## 权限认证 - self.check_permissions
    
    权限认证的实现原理与用户认证一致，只是核心方法接收的参数以及认证的返回值不同，其流程为：
    1.由self.get_permissions()（该方法为需要自定义的核心方法）获取权限认证类列表
    2.遍历该列表，调用认证类的has_permission方法，有两种可能的返回值：
        倘若通过认证，则返回True
        倘若未通过认证，则返回False/None
    

#### 1.获取权限类列表

In [None]:
    def get_permissions(self):
        """
        Instantiates and returns the list of permissions that this view requires.
        """
        return [permission() for permission in self.permission_classes]

#### 2.遍历权限类
    
    可在类视图中定义self.message属性，定制权限认证失败时返回的提示信息

In [None]:
    def check_permissions(self, request):
        """
        Check if the request should be permitted.
        Raises an appropriate exception if the request is not permitted.
        """
        for permission in self.get_permissions():
            if not permission.has_permission(request, self):
                # 引发异常
                self.permission_denied(
                    request, message=getattr(permission, 'message', None)
                )

##### has_object_permission方法

    权限验证类中还含有一个has_object_permission方法，该方法用于检验当前用户是否具有访问待查询对象的权限。
    
    如果我们的视图函数继承了ViewSet，那么在查询单条数据时，会调用ViewSet的retrieve方法，进而调用该视图权限验证类的has_obj_permission方法。
    如果通过验证，返回True
    如果未通过，返回False

In [None]:
def has_obj_permission(self, request, view, obj):
        if request.user.is_authenticated:
            return request.user.svip
        return False 

### 3.权限认证demo

#### 3.1局部配置

In [None]:
# models.py
# 假设有下方user模型
class MyUser(models.Model):

    USER_GRADE = [
        (1, '普通用户'),
        (2, 'vip'),
        (3, 'svip')
    ]

    username = models.CharField(max_length=20, unique=True)
    is_active = models.BooleanField(default=True)
    password = models.CharField(max_length=10)
    user_type = models.IntegerField(choices=USER_GRADE)

    
    
    
# views.py
from rest_framework.permissions import BasePermission

class UserPermission(BasePermission):
    
    # 认证失败后的提示信息
    message = "您的权限不足！"
    
    def has_permission(self, request, view):
        
        if request.user.is_authenticated and request.user.user_grade >= 2:
            return True
        else:
            return False
        
    def has_obj_permission(self, request, view, obj):
        if request.user.is_authenticated:
            return request.user.svip
        return False     

    
class ShowInfo(APIView):
    
    # 优先从自身寻找permission_classes属性，倘若没有，再寻找全局属性
    permission_classes = [UserPermission]
    
    def get(self, request):
        
        return HttpResponse("有权查看")

#### 3.2全局配置


In [None]:
# settings.py
# api.utils.auth.UserPermission为权限认证类的路径举例
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': ['api.utils.auth.UserAuthentication',]，
    'DEFAULT_PERMISSION_CLASSES': ['api.utils.auth.UserPermission']
}