【发布时间】:2021-04-27 12:15:00
【问题描述】:
我有以下 API:
型号:
class Todo(models.Model):
owner = models.ForeignKey(User, on_delete=models.CASCADE)
name = models.CharField(max_length=20, default="")
text = models.TextField(max_length=450, default="")
done = models.BooleanField(default=False)
查看:
class TodoView(viewsets.ModelViewSet):
serializer_class = TodoSerializer
permission_classes = [IsAuthenticated]
def get_queryset(self):
id = self.request.query_params.get("id")
queryset = Todo.objects.filter(owner__id=id)
return queryset
序列化器:
class TodoSerializer(serializers.ModelSerializer):
class Meta:
model = Todo
fields = ("id", "owner", "name", "text", "done")
我使用rest_framework_simplejwt 作为我的令牌,并使用以下路径来接收我的令牌:
path("api/token/", TokenObtainPairView.as_view(), name="token_obtain_pair"),
这是令牌:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiZXhwIjoxNjE5Mjg4ODAwLCJqdGkiOiJhY2E4MjM5ZGMyZjA0NGE5YWE4NzM3NWZjMDc2NWQ0YSIsInVzZXJfaWQiOjF9.xJ4s971XE0c9iX0Ar1HQSE84u_LbDKLL4iMswYsk2U8
当我在 jwt.io 上对其进行解码时,我可以看到它包含用户 ID:
{
"token_type": "access",
"exp": 1619288800,
"jti": "aca8239dc2f044a9aa87375fc0765d4a",
"user_id": 1
}
在我的请求标头中没有令牌的http://localhost:8000/todos/?id=1 请求不起作用(很好!),但是有了令牌,我也可以访问http://localhost:8000/todos/?id=2,这当然是不希望的。我只想访问http://localhost:8000/todos/?id=1(有效载荷中对应的user_id)
我该怎么做?
【问题讨论】:
标签: django django-rest-framework django-authentication