为什么 DRF 权限类DjangoModelPermissions允许每个用户执行所有请求,如 POST、PUT、DELETE,甚至那些我没有从我的 django 管理员手动分配添加、更改、删除权限的用户。他们只能查看对象,但为什么他们收到所有不安全的请求POST、DELETE ...?
视图.py
class HotelViewSet(viewsets.ModelViewSet):
queryset = Hotel.objects.all()
serializer_class = HotelSerializer
authentication_classes = [SessionAuthentication]
permission_classes = [DjangoModelPermissions]
设置.py
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.SessionAuthentication',
],
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.DjangoModelPermissions',
]
}
django django-models django-views python-3.x django-rest-framework