那些遇到过的问题

Django REST Framework,只有管理员可以删除或放置

Jac*_*aco 0 python django rest django-rest-framework

我想问如何控制 Django Rest Framework 中的对象权限,效果如下:

  • User没有能力DELETE也没有PUT
  • Admin是一个User也可以DELETE并且PUT
  • 为了访问 API /SAFE_METHODS User必须Authenticated

我尝试过标准权限,例如permissions.IsAdminUserIsAuthenticatedOrReadOnly,但没有匹配。

下面是否有一个标准的权限可以实现?如果没有,下一步最好的步骤是什么,通过 Django 模型或 DRF 控制权限?

| API end-points        | HTTP Method   | Authenticate  | Permissions  | Result                                       |
|---------------------- |-------------  |------------   |------------  |------------------------------------------    |
| /products             | GET           | User          | User         | List of product                              |
| /products             | POST          | User          | User         | Create new product                           |
| /products/{product_pk}| GET           | User          | User         | Retrieve details of particular product       |
| /products/{product_pk}| PUT           | Admin         | Admin        | Fully update particular product's info       |
| /products/{product_pk}| PATCH         | User          | User         | Partially update particular product's info   |
| /products/{product_pk}| DELETE        | Admin         | Admin        | Delete particular product's details from DB  |
Run Code Online (Sandbox Code Playgroud)

序列化器.py

class ProductSerializer(HyperlinkedModelSerializer):
    class Meta:
        model = Product
        fields = '__all__'
Run Code Online (Sandbox Code Playgroud)

视图.py

class ProductView(viewsets.ModelViewSet):
    queryset = Product.objects.all()
    serializer_class = ProductSerializer
    authentication_classes = [authentication.SessionAuthentication, authentication.TokenAuthentication]
    permission_classes = (permissions.IsAdminUser,)
Run Code Online (Sandbox Code Playgroud)

urls.py

router_v1 = routers.DefaultRouter()
router_v1.register('products', ProductView)

urlpatterns = [
    path('v1/', include(router_v1.urls)),
    path('api-token-auth/', views.obtain_auth_token, name='api-token-auth'),
    path('api-auth/', include('rest_framework.urls'))
]
Run Code Online (Sandbox Code Playgroud)

JPG*_*JPG 8

将方法重写get_permissions(...)

class ProductView(viewsets.ModelViewSet):
    queryset = Product.objects.all()
    serializer_class = ProductSerializer
    authentication_classes = [authentication.SessionAuthentication,
                              authentication.TokenAuthentication]
    permission_classes = (permissions.IsAdminUser,)

    def get_permissions(self):
        if self.request.method in ['PUT', 'DELETE']:
            return [permissions.IsAdminUser()]
        return [permissions.IsAuthenticated()]
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2410 次

最近记录:

5 年,1 月 前
相关归档
在Python中有"做......直到"吗? 131
Python:从列表中获取前10个结果 122
打印测试执行时间并使用py.test确定慢速测试 84
如何在Django中选择标签来形成ChoiceField? 61
使用补丁模拟两个函数进行单元测试 59
在Heroku上找不到资源'corpora/wordnet' 20
在django休息框架中的泛型与视图集,如何更喜欢使用哪一个? 16
Spring Boot - @RestController 的 @ConditionalOnExpression 5
如何使用 Microsoft Graph API 下载附件? 5
'RelatedManager'对象在DRF Serializer中没有属性'pk' 4
难疑归档
在JavaScript中深度克隆对象的最有效方法是什么? 5181
如何在Git中克隆所有远程分支? 3987
在Python中查找包含它的列表的项目的索引 2887
C#在foreach中重用变量是否有原因? 1631
按值对地图<键,值>进行排序 1569
如何强制使用favicon刷新? 1499
为什么要使用getter和setter/accessors? 1472
\ d效率低于[0-9] 1214
如何在Java中将数字舍入到n个小数位 1209
在HTML中嵌入PDF的推荐方法? 1128