Django REST framework (DRF)中的api_view和APIView权限控制

在 Django REST framework (DRF) 中，api_view 和 APIView 是用来创建 API 视图的两个装饰器和类，它们提供了不同的方式来处理请求和返回响应。下面是对它们的介绍：

api_view 装饰器

api_view 是一个装饰器，它允许你快速创建 API 视图。它特别适合于简单的、单一职责的视图，例如单个请求处理函数。使用 api_view，你可以定义一个普通的 Python 函数，并为其添加不同的 HTTP 方法处理程序（如 get、post、put、delete 等）。

from rest_framework.decorators import api_view

@api_view(['GET'])
def my_view(request):
    if request.method == 'GET':
        # 处理 GET 请求
        return Response(...)

APIView 类

APIView 是一个类，它提供了一个基类，你可以从它继承来创建更复杂的 API 视图。APIView 提供了一些内置的方法和属性，可以帮助你处理请求、序列化数据、权限检查等。使用 APIView，你可以定义类方法来处理不同的 HTTP 方法。

from rest_framework.views import APIView

class MyView(APIView):
    def get(self, request, format=None):
        # 处理 GET 请求
        return Response(...)

    def post(self, request, format=None):
        # 处理 POST 请求
        return Response(...)

PhotoRoundListView 类

PhotoRoundListView 是一个继承自 APIView 的类，它用于创建一个用于列出摄影场次的视图。这个类可能包含了处理 GET 请求的方法，用于返回摄影场次的列表。以下是对 PhotoRoundListView 类的详细介绍：

from rest_framework.views import APIView

class PhotoRoundListView(APIView):
    """
    摄影场次列表List
    """
    # 可以在这里设置权限类
    permission_classes = []

    def get(self, request, *args, **kwargs):
        # 处理 GET 请求，返回摄影场次列表
        # 这里可能会调用一个查询数据库的方法，获取所有摄影场次的数据
        data = PhotoRound.list()  # 假设这是查询数据库的函数
        return Response(data)

    # 如果需要，也可以添加其他 HTTP 方法的处理程序
    def post(self, request, *args, **kwargs):
        # 处理 POST 请求，可能用于创建新的摄影场次
        pass

在这个类中，get 方法被用来处理 GET 请求，返回摄影场次的列表。如果需要处理其他类型的 HTTP 请求（如 POST、PUT、DELETE），可以添加相应的方法。permission_classes 属性可以用来指定这个视图需要应用的权限类，以控制谁可以访问这个视图。

总的来说，api_view 和 APIView 提供了灵活的方式来创建 RESTful API 视图，可以根据你的具体需求选择使用装饰器还是继承自 APIView 的类。

permission_classes权限控制

在 Django REST framework（DRF）中，permission_classes 是一个用于指定视图权限控制的属性。这个属性定义了一个视图或视图集中哪些权限类应该被应用。权限类负责确定请求是否被授权，即用户是否有权执行特定的操作。

以下是 permission_classes 的一些常见用法：

1. 允许所有请求：
   如果 permission_classes 被设置为空列表 []，这意味着不对请求进行权限检查，所有请求都将被允许执行视图的操作。这通常用于公开的 API 端点，或者在开发初期尚未确定权限策略时。

2. 应用权限类：
   当需要对视图进行权限控制时，可以将特定的权限类添加到 permission_classes 列表中。例如：

   from rest_framework.permissions import IsAuthenticated, IsAdminUser
   
   class MyView(APIView):
       permission_classes = [IsAuthenticated, IsAdminUser]
   

   在这个例子中，MyView 视图要求用户必须通过身份验证（IsAuthenticated），并且必须是管理员用户（IsAdminUser）才能访问。

3. 自定义权限类：
   除了使用 DRF 提供的标准权限类外，还可以创建自定义权限类来满足特定的业务需求。自定义权限类需要继承 BasePermission 并实现 has_permission 方法。

4. 动态权限控制：
   有时候，权限控制可能需要根据请求的上下文动态决定。在这种情况下，可以在视图中覆盖 get_permissions 方法来动态返回权限类列表。

5. 无权限控制：
   如果某个视图或视图集不需要任何权限控制，可以显式地将 permission_classes 设置为 None，这样 DRF 将不会对这些视图应用任何权限检查。

permission_classes = [] 表示这些视图没有应用任何权限控制，任何用户都可以访问这些视图。这可能是因为这些视图是公开的，或者权限控制尚未实现。在实际的生产环境中，通常会根据业务需求配置相应的权限类，以确保 API 的安全性。