我在我的 Django API 中添加了一些用于发布删除和放置数据的 URL,但我不知道如何首先对用户进行身份验证,并让他们中的一些人使用这些方法并禁止其中一些人
【问题讨论】:
标签: python django django-rest-framework django-views
据我所知,你可以使用内置装饰器
@user_passes_test
然后您可以指定谁可以访问您的视图,如下所示,
from django.contrib.auth.decorators import user_passes_test
def admin_user(user):
return user.is_superuser # write your logic here
@user_passes_test(admin_user)
def your_view(request):
--------
查看文档以获得更多说明:https://docs.djangoproject.com/en/1.11/topics/auth/default/#django.contrib.auth.decorators.user_passes_test
【讨论】:
由于您使用标签 django-rest-framework,我假设您的视图是使用 Django REST 框架创建的。
首先,您应该强制用户成为 authenticated to use the API。其次,您需要定义 types of permissions are needed 来执行这些操作。
您说 Django 超级用户应该能够执行这些操作。因此,您可以创建自定义权限以确保只有 Django 超级用户的用户才有权限:
from rest_framework.permissions import BasePermission
class IsSuperUser(BasePermission):
"""
Allows access only to admin users.
"""
def has_permission(self, request, view):
is_superuser = request.user and request.user.is_superuser
if not is_superuser and request.user:
# Your ban logic goes here
pass
return is_superuser
那么在你看来,你可以这样做:
from rest_framework.views import APIView
from your_app.permissions import IsSuperUser
class YourApiView(APIView):
permission_classes = [IsSuperUser]
如果这些信息对您来说还不够,我建议您关注 Django REST Framework's tutorial。
【讨论】: