APIにおける認証と許可の話
何をやるのか
これまではいわゆるToDoアプリで言うならタスクを作成するまでの処理を行ってきたが、その例でいうとタスクは常に個々のユーザーに紐付けられ、また作成したユーザーのみ編集や削除を行える状態にしたい。
また、そもそも認証されたユーザーのみ(ex. アプリに会員登録したユーザーのみ)タスクの作成をしたいなどあるわけである。
そういったことを実現するために認証されたユーザー以外にはリクエストに制限をかけ、読み込み専用のアクセス権を持たせる(ex. 他人のToDoリストを見ることはできるが、編集することはできない)といったようなことをするのがこの項である。
ユーザーモデルと任意のモデルをリレーションさせる
まず、機能側のモデルに新しいフィールドを作る。
役割としては今回のチュートリアルでいうとSnippetの作成者が誰であるかということを表す項目とハイライトされたHTML表現を表す項目になる。
前者はユーザーモデルとリレーションし、ユーザーモデルからユーザー情報を引っ張ってきている。
後者に関しては
from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments import highlight
以上3つのライブラリを読み込んでhighlightedフィールドに保存する項目を定義して、それをsave()で実際に保存するような処理を定義します。
Snippetモデルにフィールドを追加
from django.db import models
from pygments.lexers import get_all_lexers
from pygments.lexers import get_lexer_by_name
from pygments.formatters.html import HtmlFormatter
from pygments.styles import get_all_styles
from pygments import highlight
LEXERS = [item for item in get_all_lexers() if item[1]]
LANGUAGE_CHOICES = sorted([(item[1][0], item[0]) for item in LEXERS])
STYLE_CHOICES = sorted([(item, item) for item in get_all_styles()])
class Snippet(models.Model):
created = models.DateTimeField(auto_now_add=True)
title = models.CharField(max_length=100, blank=True, default='')
code = models.TextField()
linenos = models.BooleanField(default=False)
language = models.CharField(
choices=LANGUAGE_CHOICES, default='python', max_length=100)
style = models.CharField(choices=STYLE_CHOICES,
default='friendly', max_length=100)
# 追加
owner = models.ForeignKey(
'auth.User', related_name='snippets', on_delete=models.CASCADE)
# 追加
highlighted = models.TextField()
class Meta:
ordering = ['created']
def save(self, *args, **kwargs):
"""
Use the `pygments` library to create a highlighted HTML
representation of the code snippet.
"""
lexer = get_lexer_by_name(self.language)
linenos = 'table' if self.linenos else False
options = {'title': self.title} if self.title else {}
formatter = HtmlFormatter(style=self.style, linenos=linenos,
full=True, **options)
self.highlighted = highlight(self.code, lexer, formatter)
super(Snippet, self).save(*args, **kwargs)
ここまで終わったらデータベースを作り直す。
rm -f db.sqlite3
rm -r snippets/migrations
python manage.py makemigrations snippets
python manage.py migrate
作り直したらcreatesuperuserでひとまず管理ユーザーのみ作っておく。
次に、ユーザーモデルのシリアライザーを作る。
今回、認証周りは完全にDjangoのデフォルトの機能('django.contrib.admin','django.contrib.auth')を使っているのでディレクトリは分かれていない。
なので、シリアライザーを作るのも特に難しいことはせずserializers.pyに
from django.contrib.auth.models import User
class UserSerializer(serializers.ModelSerializer):
snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())
class Meta:
model = User
fields = ['id', 'username', 'snippets']
以上のように定義してあげればいい。
一つだけ注意しておかないといけないのは、Snippetモデルは先程ユーザーモデルとリレーションの設定をしたけれどもユーザーモデルから見ると特に設定はない状態であるが、
通常のDjangoのモデルでのリレーションではこれで問題ないのだが、今回は認証と許可の話であり、それ故にModelSerializerクラスでどのユーザーが作ったスニペットであるかということを表しておきたいのでフィールド追加しているという点である。
なので、snippets = serializers.PrimaryKeyRelatedField(many=True, queryset=Snippet.objects.all())という風にフィールドを追加しておく。
あとはviews.pyに以下のビューを追加して、urls.pyにルーティングを追加する。
# #以下2つを追加でimportする
from django.contrib.auth.models import User
from snippets.funcs.serializers import UserSerializer
class UserList(generics.ListAPIView):
queryset = User.objects.all()
serializer_class = UserSerializer
class UserDetail(generics.RetrieveAPIView):
queryset = User.objects.all()
serializer_class = UserSerializer
path('users/', views.UserList.as_view()),
path('users/<int:pk>/', views.UserDetail.as_view()),
スニペットとユーザーを紐つける
土台は作ったもののこのままだとスニペットのインスタンスとユーザーが紐つかない。
具体的に言うとUserSerializerでシリアライズされた情報が正常に送られず、受信したリクエストのプロパティとして送信されている状態になってしまっている。
それの状態を解消していく。
SnippetsListクラスに以下のメソッドを追加する。
def perform_create(self, serializer):
serializer.save(owner=self.request.user)
perform_create()は新しいインスタンスを保存するためにCreateModelMixinが呼び出すメソッドである。
これをオーバーライドして、インスタンスを作成して保存する際に自動的にそのインスタンスが作成したユーザーと紐付く(owner=self.request.userの状態)ようにするという寸法。
で、これでスニペットは作成したユーザーに紐ついた状態になるのでserializers.pyにそれを反映させる。
class SnippetSerializer(serializers.ModelSerializer):
owner = serializers.ReadOnlyField(source='owner.username')
class Meta:
model = Snippet
fields = ['id', 'title', 'code', 'linenos', 'language', 'style', 'owner']
まず、ownerフィールドをReadOnlyFieldとして定義し直す。
これは何故かというと、公式曰く以下のような理由からだそうだ。
このフィールドは非常に興味深いことをしています。source引数は、どの属性がフィールドに入力されるかを制御し、シリアライズされたインスタンスの任意の属性を指し示すことができます。
この場合、Django のテンプレート言語で使われているのと同様の方法で、与えられた属性を辿ります。
追加したフィールドは、CharField や BooleanField などの他の型付きフィールドとは対照的に、非型付きの ReadOnlyField クラスです。
untyped ReadOnlyFieldは常に読み取り専用で、シリアライズされた表現には使用されますが、デシリアライズされたときのモデルインスタンスの更新には使用されません。
ここでもCharField(read_only=True)を使うことができました。
ownerフィールドにはユーザーの情報がすべて入っている。
なので例えばowner.usernameとするとユーザーモデルのusernameフィールドが参照されるということになる。
ところがこのownerフィールドはユーザーの情報と紐ついている関係上、むやみに上書きされてしまうと非常にまずいわけである。
なので、シリアライズの際にはちゃんと情報として精製はするが、デシリアライズでの更新処理にはそのフィールドは使用しないといったような処理を行いたい。
なので、ReadOnlyFieldを用いてシリアライズするという手段を取るということみたいだ。
ReadOnlyFieldはフィールドの値を変更せずに単純に返すフィールドクラスである。
ビューアクセスへの制限
さて、これでスニペットとユーザーへの紐付けの処理が完了したのであとはビュー(コントローラー)へのアクセスを制限していくことになる。
views.pyに以下を追記する。
from rest_framework import permissions
また、SnippetListとSnippetDetailに以下のプロパティを定義する
permission_classes = [permissions.IsAuthenticatedOrReadOnly]
IsAuthenticatedOrReadOnlyメソッドは認証されたリクエストには読み書きのアクセスを、認証されていないリクエストには読み取り専用のアクセスで許可をするというメソッドである。
ここまで定義すると、ログインしないとスニペットの追加ができなくなる。
なので、ログイン機能をつける。
# 追加でimport
from django.conf.urls import include
# パス追加
path('api-auth/', include('rest_framework.urls')),
これでログイン機能が追加されたのでrunserverしてブラウザ上でログインし、スニペットをいくつか作成してみる。
すると以下の画像のように作成したスニペットのownerフィールドにユーザー名があるのが確認できるはず。
さて今度は、コードスニペットは誰でも確認できるが、更新や削除は作成したユーザーのみが行えるようという状態にしたい。
そのためにはカスタムパーミッションを作成する。
permissions.pyを新しく作って以下の通り定義をする。
from rest_framework import permissions
class IsOwnerOrReadOnly(permissions.BasePermission):
"""
Custom permission to only allow owners of an object to edit it.
"""
def has_object_permission(self, request, view, obj):
# GET, HEAD or OPTIONSのリクエストは常に許可する
if request.method in permissions.SAFE_METHODS:
return True
# 書き込み権限は作成したユーザーのみ
return obj.owner == request.user
さてカスタムパーミッションを定義したので先程定義したパーミッションに追加する。
# 追加でimport
from snippets.permissions import IsOwnerOrReadOnly
permission_classes = [permissions.IsAuthenticatedOrReadOnly, IsOwnerOrReadOnly]