# 把访问时间列表中超过 限制时间外的时间剔除
while self.history and self.history[-1] <= self.now - self.duration:
self.history.pop()
# 判断访问时间列表是否大于 3
if len(self.history) >= self.num_requests:
return self.throttle_failure()
return self.throttle_success()
自定义频率类
from rest_framework.throttling import BaseThrottle
class MyThrottle(BaseThrottle):
# VISIT_RECORD = {'192.168.1.1':[当前时间,当前时间,访问时间列表]}
VISIT_RECORD = {}
def __init__(self):
self.history = []
def allow_request(self, request, view):
ip = request.META.get('REMOTE_ADDR')
import time
ctime = time.time()
# (2)判断当前ip不在访问字典里,说明是第一次访问,添加进去,并且直接返回True,表示第一次访问
if ip not in self.VISIT_RECORD:
self.VISIT_RECORD[ip] = [ctime, ] # VISIT_RECORD = {'192.168.1.1':[当前时间2,当前时间1,]}
return True
# (3)循环判断当前ip的列表,有值,并且当前时间减去列表的最后一个时间大于60s,把这种数据pop掉,这样列表中只有60s以内的访问时间,
self.history = self.VISIT_RECORD[ip] # 访问时间列表
while self.history and ctime - self.history[-1] > 60: # 循环删除1分钟之前访问的实际
self.history.pop()
# 最后self.history都剩下是一分钟之内的时间了
# (4)判断,当列表小于3,说明一分钟以内访问不足三次,把当前时间插入到列表第一个位置,返回True,顺利通过
# (5)当大于等于3,说明一分钟内访问超过三次,返回False验证失败
if len(self.history) < 3:
self.history.insert(0, ctime)
return True
else:
return False
def wait(self):
import time
ctime = time.time()
return 60 - (ctime - self.history[-1])
过滤、排序、分页、全局异常处理
过滤
#1 针对于查询所有接口---》继承:GenericAPIView+ListModelMixin---》只需要在视图类中写一个类属性---》filter_backends = [过滤类,过滤类2]
# 过滤类:
1 内置的:SearchFilter 类属性:search_fields=[可以按字段过滤]
127.0.0.1:8080/books/?search=红
2 第三方
-django-filter
-精准匹配
127.0.0.1:8080/books/?name=红楼梦
-能更强大
3 自定义的
写一个类,继承:BaseFilterBackend
重写 filter_queryset
在filter_queryset中完成过滤,会把qs传入,返回过滤后的qs即可
# 2 源码分析
ListModelMixin---》list方法---》queryset = self.filter_queryset(self.get_queryset()) 过滤后的数据----》执行了GenericAPIView的---》filter_queryset---》取出一个个配置在视图类上的过滤类,依次实例化得到对象后执行对象的filter_queryset方法完成过滤---》最终返回的数据,就是过滤后的数据
# 3 继承APIView写过滤
request 取出过滤条件
book_list=Book.objects.all().filter(过滤)
排序
1 针对于查询所有接口---》继承:GenericAPIView+ListModelMixin---》只需要在视图类中写一个类属性---》filter_backends = [排序类]
2 内置排序类即可:OrderingFilter---》配置类属性ordering_fields
自定义排序类,完成自己的规则
分页
#1 针对于查询所有接口-->才有分页
# 2 三种分页方式,必须继承分页类,重写几个类属性实现--->配置在视图类上--》继承:GenericAPIView+ListModelMixin
PageNumberPagination:用的最多,之前常见的分页方式,查询第几页,每页有多少条的分页方式 :page=10&size=3
LimitOffsetPagination:从第几条开始,取几条 offset=10&limit=3 从第10条开始,取3条
CursorPagination:只能上一页和下一页,需要排好序再分页
# 3 继承APIView 写分页
class Pager(APIView):
def get(self,request,*args,**kwargs):
# 获取所有数据
ret=models.Book.objects.all()
# 创建分页对象
page=PageNumberPagination()
# 在数据库中获取分页的数据
page_list=page.paginate_queryset(ret,request,view=self)
# 对分页进行序列化
ser=BookSerializer1(instance=page_list,many=True)
# return Response(ser.data)
# 这个也是返回Response对象,但是比基本的多了上一页,下一页,和总数据条数(了解即可)
return page.get_paginated_response(ser.data)
return Response(ser.data) # 只会有数据,不会有上一页和下一页,总条数
全局异常处理
# 前后端分离了,后期,后端出了异常,我们不想让前端看到,我们需要捕获全局异常,统一返回格式
# drf 源码中已经处理
APIView--->dispatch--->
try:
# 1 执行三大认证
# 2 执行视图类的方法
except Exception as exc:
response = self.handle_exception(exc)
-463行左右:
# exception_handler就是配置文件中配置的一个函数-->默认的
# 后期自己写了
exception_handler = self.get_exception_handler()
response = exception_handler(exc, context)
# 默认执行的是:rest_framework.views.exception_handler函数---》只处理了drf的异常
# 咱们处理全局异常的步骤:
1 写一个函数,在内部处理
from rest_framework.views import exception_handler
def common_exception_handler(exc,context):
res=exception_handler(exc,context)
if res: #这次异常是drf的,并且它处理了
# 我们要统一返回格式
return Response({'code':888,'msg':"系统异常(drf异常),请联系系统管理员:%s"%res.data.get('detail',None)})
else:
return Response({'code': 999, 'msg': "系统异常(非drf异常),请联系系统管理员:%s" % str(exc)})
2 配置在配置文件上
接口文档
接口写完,必须编写接口文档,给别人用
接口文档规范:要有什么东西
1 描述
2 地址
3 请求方式
4 请求编码格式
5 请求参数,详解
6 返回示例 json
7 返回示例中字段详解
编写的位置:
1 直接写在文件中共享(word,md)
2 平台上写
- 公司搭建的平台(自己研发,第三方开源)
- 使用第三方接口文档平台
3 自动生成
-coreaip
JWT认证
JWT是什么?
Json Web Token缩写,一种前后端认证的方法,区别与session的方案,不需要在后端存储数据,也能实现会话保持
三段式:
签发阶段:
登录:
用户名+密码
手机号+验证码
本机号码一键登录--》向后端就只传了手机号--》根据手机号签发token
认证阶段
drf中的认证类
校验Token是否合法
别人截获到token后,模拟发送请求
-1 设置过期时间---》10m
-2 需要登录后才能访问的接口,不仅要带token还是带个加密串 sign
-3 双token认证
-返回两个token:一个token:7天过期,一个token:10分钟过期
-以后用就只带10分钟过期的token
-过了10分钟了,10分钟token失效了
-携带着7的token到后端,生成一个10分钟的返回
-原来的token串使用md5+盐生成一个串--》签名
django中使用jwt--》快速签发
快速签发定制返回格式
认证:jwt提供的认证 一个认证类,一个权限类
# 自定义用户表
签发
payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)
认证:认证类
token = request.META.get('HTTP_TOKEN')
payload = jwt_decode_handler(token)
user = User.objects.get(pk=payload.get('user_id'))
# 多方式登录(auth的user表)
-把校验和签发token逻辑写在序列化类的 全局钩子中了
-在全局钩子中,只要校验不通过,就抛异常
权限控制
acl:访问控制列表
用户跟权限多对多
基于角色的访问控制 rbac
用户跟角色关系,角色和权限管理
-用户表
-角色表
-权限表
-用户和角色多对多中间表
-角色和权限多对多中间表
-用户和权限多对多
abac:
基于属性+角色的访问控制
基于属性+访问控制列表
张三:【看视频,发视频】
张三:晚上12点凌晨7点 不能发视频
标签:请求,self,request,视图,---,整合,序列化,drf From: https://www.cnblogs.com/zfq132/p/17700453.html