我需要知道如何限制对经过身份验证的用户的访问,以便可以为以管理员身份登录的用户完整列出用户记录,而对于以用户身份登录的用户,只能列出、更新和创建他们的记录。
目前我正在使用serializers.ModelSerializer、viewsets.ModelViewSet 和permissions.BasePermission 但似乎进展不快。
没有现成的方法可以用魔杖处理此类权限。尽管有一些库可以处理对象级别权限,但请检查django-guardian
因为它与 Django Rest 框架有很好的接口。
处理这个问题的一个好方法是将 django-guardian 的功能与自定义的功能相结合get_queryset()
@ilse2005's 答案中描述的方法。这会照顾你的list
and retrieve
并且更新和删除可以委托给django-guardian
.
class View(ModelViewSet):
...
def get_queryset(self):
if self.request.user.is_superuser:
return FooModel.objects.all()
return FooModel.objects.filter(owner=self.request.user)
这也可以与 DRF 中的 APIView 和其他基于类的视图一起使用。
Caution:如果您的 API 使用者依赖 HTTP 错误代码来表示此方法,则会抛出 404 not found 而不是 HTTP403(这是表示权限被拒绝的标准方式)。在这种情况下,建议编写自定义权限类。例如,以下 ip 黑名单权限类直接来自文档 -http://www.django-rest-framework.org/api-guide/permissions/ http://www.django-rest-framework.org/api-guide/permissions/
from rest_framework import permissions
class BlacklistPermission(permissions.BasePermission):
"""
Global permission check for blacklisted IPs.
"""
def has_permission(self, request, view):
ip_addr = request.META['REMOTE_ADDR']
blacklisted = Blacklist.objects.filter(ip_addr=ip_addr).exists()
return not blacklisted
通过设置类变量在视图集中使用此类
permission_classes = BlackListPermission
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)