我正在使用 DjangoRestFramework 在 Django 中开发 api,现在我开始使用 Tokens,(我正在使用 JWT 和 djangorestframework_simplejwt 库)。我想要的是在令牌中拥有与我的 django 管理员相同的权限,例如,我在我的 Django 管理员中为特定应用程序创建了一个组,但是当我将 httpie 与一个不应该拥有的用户一起使用时权限我可以获取所有数据。
您知道连接这些权限的方法吗?
这是我写的代码。
from rest_framework.permissions import IsAuthenticated
class ArticulosLista(APIView):
permission_classes = (IsAuthenticated, )
# All other methods
【问题讨论】:
标签: python django api django-rest-framework jwt
DRF 已内置 permissions(管理员、用户、只读...)。
当然,您可以编写自己的权限类,扩展自 DRF permissions.BasePermission
例如:
from rest_framework import permissions, exceptions
class YourCustomPermission(permissions.BasePermission):
def has_permission(self, request, view):
user = request.user
if user.in_group('abc') and user.is_staff and user. is_authenticated:
return (user, None) #success
else:
data = {
'code': 403,
'data': "Invalid User"
}
raise exceptions.APIException(data) #raise fail
您可以在视图中使用您的自定义权限:
from your_file import YourCustomPermission
class ArticulosLista(APIView):
permission_classes = (YourCustomPermission, )
更多关于如何写custom permission class
【讨论】:
has_permission 方法中编写一个逻辑来检查请求中的令牌。你说的是来自authentication_class 而不是permission_class。 2个不同的概念。在权限类 request.user 将永远是从认证类返回的用户