Django REST框架 - 防止用户视图的数据访问？

Question

在我的 api 中，我有一个 /users 端点，它当前显示当前注册的所有用户的（例如地址）详细信息。这需要由（Ember）应用程序访问（例如查看用户送货地址），但由于显而易见的原因，我不能允许任何人能够查看数据（无论是通过可浏览的 api 还是纯 JSON，如果我们将视图限制为仅使用 JSONRenderer）。我认为我不能使用身份验证和权限，因为应用程序首先需要从前端应用程序（我使用基于令牌的身份验证）登录用户。例如，如果我在 Django 中的用户视图上使用身份验证，我将无法从 Ember 登录。

我错过了什么吗？

更新

你好，我想回来看看这个。

对于 Ember 端的身份验证，我在 Django 中使用 Ember 简单身份验证和基于令牌的身份验证。一切正常 - 我可以登录 Ember 应用程序并访问令牌。

我需要做的是访问用户；为此，我在这里遵循了代码示例https://github.com/simplabs/ember-simple-auth/blob/master/guides/managing-current-user.md

我已经在 Postman 中测试了基于令牌的身份验证，使用我登录用户的令牌 - 并且可以访问 /users 端点。 （这是返回所有用户 - 我想要的只是我要为其返回令牌的用户，但那是以后的事！）。

问题是如何在任何 Ember 请求中传递（令牌）标头，例如

this.store.findAll('user') .... etc 

这显然目前没有发生，我不知道如何解决这个问题。

更新

修复它。原来我的应用程序适配器中的授权函数没有设置标头，因此更改了代码以明确设置标头：

authorize(xhr) {
    let { access_token } = this.get('session.data.authenticated');
    if (isPresent(access_token)) {
        xhr.setRequestHeader('Authorization', `Token ${access_token}`);
    }
},
headers: computed('session.data.authenticated.token', function () {
    const headers = {};
    if (this.session.isAuthenticated) {
        headers['Authorization'] = `Token ${this.session.data.authenticated.token}`
    }
    return headers;
})

Answer 1

Ember 是用于创建 SPA 的框架。这些在浏览器中运行。所以为了让 Ember 获取数据，你必须将数据发送到浏览器。

浏览器完全在用户的控制之下。浏览器是为他们工作的软件，而不是为网站所有者工作的软件。

您发送到浏览器的任何数据，用户都可以访问。句号。

---

如果您想限制用户可以从 API 读取的数据位，那么您需要编写逻辑来应用这些限制服务器端，而不是依赖于客户端用于过滤掉您不希望用户看到的位的 Ember 代码。

---

我认为我不能使用身份验证和权限，因为应用程序首先需要从前端应用程序（我使用基于令牌的身份验证）登录用户。例如，如果我在 Django 中的用户视图上使用身份验证，我将无法从 Ember 登录。

这真的没有意义。

一般情况下应该会这样：

1. 用户将一些凭据输入到 Ember 应用程序中
2. ember 应用程序将它们发送到服务器上的身份验证端点
3. 服务器返回一个令牌
4. ember 应用程序存储令牌
5. ember 应用在​​从 API 发出数据请求时发送令牌
6. 服务器使用令牌来确定从 API 发回哪些数据