那些遇到过的问题

Django Rest Framework:最佳实践?

Bra*_*don 8 django django-rest-framework

我想知道关于Django Rest Framework的最佳实践.通过使用每个用户的不同序列化程序(员工与账户所有者与其他任何人)和HTTP方法,我一直在限制访问更改帐户的某些属性,但我觉得这太不熟悉了.

这是完成分离"权限"以更改对象的不同字段的任务的最佳方法吗?或者是否有一种更好,更pythonic的方式来实现我目前以这种方式做的事情?

以下代码的任何批评都被接受了,因为我觉得我已经削减了一些角落.

非常感谢.

from rest_framework import serializers, viewsets
from rest_framework.permissions import SAFE_METHODS
from accounts.models import User
from cpapi.permissions import *


class UserSerializer(serializers.HyperlinkedModelSerializer):
    class Meta:
        model = User
        fields = ('id', 'url', 'username', 'password')
        write_only_fields = ('password',)

    def restore_object(self, attrs, instance=None):
        user = super(UserSerializer, self).restore_object(attrs, instance)
        if 'password' in attrs.keys():
            user.set_password(attrs['password'])
        return user

class UserDetailsSerializer(UserSerializer):
    class Meta(UserSerializer.Meta):
        fields = ('id', 'url', 'username', 'password', 'email')

class UserListSerializer(UserSerializer):
    class Meta(UserSerializer.Meta):
        fields = ('id', 'url', 'username')

class UserWithoutNameSerializer(UserSerializer):
    class Meta(UserSerializer.Meta):
        fields = ('id', 'url', 'password', 'email')


class UserViewSet(viewsets.ModelViewSet):
    """
    API endpoint that allows users to be viewed or edited.
    """
    serializer_class = UserSerializer
    model = User

    def get_serializer_class(self): # Modify to allow different information for different access (userlist vs staff)
        serializer_class = self.serializer_class
        if 'List' in self.get_view_name():
            serializer_class = UserListSerializer
        elif self.request.method in ['PUT', 'PATCH']:
            serializer_class = UserWithoutNameSerializer
        elif self.get_object() == self.request.user or self.request.user.is_staff:
            serializer_class = UserDetailsSerializer
        return serializer_class

    def get_permissions(self):
        if self.request.method in SAFE_METHODS or self.request.method == 'POST':
            return [AllowAny()]
        elif self.request.method == 'DELETE':
            return [IsAdminUser()]
        else:
            return [IsStaffOrTargetUser()]
Run Code Online (Sandbox Code Playgroud)

Pab*_*noz 2

如果我理解正确的话,你想要的是每个字段的权限,而不是 Django 或 Django-REST-Framework 直接支持它们。您可以安装像Django Fine-Grained Permissions这样的包,但您将不得不使用相同的解决方案,因为无法将这些权限传达给 REST API 视图。

我建议您坚持您的解决方案,或者将序列化器选择逻辑放在一个具有所有字段的序列化器中,并将角色传递给构造函数,并让序列化器根据它构建一个字段列表,但为此您需要编写自己的 Serializer 子类。

归档时间:

查看次数:

2842 次

最近记录:

11 年,5 月 前
相关归档
用于重命名模型和关系字段的Django迁移策略 133
如何在AJAX调用上使用django-debug-toolbar? 52
Django模板:检查空查询集 16
NameError:在django中找不到管理员 15
Python Django requirements.txt 12
只需将文件保存到Django中的文件夹即可 11
如何扩展django管理员视图? 10
django休息框架意味着在视图与视图集之间进行权衡? 9
找不到 msguniq。确保您安装了 GNU gettext 工具 0.15 或更高版本 9
覆盖Django RF中的序列化程序删除方法 4
难疑归档
不区分大小写'包含(字符串)' 2785
如何制作一个很好的R可重复的例子 2474
如何在没有换行或空格的情况下打印? 1760
如何避免JSP文件中的Java代码? 1649
获取实例的类名? 1303
如何从我的应用程序中在Android的Web浏览器中打开URL? 1282
Git diff对付藏匿处 1265
C中的函数指针如何工作? 1170
如何随机化(shuffle)一个JavaScript数组? 1138
jQuery的jquery-1.10.2.min.map触发了404(未找到) 1051